보안을 위한 최선의 노력: 연휴 쇼핑을 노리는 스니커 봇

스니커 봇은 불법인가요?

모든 변호사가 말하듯이 '상황에 따라 다릅니다.' 그러나 스니커 봇은 여러 디지털 커머스 사이트의 이용 약관을 위반합니다. 적절한 노하우만 있으면 누구나 스니커 봇을 만들 수 있기 때문에 또 다른 하위 업계, 즉 서비스형 스니커 봇이 탄생했습니다.

이미 구축된 봇을 유료로 활용할 수 있습니다. 봇을 완전히 구매해 계속 사용할 수도 있고 건별로 대여할 수도 있습니다. 이용료는 경우에 따라 최대 500달러로 상당히 높을 수 있는데, 서비스를 이용한다고 해서 해당 제품을 획득할 수 있다는 보장은 없으며다만 가능성을 높일 수 있을 뿐입니다.

고위험 저가치

그럼에도 불구하고, 특히 연휴 기간에는 이러한 서비스 중 하나를 이용하고 싶은 유혹이 매우 커질 수 있습니다. 아이가 쉴 새 없이 떠들던 한정판 Nike를 가지고 집에 돌아온다면 최고의 부모가 될 수 있을 테니까요. 하지만 ‘혹시나’ 하는 마음에 500달러를 지불하는 것은 분명히 위험하며, 엄청난 양의 봇 트래픽 데이터를 수집하는 Akamai의 경험에 비추어 볼 때 감수할 만한 가치가 있는 리스크가 아닙니다.

봇이 널리 퍼진 이유는 무엇일까요?

봇에는 정상 봇과 악성 봇이 있다는 것은 이미 밝혀진 사실입니다. 어떤 종류든, 봇의 속도는 봇의 유비쿼티에 큰 역할을 합니다. 봇의 작업 수행 속도는 사람이 상상할 수 없을 정도로 빠릅니다. 이러한 속도 덕분에 작업을 훨씬 더 효율적으로 수행할 수 있으므로 봇을 사용하는 기업은 비용을 크게 절감할 수 있습니다. 

봇은 일상 생활의 정신적 부담을 덜어줄 수도 있습니다. 미리 알림, 정보, 공지 등을 전달하는 양성 봇은 삶을 더 편리하게 만들어 줍니다. 그렇기 때문에 이러한 정상 봇과 해를 끼치거나 시스템을 속이도록 설계된 악성 봇을 구분하는 것이 매우 중요합니다.

데이터 유출로 인해 개인적으로 피해를 입었는지 더 이상 궁금해하지 마세요. 피해를 입지 않았을 가능성보다 피해를 입었을 가능성이 천문학적으로 높기 때문입니다. 우리는 어디서나 무심코 데이터를 공유합니다. 무료 평가판을 받고 계정을 만들 때마다 데이터가 쌓이고, 공격자는 이를 알고 있습니다.

크리덴셜 스터핑: 연쇄 살인마

누구나 한 번쯤은 비밀번호를 재사용해 본 적이 있을 것입니다. 이러한 관행에 대한 지속적인 경고에도 불구하고, 점점 더 복잡해지는 비밀번호 요구 사항으로 인해 비밀번호 재사용이 유일한 선택지처럼 느껴질 수 있습니다. (이 부분에 대한 도움이 필요하다면 "나 자신을 보호하는 3가지 방법" 섹션을 참조하세요.)

비밀번호 재사용은 특히 크리덴셜 스터핑으로 알려진 문제 때문에 반드시 끊어야 할 중요한 습관입니다. 크리덴셜 스터핑이란 악성 개체가 유출된 사용자의 인증정보를 입수한 후 이를 이용해 다른 웹 사이트에 로그인하려 하는 행위를 말합니다.

예를 들어 소셜 미디어 계정의 사용자 이름과 비밀번호가 유출된 경우, 해당 정보를 가진 공격자가 이를 사용해 은행 웹 사이트나 민감한 정보가 있는 다른 사이트에 로그인할 수 있습니다.

사람이 이러한 인증정보를 수동으로 입력했다 해도 충분히 위험할 수 있습니다. 하지만 봇이 이 작업을 대신 수행한다면 어떨까요? 그림에서 볼 수 있듯이 공격자는 이 자동화된 프로세스를 활용해 단 몇 분 만에 한 사이트에서 수천 개의 인증정보 조합을 시도할 수 있습니다. 동일한 인증정보 조합을 사용하는 사이트가 많을수록 노출 리스크도 커집니다.

나 자신을 보호하는 3가지 방법

공격자는 일반적인 방어 조치와 이를 우회하는 방법을 알고 있어 소비자에 비해 크게 유리하기 때문에 경계를 늦추지 말아야 합니다. 사이버 보안은 모두의 책임입니다.

나 자신을 보호하는 방법에는 세 가지가 있습니다. 스니커 봇의 유혹을 물리치고, 비밀번호 관리자를 사용하고, MFA(Multi-Factor Authentication)를활용하세요.

1. 한정판 아이템이나 인기 콘서트 티켓과 같은 물건을 구하고 싶을 때 스니커 봇과 거래하고 싶은 유혹을 물리치세요 

특별 아이템을 받을 확률을 높이고 싶다는 유혹은 매우 매력적으로 보일 수 있지만, 스니커 봇에 참여하면 전혀 모르는 사람에게 결제 및 연락처 정보를 넘기게 됩니다. 또한 애초에 봇이 생겨나는 문제에 직접적으로 기여하는 것과 다름없습니다.

기억하세요. 스니커 봇 자체가 돈을 훔치기 위한 사기일 가능성이 매우 높으며, 아이템을 구할 수 있다고 보장하지도 않습니다.

2. 복잡한 비밀번호를 생성하고 보관할 수 있는 비밀번호 관리자를 사용하세요

비밀번호 위생은 온라인에서 정보를 안전하게 보호하는 데 있어 아무리 강조해도 지나치지 않습니다. 요구사항이 계속 바뀌고 있기 때문에 이러한 목적을 위해 특별히 설계된 제품에 맡기는 것이 가장 좋습니다. 그렇게 하는 것이 더 쉽고 안전합니다. 비밀번호 하나만 기억하면 나머지는 관리자가 대신 기억해 줍니다.

잊어버린 비밀번호를 너무 자주 변경할 경우 비밀번호를 충분히 변경하지 않는 것만큼이나 위험할 수 있습니다.

3. 반드시 MFA를 사용하세요

보안을 위한 또 하나의 훌륭한 기본 팁은 가능한 모든 항목에서 MFA를 활성화하고 활용하는 것입니다. 이렇게 하면 공격자가 계정을 탈취하기 위해여러 단계를 거쳐야 하기 때문에 실패할 수 있는 여러 지점이 생깁니다.

이를 위해 SMS(문자 메시지)가 아닌 다른 방법을 사용하는 것이 바람직하지만, SMS 2단계 인증이 전혀 없는 것보다는 훨씬 낫습니다!

이제 얼마 안 남았습니다

사이버 인식의 새로운 해가 또 다시 시작되면서 같은 조언이 계속 반복되는 것 같습니다. 이는 보안 전문가들이 게으르기 때문이 아니라 이러한 방어 방법이 아직 널리 사용되지 않고 있기 때문입니다.

피싱,봇, 크리덴셜 스터핑은 인터넷이 태동할 때부터 사용되어 온 공격 방법이며 여전히 공격자가 사용자를 악용하는 가장 효과적인 방법에 속합니다.

공격자도 인간일 뿐

공격자도 결국은 인간입니다. 랜섬웨어 운영자, 봇넷 제작자, 심지어는 국가 기관도 마찬가지로 인간입니다. 그들도 우리와 같이 생계를 유지하려 합니다. 악당들을 인간화하는 것이 이상하게 여겨질 수도 있지만, 이 점을 이해하는 것이 중요합니다.

악당들은 목표를 달성하기 위해 가장 효율적인 방법을 찾고 있습니다. 따라서 공격자를 더 어렵게 만들수록 이들이 포기할 가능성이 높아집니다.