봇 또는 봇넷 트래픽이란 무엇일까요?

봇 또는 봇넷 트래픽은 자동화된 컴퓨터 프로그램에 의해 생성되는 트래픽으로, 흔히 봇이라고 합니다. 이러한 봇은 검색 엔진의 순위를 조작하거나 기타 악성 활동을 수행하기 위해 웹 사이트에 자동 트래픽을 전송하는 데 사용됩니다. 봇넷은 분산 서비스 거부(DDoS) 공격 같은 대규모 공격을 수행하는 데 사용되는 컴퓨터 네트워크입니다.

봇 트래픽으로 크고 작은 기업들이 계속 혼란을 겪고 있습니다. 봇이나 봇넷(하나의 목적을 위해 네트워크로 연결된 봇 그룹)은 많은 웹 사이트의 트래픽에서 그 어느 때보다 큰 부분을 차지하고 있습니다. 예를 들어, 악성 봇넷은 매우 짧은 시간 내에 수십만 건의 요청을 웹 사이트와 모바일 앱으로 전송할 수 있습니다. 이 트래픽은 소프트웨어 취약점을 노리는 봇부터 DDoS, 무차별 대입 공격, 기타 악성 행동에 이르기까지 악의적인 활동을 수행하는 봇에서 비롯되기도 합니다.

현재 수많은 악성 봇넷 트래픽이 크리덴셜 스터핑에 집중되고 있으며, 공격자는 훔친 인증정보를 사용해 사용자나 고객 계정에 대한 무단 접속을 시도하고 있습니다. 탈취되거나 감염된 컴퓨터를 보유한 봇넷은 다른 사이트에서 유효한 것으로 알려진 사용자 이름과 암호 조합을 사용해 시간당 수십만 건의 로그인을 시도할 수 있습니다. 많은 개인이 모든 웹 사이트에서 동일한 암호를 사용하기 때문에 공격자들은 봇넷 트래픽을 사용해 IT 환경에 접속하고, 계정을 차지해 돈과 데이터를 훔치고, 기타 다양한 사기를 저지르는 데 성공하는 경우가 많습니다.

여러 번의 로그인 요청이 들어와도 이를 쉽게 구분하고 차단할 수 있는 일정 패턴이 존재하지 않으므로, 봇넷 트래픽을 방어하기는 쉽지 않습니다. 다행히 Akamai는 다양한 봇 보안 솔루션을 제공해 정상적인 사용자의 성능 저하를 방지하면서 봇과 봇넷 트래픽을 효과적으로 탐지하고 방어할 수 있습니다.

크리덴셜 스터핑 공격은 사이버 범죄자들의 주요 비즈니스입니다. 데이터 유출 시 노출된 로그인 인증정보는 다크 웹에서 쉽게 구입할 수 있습니다. 범죄자는 봇넷으로 하루에 수천 개의 웹사이트에서 수천 개의 인증정보를 쉽게 사용하고, 결국 사이트에 접속하는 데 성공해 금전적 이득을 얻을 수 있습니다.

특정 사이트나 웹 애플리케이션에서 사용자 이름과 암호가 유효하다고 확인되면 공격자는 IT 환경 내에서 구매, 송금, 데이터 유출 또는 대규모 사이버 공격을 감행하기 위해 로그인해 계정을 탈취하거나, 다른 사이버 범죄자에게 인증정보를 판매할 수 있습니다.

크리덴셜 스터핑을 방어하려면 악성 트래픽을 정확하게 인식하고 봇넷 활동을 차단할 수 있는 봇 방어 탐지 기술이 필요하며, 실수로 정상적인 사용자까지 차단하는 오탐이 없어야 합니다. 문제는 크리덴셜 스터핑 공격의 로그인 요청은 확인된 인증정보가 유효한 요청을 나타내기 때문에 공격을 인식하기 어려울 수 있다는 점입니다.

봇 차단 기술이 더욱 효과적으로 발전함에 따라 봇 운영자는 탐지를 회피하기 위해 봇넷 공격을 진화시키는 데 매우 능숙해졌습니다. 보안 팀은 기업을 보호하기 위해 공격자만큼 빠르게 적응할 수 있는 봇넷 탐지 시스템이 필요합니다. 바로 이 부분을 Akamai가 도와드릴 수 있습니다.

Akamai Account Protector 는 봇넷 트래픽과 사기성 로그인 시도로부터 보호합니다. 이 Akamai 기술은 엣지에서 봇을 탐지하고 차단하는 동시에 고객이 추가적인 불편을 겪지 않고 활동할 수 있도록 설계되었습니다.

Account Protector는 다양한 기술을 사용해 정상적인 계정 소유자가 주로 사용하는 디바이스 종류, 일반적인 IP 주소, 네트워크, 위치, 로그인 빈도 및 시간 등 계정 소유자의 행동을 학습합니다. Account Protector는 개인과 사용자 집단의 프로필을 개발한 후 새로운 인증 요청이 정상 동작과 다른지 검사해 사기나 크리덴셜 스터핑을 나타낼 수 있는 이상 징후를 찾습니다. 요청이 의심스럽거나 불법적인 것으로 간주되면 Account Protector는 실제 고객이나 계정 소유자의 경험에 영향을 주지 않고 실시간으로 적절한 대응을 자동 적용합니다.

핵심 기능:

• 실시간 사용자 세션 리스크 점수 산정. Account Protector는 인증 중에 실시간으로 리스크 및 신뢰 신호를 평가해 요청이 합법적인 계정 사용자로부터 온 것이 아닐 수 있는 리스크를 평가합니다.
• 프로필. Account Protector는 개인에 대한 행동 사용자 프로필을 구성하고, 이를 전체 사용자 집단과 행동의 차이를 비교할 수 있는 집단 프로필로 집계해 이상 징후를 더 잘 탐지할 수 있습니다.
• 소스 평판. 이 기능은 세계에서 가장 규모가 크고 많은 트래픽이 발생하는 웹 사이트를 비롯해 전체 Akamai 고객에서 관측된 과거의 악성 활동을 기반으로 소스의 평판을 평가합니다.
• 알려진 봇 디렉터리. 알려진 봇으로 이루어진 Akamai의 디렉토리는 봇 및 봇넷 트래픽에 빠르고 적절하게 대응할 수 있도록 지원합니다.
• 정교한 봇 탐지.. Akamai는 다양한 AI와 머신 러닝 모델 및 기법을 사용해 최초 상호 작용에서 알려지지 않은 봇을 탐지합니다.
• 애널리틱스 및 보고. Akamai Account Protector는 개별 엔드포인트의 활동을 분석하거나, 특정 사용자를 조사하거나, 리스크 수준별로 사용자를 검토할 수 있습니다. 높은 수준의 통계와 상세한 분석을 SIEM(Security Information And Event Management) 툴로 가져와 사기를 보다 효과적으로 탐지할 수 있습니다.

Akamai는 탁월한 탐지 및 방어 기능을 갖춘 봇 관리 솔루션인 Bot Manager를 통해 봇넷 트래픽에 대한 추가적인 방어 기능을 제공합니다. Bot Manager는 여러 특허 기술을 사용해 봇의 웹사이트 접근을 먼저 허용하지 않고 봇이 처음 접촉하는 곳에서 봇을 탐지하고 방어합니다. Akamai의 위협 인텔리전스 연구원들이 제공하는 정보는 Bot Manager의 탐지 및 애널리틱스에 자동으로 통합됩니다.

Bot Manager는 다양한 종류의 데이터에서 “정상 트래픽”에 대한 데이터를 수집해 봇넷 트래픽을 탐지하는 방법을 학습합니다. Bot Manager는 네트워크 트래픽 패턴, 트래픽 종류, 트래픽 양에 대한 깨끗한 데이터를 관찰해 탐지 트리거를 종합적으로 결합하고 모든 요청에 봇 점수를 부여합니다. 높은 점수는 요청이 봇에 의해 생성되며 이를 방어해야 함을 나타냅니다. 낮은 점수는 사람이 보낸 요청이며 감시나 모니터링이 가능하다는 의미입니다. 중간 '회색 영역'에 있는 요청은 정교한 봇 공격을 느리게 하는 동시에 공격자의 비용을 증가시키는 혁신적인 도전 과제를 통해 해결할 수 있습니다.