[데이터넷] 웹 보안 시장에서 웹 애플리케이션 및 API 보호(WAAP) 솔루션이 빠른 성장을 보이고 있다. WAAP는 웹방화벽, DDoS 방어, 봇 방어, API 보안을 통합한 플랫폼으로, 각각의 솔루션 모두 깊이 있는 보안을 제공할 뿐만 아니라, 단일 플랫폼에서 여러 솔루션을 제어·모니터링해 지능적인 위협에 즉각 대처하면서 보안 담당자의 업무를 줄일 수 있다.

20년 이상 웹 보안 시장을 리딩해 온 임퍼바는 전 세계 60개 이상의 PoP을 통해 WAAP에 요구되는 기능과 성능, 확장성을 만족하는 솔루션을 안정적으로 제공하고 있다. 우리나라에도 2018년 초 PoP이 설치돼 고객의 비즈니스를 보호하고 있다.

임퍼바는 고급 탐지·대응 기술을 이용해 웹 애플리케이션과 API를 위협하는 공격을 막고 있으며, 최근 가장 방어가 까다로운 지능형 악성 봇과 계정탈취(ATO) 공격 방어에도 뛰어난 역량을 보여주고 있다.

머신러닝·전문가 결합 방어 기술로 지능형 봇 차단

악성 봇의 경우, 대규모 군단을 구성해 디도스 공격을 퍼붓기도 하고, 지능적이고 지속적인 계정탈취 공격, 취약점 스캐닝 등을 수행하고 있다. 단순 반복적인 행위를 하는 봇부터 시작해서 고급 방어 기술을 접목해 지능적인 공격을 수행하거나 봇 방어 솔루션을 회피하면서 교묘하게 공격을 이어가고 있다.

사이버 공격에 악용되는 봇의 위험 수준별로 분류하면 다음과 같다.

단순 봇(Simple Bot)

단순 봇은 클릭봇(ClickBot), 크롤러(Crawler), 스팸봇(SpamBot), 웜(Worm) 등 알려진 시그니처만으로도 탐지할 수 있는, 이미 많이 알려진 봇이다. 시그니처를 보유하지 않은 경우에도 기본적으로 단순 봇이 갖고 있는 몇 가지 특징을 탐지해 방어할 수 있다. 단순 봇은 HTTP 헤더 정보 오류, IP·ASN 오류, 쿠키를 제공하지 않거나, 자바 스크립트를 제공하지 않는 등의 특징이 있다. 임퍼바는 클라우드 웹방화벽 솔루션만으로도 단순 봇을 탐지·방어할 수 있다.

일반 봇, 지능형 봇(Moderate Bot, Advanced Bot)

일반 봇, 지능형 봇은 단순 봇 탐지 기술로 식별하기 어려우며, 셀레니움(Selenium), 퍼페티어(Puppeteer), 플레이라이트(Playwright) 등의 웹 브라우저 자동화 툴을 이용하는 경우가 많다.

이러한 봇의 경우 형식적으로는 풀 브라우징의 특성을 갖고 있으며, AI/ML 등 고도화된 기술로 공격자의 행위분석을 이용해 탐지한다.

임퍼바는 ‘어드밴스드 봇 프로텍션(ABP)’에 정밀 핑거프린팅(High-Def Fingerprinting), 가변속도제한(Variable Rate Limiting), 자동화된 브라우저 탐지(Automated Browser Detection) 기술과 30개 이상의 머신러닝 모델 등을 기반으로 일반 봇과 지능형 봇을 탐지한다.

고도의 지능형 봇(Highly Advanced Bot)

고도의 지능형 봇은 이미 알려져 있는 AI/ML을 포함한 대부분의 탐지기술을 회피하는 봇이다. 일반적인 봇은 대규모 공격 전에 일정한 공격 징후를 드러낸다. 반면 지능형 봇은 일반 봇의 패턴을 따르지 않고 새로운 양상의 행동을 보여 보안 솔루션을 회피한다.

사이버 범죄는 지하시장에서 성공적인 비즈니스 모델로 자리잡았기 때문에, 기존 솔루션으로 탐지하지 못하는 행태의 공격을 진행하면서 기업과 기관을 위협한다.

전문가의 고급 봇 방어 서비스 제공

고도의 회피 기술을 가진 새로운 공격을 막기 위해서는 전문가의 전문 지식과 통찰력, 관련 인텔리전스가 필요하다. 임퍼바는 전문가가 지원하는 고급 봇 방어 서비스인 ‘시큐리티 어낼리스트 서비스(SAS)’를 제공한다. SAS는 임퍼바 지능형 봇 방어(임퍼바 ABP) 구현과 관련된 웹 애플리케이션 보안, 데이터 분석, 인프라 설계, 애플리케이션 개발과 관련한 전문 지식을 제공한다. 또한 고급 봇 방어 기술 운영을 위한 모범 사례를 제공해 중요한 비즈니스 운영을 보호하면서 효과적으로 악성 봇을 차단한다.

임퍼바 ABP 솔루션은 도메인별, 경로별 또는 계정단위로 정밀하게 설정·관리할 수 있다. 차단, 허용, 캡챠, 타핏(Tarpit), 속도제한(Rate-limit) 등 상황에 맞게 유연한 봇 대응이 가능하다. 기본적으로 18개의 대시보드를 보유해 봇 방어 현황을 제공할 수 있으며, 트래픽 소스별로 약 200개의 속성값을 수집 가능한 고해상도 핑거프린팅 데이터를 이용해 새로운 커스텀 대시보드를 생성할 수 있다.

로그인 환경 위험도 평가해 유출계정 이용 접속 제어

계정탈취 공격은 사이버 공격자가 합법적인 계정을 구해서 실제 계정 사용자의 애플리케이션에 무단으로 접속, 다양한 부정행위를 수행하는 것으로, 서비스 공급자의 평판 저하와 신뢰도 상실 등의 큰 피해를 줄 수 있다.

오래전부터 계정탈취를 위한 무차별 대입(브루트포스) 공격, 사전 공격 등의 방법 등이 사용됐으며, 그동안 발생한 수많은 사고를 통해 축적된 사용자 계정이 다크웹에 노출돼 있다. 공격자들은 노출된 계정을 이용해 무단으로 로그인하는 크리덴셜 스터핑 공격을 수행하면서 고급 개인정보를 수집하고, 목표 조직 네트워크로 침투할 수 있는 권한계정을 탈취한다.

계정탈취를 위한 크리덴셜 스터핑과 브루트포스 공격에는 일반 봇뿐만 아니라 고도의 지능형 봇이 사용된다. 이 공격은 특정한 패턴을 찾기 어려워 일반 봇 방어 솔루션으로 차단하지 못한다. 임퍼바는 ATO 프로텍션을 통해 고도로 발전한 계정탈취 공격까지 식별할 수 있다.

임퍼바 ATO 솔루션을 이용하면 유출된 계정으로 로그인한 사용자를 알 수 있다. 하지만 유출된 계정을 이용한 사용자가 모두 공격자라고 볼 수는 없으며, 해당 계정이 이미 유출된지 모르고 로그인한 정상 사용자일 수도 있다.

이러한 이유로 임퍼바 ATO는 유출된 계정으로 로그인한 사용자를 바로 차단하지는 않고, 로그인의 소스가 되는 디바이스의 공격적 행위를 확인하고 봇과 유사한 동작 여부와 소스 IP의 평판정보 등을 기준으로 위험도 수준을 평가한다.

디바이스 공격적 행위의 예를 들어보면, 다수의 유출된 계정으로 접속시도, 여러 디바이스로 접속시도, 다수의 접속실패 등이 있다. 그 위험도의 수준에 따라 차단하거나 캡챠를 요구하고, 혹은 응답이 없어 행걸린 것처럼 만드는 타핏(Tarpit)을 수행한다.

임퍼바가 모든 유출된 계정정보를 가지고 있는 것은 아니므로 유출된 계정이 아니어도 위와 같은 공격적 행위가 보이면 동일한 방법으로 위험도를 상승시켜 방어할 수 있다.

서비스 공급자는 유출된 계정으로 접속하는 사용자를 알 수 있으므로, 해당 사용자에게 비밀번호 변경을 안내하는 방식의 서비스를 제공해 유출된 계정을 이용하는 사용자의 보안 대책을 강화할 수 있다.

봇이라는 것은 우리가 생각하는 것보다는 매우 위험한 공격으로, 오늘날의 대부분의 사이버 공격은 봇을 통해서 이뤄진다고 해도 과언이 아니다. 특히 비즈니스를 위한 사이버 공격은 항상 기존에 알려진 솔루션보다 앞서가게 돼 있다. 이제는 계정탈취 공격을 포함한 봇의 공격에 경각심을 가지고, 관심과 주의를 높여서 보다 안전한 서비스를 제공하고 이용할 수 있기를 바란다.