“차세대방화벽·웹방화벽 있어도 봇·API 공격 못막는다”

#미국 크레딧유니온은 지난해 10월 한 달 동안 악성 봇(Bot) 공격과 웹 애플리케이션 공격을 받아 금융정보를 포함한 고객정보 유출 사고를 겪었다. 한 달 동안 탐지된 악성 봇 트래픽은 5773만건. 대부분 25일부터 31일 사이에 집중됐다. 이 기간 봇 트래픽이 하루 1200만여건으로 치솟은 날도 있었다.

#항공사인 아시아퍼시픽 에어라인은 봇과 애플리케이션프로그래밍인터페이스(API) 공격으로 가격 스크래핑(Scraping), 티켓 예약정보 훼손(Scalping), 계정탈취(Account Takeover, ATO)로 불법 로그인을 시도하는 공격을 당했다.

이같은 웹 애플리케이션 서비스를 대상으로 한 악성 봇과 API 공격은 생각보다 많이 발생하고 있다고 전문가들은 지적한다. 프로스트앤설리번 조사 결과, 자동화·지능화된 봇 트래픽은 기업의 전체 인터넷 트래픽 가운데 52%를 차지하고 있다. 이 가운데 정상 봇 트래픽과 나쁜 봇 트래픽은 각각 절반에 달한다.

봇을 정상적으로 사용하면 비즈니스에 유용하지만 나쁘게 사용하면 아시아퍼시픽 에어라인처럼 계정탈취, 웹 스크래핑과 데이터 조작·탈취는 물론 분산서비스거부(DDoS, 디도스) 공격에도 악용된다. 문제는 기업에 유입되는 트래픽 가운데 정상 봇과 악성 봇을 구분하기가 매우 어렵다는 것이다. 또한 기존 보안 방법으로는 적절하게 대응하기가 어려워지고 있다.

웹과 모바일에서 점점 API 사용 비중은 크게 증가하고 있는 가운데, 기업에서 표준 규격을 준수하고 있지 않거나 API 권한 남용에 의한 위협도 커지고 있는 상황이다.

백승현 라드웨어코리아 이사는 최근 개최한 바이라인플러스 웨비나에서 이같이 지적하면서 “현재 기업 최대 보안위협은 봇과 API이다. 지금 가장 최우선으로 투자해야 하는 분야는 바로 웹 애플리케이션 보안”이라고 강조했다.

백 이사는 크레딧유니온과 아시아퍼시픽 에어라인 보안사고 사례를 언급하면서 “이 두 기업 모두 웹애플리케이션방화벽(WAF)을 사용하고 있었다”면서 “침입방지시스템(IPS), 차세대방화벽 등 기존 보안 솔루션은 물론 WAF을 사용하고 있더라도 봇 공격과 API 위협을 탐지·방어하지 못하는 것이 현실이다. 별도의 대응 솔루션이 필요하다”고 말했다.

그 이유는 최근 봇 공격이 크게 진화됐기 때문이다. 백 이사는 “봇 공격은 1세대에서 4세대까지 진화했다. 2019년부터 발생하고 있는 최근 봇 공격은 대부분 4세대 공격”이라면서 “1세대 스크립트 공격은 블랙리스트에 의한 IP 차단이나 사용자 에이전트 정보를 확인해 차단할 수 있었다. 2세대 헤드리스 브라우저 공격은 웹방화벽, 핑거프린팅, 아이프레임(iFrame)으로도 충분히 차단할 수 있었다. 하지만 인간 두뇌를 모방해 사람과 유사한 행동을 하거나, 더욱 진화해 분산 공격을 수행하는 3~4세대 공격은 웹방화벽에서 막기가 어렵다”고 설명했다.

이어 “그 이유로 라드웨어 역시 WAF와 디도스 보호 솔루션을 제공하고 있지만 별도 봇과 API 대응 솔루션인 ‘봇 매니저’를 제공하고 있는 이유”라며 “애플리케이션 공격과 디도스 공격, 봇 공격, API 남용에 대한 대응체계를 마련해야 한다”고 덧붙였다.

라드웨어 봇 매니저는 웹서버 플러그인을 적용하거나 소프트웨어개발키트(SDK)로 아웃오브패스 방식으로 웹과 모바일 환경에 적용·연동할 수 있다. 클라우드 서비스에서도 이용할 수 있다. 핑거프린트에 의한 방대한 위협 인텔리전스 데이터베이스 기반 대응을 수행하며, 특히 인텐트 인코딩(Intent encoding), 인텐트 어낼러시스(Intent analysis), 어댑티브 러닝(Adaptive learning)을 수행하는 ‘인텐트 기반 심층 행위 분석(IDBA)’과 ‘세미슈퍼바이즈 머신러닝’ 기반의 딥러닝 기술로 진화된 봇 공격과 API 기반 위협에 대응할 수 있다.

최근 봇·API 기반 웹 애플리케이션 공격 위협이 점점 커지면서 라드웨어는 봇 매니저를 본격적으로 공급하기 시작한 지난해에만 전세계 130여개 기업에 공급했다.

강재민 라드웨어코리아 세일즈 담당 이사는 “봇 매니저는 티켓 스캘핑을 우려하는 항공사나 스포츠·공연 등의 티켓을 판매하는 이커머스 기업, 웹 정보 스크래핑이나 계정 탈취 등을 우려하는 애플리케이션 서비스 기업에 우선적으로 소개하고 있지만 내부정보 유출을 우려하는 모든 기업에 필요한 서비스”라고 강조했다.

봇 매니저는 WAF, API 프로텍션, 디도스 프로텍션과 더불어 복합적인 보안위협으로부터 애플리케이션을 보호하는 솔루션이다. 라드웨어는 클라우드 인프라와 애플리케이션, 워크로드, 네트워크를 포괄적으로 보호하는 ‘매니지드 클라우드 기반 보안 서비스’를 제공하는데, 이들 애플리케이션 보안 솔루션과 더불어 클라우드 네이티브 보안 서비스를 제공하고 있다.

라드웨어 클라우드 보안 서비스인 ‘클라우드 네이티브 프로텍터(CNP)’는 인공지능(AI) 기반 학습 알고리즘을 사용한 탐지 기능과 무차별 권한을 제거해 공격 대상 영역을 축소하는 스마트 하드닝(Hardening) 등을 기반으로 ▲클라우드 보안 상태(형상) 관리(CSPM) ▲클라우드 인프라 권한 관리(CIEM) ▲클라우드 위협 탐지·대응, ▲클라우드 리포팅·가시성 기능을 포괄적으로 제공한다.

백 이사는 “클라우드 환경은 제한된 가시성, 과도한 권한 부여에 따른 위험, 위협 탐지 기능과 상관관계 파악의 어려움으로 인해 문제의 원인과 파악이 어렵다”라면서 “CNP는 위협 탐지와 대등, 보안 상태 분석과 컴플라이언스 준수, 권한 오남용 관리 등을 모두 수행할 수 있게 해 클라우드 환경을 포괄적으로 보호한다”고 말했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network