웹사이트를 봇(Bot)으로부터 안전하게 보호하는 5가지 방법

김은영 기자 / 기사승인 : 2020-09-28 09:40:26
  • -
  • +
  • 인쇄

인터넷 트래픽의 절반 이상이 봇(Bot)이라는 말이 있을 정도로 봇에 대해 아는 것은 중요합니다. 특히 봇은 유익한 역할을 하기도 하고, 치명적인 공격에 악용되기도 합니다. 양면성을 갖고 있기 때문에 봇에 대해 정확히 알아야만 악성 봇에 대응할 수 있습니다. 오늘은 다양한 모습을 갖고 있는 봇에 대해 알아보겠습니다.



봇이란 일종의 컴퓨터 비서입니다. 로봇(Robot)이 하드웨어라면, 봇(Bot)은 소프트웨어 형태로 특정 기능을 자동으로 수행함으로써 여러분야에서 활용될 수 있는 기술입니다. 기업 웹사이트에서 종종 볼 수 있는 자동 응답 시스템인 ‘챗봇’, 검색포탈의 최신 데이터 유지 및 관리를 위한 웹 크롤러 등이 대표적인 봇의 종류입니다. 유명한 콘서트나 공연 티켓을 구매하기 위해 자동으로 예매하는 소프트웨어 봇을 이용해 사재기 후 중고사이트에서 재판매하는 사건이 발생하기도 했습니다.



이렇게 특정 기능을 자동화하여 사용자나 관리자의 편의성을 크게 높여주는 봇이 있는 반면, 사이버 공격에 악용되는 봇도 존재합니다. 해커는 이런 봇을 이용해 IoT 기기를 탈취하여 봇넷(Botnet)을 형성하기도 합니다. 봇넷이란 악성 소프트웨어인 봇에 감염되어 각종 악성 행위를 하도록 원격 조종되는 다수의 좀비 컴퓨터 네트워크입니다. 크리덴셜 스터핑(Credential Stuffing)*, 디도스(DDoS) 공격 등에 악용됩니다.

*크리덴셜 스터핑: 다른 곳에서 유출된 로그인 정보를 무작위로 대입해 사용자 계정을 탈취해 공격하는 유형



특히 최근에는 자동차, 스피커, TV 심지어 냉장고까지 인터넷에 연결되면서 IoT 기기는 급증하고 있는데요. 동시에 IoT 기기가 가지고 있는 취약점 또한 많아지고 있습니다. 그만큼 해커는 그 어느 때보다 더 크고 강력한 봇넷을 만들 수 있습니다. 1990년대 디도스 공격이 초당 100건 이상의 요청을 했다면, 최근에는 초당 7,000건 이상의 요청을 만들어내 더 빠르고, 강력하게 공격하고 있습니다.





악성 봇을 차단하기 위한 방법 5가지



1. 악성 봇을 인지하기

우선 봇을 식별하여 구분하는 것이 가장 첫 번째 단계입니다. 비즈니스 영향에 따라 악성 봇과 그렇지 않은 봇을 구분해야 합니다. 그 후 봇 트래픽을 모니터링하는 것이 봇 대응 전략의 시작입니다.



웹사이트 관리자는 자신의 사이트가 악성 봇의 타깃이 된다는 것을 인지하지 못한 채로 운영하기도 합니다. 아래와 같은 현상이 나타난다면 악성 봇을 의심해야 합니다.



- 페이지뷰의 급격한 증가

- 이탈률의 급격한 증가

- 페이지 체류 시간의 급격한 증가

- 특정 페이지에서 트래픽의 급격한 증가



이렇게 웹사이트에서 불규칙한 현상이나 변동성이 발견된다면 반드시 악성봇을 의심하고 대응해야 합니다.



2. 구글 애널리틱스에서 봇 트래픽 필터링하기

악성 봇 구별은 정확한 웹사이트 분석에서부터 시작합니다. 구글 애널리틱스에 IP를 추가하여 웹사이트 수치에서 제외하는 방식으로 기본적인 봇들을 손쉽게 필터링할 수 있는데요. 물론 이 방법은 잘 알려진 봇만 식별하기 때문에 한계가 있습니다. 또한 구글 애널리틱스에서 설정하는 것은 웹사이트 분석의 정확성을 높이기 위한 조치일뿐 실제로 웹사이트에 봇이 접근하는 것을 막지 못합니다.



3. CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart, 캡차)

사람과 컴퓨터를 구별하기 위한 자동 방지 기술인 캡차는 로그인 페이지, 웹상의 제출 양식에 기능을 추가하여 봇에 의한 행동을 막을 수 있습니다. 대부분의 캡차는 실제 사용자에게 이미지에서 숫자나 특정 사물을 식별하는 간단한 작업을 요구함으로써 봇과 구별해냅니다. 물론 아주 정교화된 봇은 구분하지 못하기도 합니다. 또한 사용자에게 특정 행위를 추가로 요구함으로써 불편함을 가중시킨다는 단점이 있습니다.

 

 

CAPTCHA 기능

 

 

4. 실패한 로그인 기록 모니터링

크리덴셜 스터핑을 위한 봇넷이 접근하면 로그인 실패 횟수가 급격하게 증가하게 됩니다. 의심스러운

로그인 시도가 반복적으로 발견되면 주의해야 합니다. 또한 자동 설정을 통해 악성 봇이 로그인 시도를 반복하지 못하도록 막아야 합니다. 무엇보다 다중인증(MFA), 일회용 비밀번호(OTP), 생체인증까지 비교적 안전한 인증 방식을 지원해야 합니다. 다양한 인증 방식을 지원하는 인증보안 플랫폼 ISign+은 봇을 차단하기 위한 방법 중 하나입니다.





5. 봇을 막기 위한 솔루션 도입

봇은 직접적인 피해를 가져오지 않는 경우도 있습니다. 하지만 장기적인 관점에서 IT 및 마케팅 비용 낭비 및 고객 손실 나아가 데이터 침해까지 이어질 수 있습니다. 즉 봇을 가볍게만 바라봐서는 안된다는 것입니다. 악성 봇이 크리덴셜 스터핑, DDoS 공격하는 것을 막기 위한 솔루션은 쉽게 찾아볼 수 있습니다. 필요에 따라 이러한 솔루션을 검토, 도입하는 것도 한 가지 방법입니다. 앞서 언급한 펜타시큐리티의 인증보안 플랫폼ISign+외에도 지능형 웹방화벽 WAPPLES은 디도스 등 악성 봇으로부터 웹 취약점을 효과적으로 방어할 수 있습니다.





앞서 언급했던 것 처럼 IoT 기기의 증가는 악성 봇이 활동하기 아주 좋은 조건입니다. IoT 기기에 대한 보안에 신경쓰는 것은 물론 악성 봇을 식별하고 대응하기 위한 전략이 필요한 시점입니다. 특히 비즈니스 환경에서는 악성 봇이나 봇넷에 공격을 막기 위한 보안 솔루션 도입을 고려해야 합니다.

[저작권자ⓒ 데이터저널. 무단전재-재배포 금지]