악성 봇이 전체 인터넷 트래픽의 32% 차지
모든 계정 탈취 공격의 44%가 API 엔드포인트를 표적으로 타깃팅
[아웃소싱타임스 이효상 기자] 다양한 규모에서 중요한 애플리케이션, API, 데이터를 보호하는 사이버 보안 선두업체 탈레스(Thales)가 오늘 인터넷상 자동화 봇 트래픽에 대한 글로벌 분석 결과를 담은 2024년 임퍼바 악성 봇 보고서(2024 Imperva Bad Bot Report)를 공개했다.
2023년 전체 인터넷 트래픽의 거의 절반(49.6%)이 봇에서 비롯됐다. 이는 전년도에 비해 2% 증가한 수치이며, 탈레스 계열사인 임퍼바(Imperva)는 2013년 자동화된 트래픽 모니터링을 시작한 이후 가장 높은 수준을 보고했다.
악성 봇과 관련된 웹 트래픽의 비율은 2022년 30.2%에서 2023년 32%로 증가하며 5년 연속 증가한 반면, 휴먼 트래픽은 50.4%로 감소했다. 자동화된 트래픽으로 인해 조직은 웹사이트, API 및 애플리케이션에 대한 공격의 피해로 연간 수십억 달러의 비용을 지출하고 있다.
임퍼바의 애플리케이션 보안 부문 총괄 관리자인 난히 싱(Nanhi Singh)은 “봇은 모든 산업이 직면하고 있는 가장 광범위하게 증가하는 위협 중 하나”라며 “단순한 웹 스크래핑부터 악의적인 계정 탈취, 스팸, 서비스 거부에 이르기까지 봇은 온라인 서비스를 저하하고 인프라 및 고객 지원에 더 많은 투자를 요구함으로써 조직의 수익에 부정적인 영향을 미친다.
공격자가 계정 탈취나 데이터 유출로 이어질 수 있는 API 관련 악용에 더욱 집중함에 따라 조직은 악성 봇의 위협에 적극적으로 대처해야 한다”고 전했다.
2024년 임퍼바 악성 봇 보고서에서 확인된 주요 동향은 다음과 같다.
●악성 봇 트래픽의 전 세계 평균, 32%에 도달: 아일랜드(71%), 독일(67.5%), 멕시코(42.8%)는 2023년에 악성 봇 트래픽 수준이 가장 높았다. 미국도 2022년(32.1%) 대비 35.4%로 악성 봇 트래픽의 비율이 약간 더 증가했다.
●생성형 AI의 사용 증가와 단순 봇 증가의 연계성: 생성형 AI 및 대형 언어 모델(LLM)의 급속한 도입으로 단순 봇의 양이 2022년 33.4%에서 2023년 39.6%로 증가했다. 해당 기술은 웹 스크래핑 봇과 자동화된 크롤러를 사용해 훈련 모델을 제공하는 동시에 기술 지식이 없는 사용자도 자신이 사용할 자동화된 스크립트를 작성할 수 있게 지원한다.
●지속적인 비즈니스 위험인 계정 탈취: 계정 탈취(ATO) 공격은 전년 동기 대비 2023년에 10% 증가했다. 특히, 모든 ATO 공격의 44%가 API 엔드포인트를 표적으로 삼았으며, 이는 2022년의 35%와 비교해 주목할 만하다. 인터넷을 통한 모든 로그인 시도 중 11%는 계정 탈취와 관련이 있었으며, 2023년에 ATO 공격이 가장 많이 발생한 산업은 금융 서비스(36.8%), 여행(11.5%), 비즈니스 서비스(8%)였다.
●널리 사용되는 공격 벡터로서 API: 2023년 API 공격의 30%가 자동 위협으로 인해 발생했으며, 그중 17%는 비즈니스 로직 취약점을 악용하는 악성 봇이었다. 이러한 취약점은 공격자가 합법적인 기능을 조작하고 민감한 데이터나 사용자 계정에 액세스할 수 있게 하는 API 설계 및 구현의 결함이다. 사이버 범죄자는 자동화된 봇을 사용해 민감한 데이터에 대한 직접적인 경로 역할을 하는 API를 찾아 악용하므로 비즈니스 로직 공격의 주요 대상이 된다.
●모든 산업에 존재하는 봇 문제: 2년 연속 게임(57.2%)이 악성 봇 트래픽의 가장 큰 비율을 차지하는 한편, 소매업(24.4%), 여행(20.7%), 금융 서비스(15.7%)에서 봇 공격이 가장 많이 발생했다. 인간 행동을 유사하게 모방하고 보안을 회피하는 지능형 악성 봇의 비율은 법률 및 정부(75.8%), 엔터테인먼트(70.8%), 금융 서비스(67.1%) 웹사이트에서 가장 높게 나타났다.
●지역 ISP 출처 악성 봇 트래픽은 25.8%로 증가: 초기 악성 봇 회피 기술은 합법적인 사용자가 일반적으로 사용하는 사용자 에이전트(브라우저)로 위장하는 기술에 의존했다. 모바일 사용자 에이전트로 위장한 악성 봇은 지난해 전체 악성 봇 트래픽의 44.8%를 차지했으며, 불과 5년 전의 28.1%보다 증가한 수치이다. 정교한 공격자는 모바일 사용자 에이전트를 지역 또는 모바일 ISP의 사용과 결합한다. 지역 프록시를 사용하면 봇 운영자는 트래픽의 출처가 합법적으로 ISP에서 할당한 지역 IP 주소인 것처럼 위장해 탐지를 회피할 수 있다.
이에 싱 대표는 “자동화된 봇은 곧 인간이 사용하는 인터넷 트래픽의 비율을 능가할 것이며, 조직이 웹사이트와 애플리케이션을 구축하고 보호하는 방식을 변화시킬 것”이라며 “더 많은 AI 지원 도구가 도입됨에 따라 봇은 어디에나 존재하게 될 것”이라고 설명했다. 이어 “조직은 악의적이고 자동화된 트래픽의 위협을 관리하기 위해 봇 관리 및 API 보안 솔루션에 투자해야 한다”고 강조했다.
