Akamai Diversity

Akamai 블로그

진화하는 봇과 우리의 자세 Part 1

혹시 이 글을 읽고 계시는 분들은 메신저로 돈 빌려달라고 요청을 받아보신 적이 있나요? 아니면 한정판 아이템의 구매에 실패하고 자책하신 적이 있나요?

저는 있습니다. 갑자기 모르는 사람이 별일 없냐고 물어보는 경우도 있고, 급히 돈이 필요하다는 사람들도 있죠.

20200114-1.jpg

이것도 저는 있습니다. 여럿 공감하실 거라고 믿는데요, 이 장난감 대란에서 알면서도 몇 배를 주고 산 적이 많죠. 2013년...저 사진 속 또봇은 크리스마스 3주 전부터 뒤졌었는데 결국 3~4배 비싼 웃돈을 주고 살 수밖에 없었습니다. 아들은 한 달 전부터 산타할아버지한테 두 손 꼭 모으고 "산타할아버지, 저는 올해 엄마 아빠 말씀도 잘 듣고 동생도 조금만 괴롭혔고, 또봇이 너무 가지고 싶어요." 라고 하는데...어떻게 안 삽니까.. 크리스마스 다음 날 놀이터에 동네 아가들 다 나와서 산타할아버지한테 받은 선물을 자랑할 텐데 당시 제 기억에 구하지 못하면 끝장이라는 생각밖에 없었습니다.

"로그아웃을 안 했나 보죠, 2000개 한정판인데 그 안에 못 들었나 보죠, 어느 정도 웃돈은 예상했었습니다." 등등 우리는 이렇게 매 순간 자책했던 것 같습니다. 하지만 이건 우리의 잘못이 아닙니다.

20200114-2.png

범인은 봇입니다. 유명한 Adidas의  Yeezy boots의 품절 대란도, 내 자식의 어린이날 선물도, 크리스마스 선물도, 우리가 게을러서 구하지 못한 것이 아닙니다. 사람이 할 수 있는 행위를 자동화된 기계가 대신해주는 것을 봇이라고 하는데요, 이런 자동 무한반복 스크립트는 우리가 아무리 빨리 클릭질을 하더라도 이길 수 있는 것이 아닙니다. 얼마 전에 뉴스에서도 나왔죠. 13만 원에 구입해서 150만 원에 되팔아 이득을 챙기는 사례도 나왔었고요. 50% 반값을 해도 몇 분 만에 동이나는 것도 봇을 돌렸을 가능성이 큽니다. 에어팟2 반값 행사도 보셨죠? 봇으로 물량을 모두 구입하고 며칠 뒤에 박스도 안 뜯은 것을 되팔면 그 수익은 고스란히 봇을 돌린 사람에게 돌아갑니다. 이 형태는 유명 아이돌 콘서트티켓에도 적용이 되었죠.

20200114-3.pngID/PW를 무작위로 조합하는 크리덴셜 스터핑, 사이트에 과한 요청을 하여 서버를 다운시키는 디도스, 스팸 메일을 보내 그 안에 있는 malware를 설치하도록 click을 유도하는 스패밍이나 멀웨어 유포, 게임 조작을 자동으로 할 수 있게 하는 매크로 등등, 봇으로 인한 공격 유형은 엄청나게 많습니다. 심지어 이런 봇들도 단일 서버 한 대가 아닌 Cloud 형태를 띠고 있으며, 이런 bot net을 조절할 수 있는 tool도 굉장히 쉽게 되어있습니다. 예를 들자면, Credential Stuffing에 사용되는 공격 툴은 대표적으로 Snipe, Sentry MBA 등이 있죠. 네, 예상하시는 것처럼 무료 또는 매달 적은 비용으로 사용 가능하고요. 사용하는 것도 어린아이들이 할 수 있을 정도로 간단하지만 매우 강력합니다. 이런 툴을 사용하여 수백 개, 수천 개의 ID/PW 조합을 실시간으로 봇을 늘려가며 시도를 합니다.  유튜브의 실제 데모 영상에서도 아이들도 한번 보면 쉽게 할 수 있다고 말할 정도죠. 이런 툴 사용은 인프라의 부하를 초래하고 이로 인한 사이트의 불안정 및 속도 저하의 원인이 되며, 사이트 사용자들의 온라인 경험은 좋지 않은 기억으로 남게 될 것입니다.

20200114-4.png

우리는 digital world에 살고있는 사용자이자 기업의 일원이기도 합니다. 따라서 봇으로 인한 피해를 두 가지 관점에서 볼 수 있겠습니다. 하나는 일반 사용자 관점, 다른 하나는 employee 관점으로 말이죠.

20200114-5.jpg

보안 담당자분들은 아마 아실 텐데요, 작년 1월에는 Collection #1이라는 Data Breach건 덕분에 Credential Stuffing  또는 Abusing이 hot한 keyword가 되었었습니다.

이후 2개월 후인 2019년 3월에 발생한 Verifications.io에서는 최초 7억 6천 3백 건 개인정보 유출 사건으로 발표가 났었다가 이런 사이즈의 DB가 몇 개 더 발견되어 2 billion,  약 20억 건의 개인정보 유출이 확인 되었었습니다. 이번 유출에서 확인된 이메일들 중 66%는 이미 기존에 유출된 기록들을 가지고 있어 다방면으로 수집된 DB들을 취합하여 모아 놓은 것으로 사료되는 대목이죠.

전 세계 인구수가 7.7 billion, 77억 명이라고 했을 때 저희의 개인정보는 다른 사람들 손에 있을 가능성이 매우 높습니다.

이 경우, 개인 입장에서도 큰 피해가 예상되나 해당 ID/PW조합이 사용된 사업자 입장에서도 난감한 상황일 수밖에 없습니다. 왜냐면, 올바른 ID/PW를 가지고 접속 시도를 했기 때문에 정상 사용자로 시스템에서는 판단할 것이기 때문입니다.

20200114-6.jpg

위는 2017년도에 발생한 온라이너 스팸봇 사건입니다. 이때 사용된 credential들은 2012년도에 LinkedIn을 포함한 다른 사이트들의 해킹으로 수집된 것들로서 호텔, DHL, 또는 정부 기관에서 발송한 메일로 위장한 것으로 확인되었었고요, 이로써 mail을 받은 사용자들이 link를 누르도록 유도했었습니다. Haveibeenpwned라는 사이트에 가면 우리 계정이 털렸는지 확인할 수 있지요. 말이 7억 개이지만, 이 숫자는 전체 유럽연합의 인구수와 동일합니다.

이러한 우려는 Akamai 데이터로도 확인할 수 있습니다. 작년 5월부터 연말까지 크리덴셜 스터핑 감지가 엄청나게 늘었습니다. 단 7개월 동안 크게 약 4차례의 2억 5천만 건 이상의 도용 시도가 확인되었죠. 이는 Akamai의 보안 플랫폼에서 나온 데이터에 근거하며, 업계별로 리테일, 게임, 미디어 엔터테인먼트, 제조, 금융, 여행 등 거의 모든 업계가 속해있어 어느 한 업종의 문제는 아니라는 걸 알 수 있습니다.

20200114-7.jpg

다음은 한국 관련입니다. 최근 Gemini advisory 보안 researcher가 발표한 내용에 따르면, 작년 6월 말 Dark web에 100만 건의 대한민국 카드 정보가 sale로 올라왔다고 합니다. 아직 소스는 확인이 안 되었으며, 의심 가는 부분은 1. POS기의 malware 감염, 2. 은행발 데이터 유출, 3. ATM기의 card skimmer 정도가 거론되고 있죠. 사실 2014년도의 1억 건의 데이터 유출, 이때 카드번호, 유효기간, 결제계좌, 이용실적, 연소들, 개인정보 (성명, 주민번호, 여권번호, 이메일, 전화번호, 주소, 직장 등등 아주 탈탈 털렸었는데요, 이후 2017년에 다시 한번 24만 건 정도의 정보 유출이 있었습니다. 이때도 카드번호, 유효기간, 카드 비밀번호, 계좌번호, 성명, 주민번호, 거래전표..또 올해 Gemini가 발표한 직후 57만 건의 유출이 15개 금융사로부터 발생한 것이 발표되었었죠. 이쯤 되면, 대한민국 국민의 개인정보는 우리가 아닌 다른 사람이 가지고 있다 해도 전혀 이상하지 않을 것입니다. 다크 웹에서 신용카드는 $1000, 여권정보는 $2000불, Paypal계정은 $80정도에 지금도 팔리고 있습니다. 조금 기분 나쁜 부분은 한국 개인정보는 타 국가의 국민들 것보다 더 싸다고 해요. 그만큼 구하기가 쉽다는 이야기가 아닐까 합니다.

작년 2019, 6월 영국에서는 Cyber attack regulation을 만들어 현재 그 효력이 발생합니다. 기업들이 사용자의 개인정보를 보호하지 못했을 경우,  배상하라는 것이 골자이죠. 국내에서도 법원이 얼마 전 10만 원씩 배상하라는 판결이 나왔었죠. 개인 입장에서는 "내 개인정보가 이것밖에 안 돼?" 라고 할 수 있지만, 개인정보를 보호하지 못한 기업의 경우, 앞서본 Data Breach의 건당 10만 원씩 배상을 해야 할 수도 있습니다. 

20200114-8.png

그럼 이런 데이터를 가지고 공격자들은 무엇을 하려는 걸까요? Log in을 하는 것까지는 우리한테 금전적으로 손해를 끼치지 않습니다. 데이터 유출이 발생한 은행이 말한 것 처럼 말이죠.  하지만, 사용자가 ID/PW를 동일하게 여러 사이트에 사용한다면? 그 사용자가 간편결제를 위해 카드를 등록해놨다면? 그때부터는 바로 금전적인 손해가 발생하는 부분입니다. 결론적으로 전체 Bot을 활용한 사기의 eco system의 도입부가 바로 Credential Stuffing인 것이죠. 사용자는 사용자대로, 서비스 제공사는 서비스 제공사대로 보안을 신경 써야 합니다.

Employee 관점에서 우리는 여러 방면의 노력을 합니다. 몇 회 log in 시도가 있었다면 10분간 다시 시도를 못 하겠죠.  근데, Cloud의 bot들을 사용한다면, 수백, 수천 개의 봇들이 지속적으로 천천히 시도하면 10분은 사실 의미가 없습니다. 추가로 이런 log in page에서 forgot your password 부분을 노릴 수도 있고요. 내가 구입한 ID/PW 조합을 다 사용하지 않는다고 하더라도 저 link를 통해 해당 ID가 이 사이트에 등록이 되어있는지 아닌지를 바로 알 수 있습니다. 거기다 여기에는 몇 회 이상 시도의 제약이 없죠.  간과하기 쉽지만 이런 구멍을 통하여 해커들은 사용자의 정보들을 취합할 수 있습니다. Credential stuffing을 시작하여 계정 탈취까지 이어지는 이런 일련의 eco-system을 끊을 수 있어야 궁극적인 cyber 보안이라 할 수 있을 것입니다.

더욱 구체적인 사례를 2편에서 살펴보세요! 

블로그 : 진화하는 봇과 우리의 자세 Part 2