2020.06.17

로그인 정보 분석해 봇 차단… 오스제로 시그널즈

John Breeden II | CSO
오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.
 
ⓒGetty Images Bank

지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다. 

지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다. 

이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다. 

오스제로 작동 방식 
오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다. 

규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤 것도 설치되지 않는다.  
 
ⓒCSO
플랫폼에서 모니터링하는 웹 사이트에서 오스제로 시그널즈 엔진은 모든 보호 프로세스에 대해 점수를 매긴다. 이 점수에 따라 사용자는 웹 포털이나 자체 애플리케이션 내에서 규칙을 정의할 수 있다. 가능한 조치로는 트랜잭션 차단부터 보안 문자 문제 발생까지 모든 것이 포함된다.

또한 오스제로는 개발자가 이용할 수 있는 일련의 툴을 제공해 개발자는 ID 분석을 플랫폼으로 이동하는 등의 작업을 손쉽게 할 수 있다. 심지어 드래그 앤드 드롭 기능을 위한 위젯도 있다. 

스크립트 공격에 대항 
오스제로 플랫폼은 4개의 주요 기준을 이용해 로그인 또는 여타 ID 이용 시도가 정당한지 판단한다. 즉, 속도(velocity), 맥락(context), IP 평판(IP reputation), 그리고 데이터 기반 예측(predictions based on data)이다. 다섯 번째 기준인 행동 생체 정보 기반 시그널(behavioral biometrics-based signal)은 현재 개발 중이다. 

속도 
속도(Velocity)는 기본적으로 한 IP 주소에 허용되는 로그인 시도 횟수다. 대다수 스크립트 공격은 한 웹사이트를 통한 다수의 로그인 내지 여타 시도를 최대한 빨리 이행한다. 이는 유효한 이용자 이름 및 비밀번호 조합을 찾아내려는 시도다. 속도 한도는 예를 들어 24시간 내 80~100회 등으로 시도를 제한하고, 전적으로 구성 설정이 가능하다.  

공격자가 특정 속도를 넘어설 때 공격이 차단된다는 점을 안다면 봇의 활동을 어느 정도 줄이려 할 것이다. 이 속도를 넘지 않기 위해서다. 오스제로는 스크립트 공격을 지속해서 차단하기 위해 자동으로 한도를 조정할 수 있다. 

맥락 
이는 상식적 논리 규칙들을 적용하며 공격자가 수집한 인증 정보를 이용하지 못 하도록 방어한다. 예를 들어 한 이용자가 매일 아침 캔자스로부터 로그인을 하다가 갑자기 한밤중에 우크라이나에서 로그인한다면 매우 의심스러운 것으로 경고 표시된다. 

IP 평판 
공격자가 약간의 돈으로 IP 주소를 구입하는 것은 어려운 일이 아니다. 그러나 공격자는 경제 및 편의의 이유로 자주 사용하는 주소를 재사용하는 경향이 있다. 그렇다면 평판이 좋지 않은 IP 주소로부터 다수의 스크립트 공격이 발생할 수 있을 것이다. 
 
ⓒCSO
개념 증명을 보여주기 위해 오스제로 시그널즈는 IP 평판 신호를 무료로 제공한다. IP 주소를 입력하면 해당 주소에 대해 수집된 모든 데이터를 나타내 준다.

데이터 기반 예측 
맥락이 한 사이트의 이용자에 기반하는 반면 예측 시그널은 오스제로 플랫폼을 이용하는 모든 회사 및 조직으로부터 수집된 자료를 거시적으로 관찰한다. 예를 들어 특정 IP 주소에서 나온 공격은 여러 회사를 표적으로 할 수 있다. 

일단 로그인이나 여타 프로세스에 대한 점수가 생성되면 규칙이 거의 동시적으로 적용된다. 정당한 이용자는 자신의 요청이 4대 시그널을 기준으로 분석된다는 것을 전혀 알아차리지 못한다. 스크립트 공격이 확실하다고 판단될 정도로 점수가 높으면 이용자 내지 IP 주소를 차단하는 조처를 할 수 있다. 그러나 조금이라도 불확실성이 있다면 퍼즐을 풀도록 요청하는 것이 봇을 제거하는 완벽한 방법이다. 정당한 이용자는 정지 신호, 나무 등 자신이 인간임을 증명하는 어떤 것이든 클릭하는 데 전혀 문제가 없을 것이지만, 봇은 언제나 실패할 것이다. 그리고 오스제로는 여러 시그널을 교차 참조하며 신중하게 점수를 생성하기 때문에 봇에게만 이 테스트가 제시될 가능성이 높다. 인간에게 퍼즐이 제시된다 해도 그렇게 크게 불편을 주지는 않을 것이다. 
 
ⓒCSO
이 그래프는 지난 3월 봇이 금융 기관의 웹 사이트에 침입하려고 시도했을 때 스크립트 공격으로 인해 수십만 개의 로그인 오류가 발생했음을 보여준다. 다른 오스제로 시그널즈가 활성화되면서 공격 횟수가 줄었다. 그러나 공격자들도 보호를 피하려고 노력했다. 오스제로 시그널즈 플랫폼이 활성화되면서 추가 침입 시도가 멈췄다. 일반적으로 플랫폼 전체가 즉시 활성화되지만 해당 고객은 새로운 도구에 주의를 기울였다.

결론 
오스제로 ID 관리 플랫폼의 가격은 보호되는 사이트에 접속하는 유효 이용자 수에 따라 산정된다. 잠재 이용자 수를 알 수 없는 전자상거래 사이트 같은 경우, 규모에 따라 적정 가격으로 보호를 제공하는 엔터프라이즈 요금제가 있다. 그리고 4가지 오스제로 시그널즈 분석은 모든 요금제에서 동일하게 제공된다.  

이용자가 신원을 증명할 더 좋은 방법이 나올 때까지 앱과 웹사이트는 스크립트 공격에 계속해서 취약할 것이다. 오스제로 ID서비스 플랫폼은 이러한 공격을 차단하는 데 아주 효과적이고, 스크립트 로그인 시도를 차단할 뿐 아니라 이용자가 신원을 증명해야 하는 모든 지점을 보호한다. 

플랫폼이 진화하며 행동 생체 정보 등의 시그널이 추가된다면 이는 한층 정교해질 것이다. 그러나 현재의 시그널만으로도 대부분의 스크립트 공격이나 봇을 중간에서 차단할 수 있다. 이는 사이버보안에서 때때로 간과되지만 결정적인 영역을 탁월하게 방어한다. 

*John Breeden II는 기술적 사고 리더십 콘텐츠 제작 그룹인 테크라이터 뷰로(Tech Writers Bureau)의 CEO다. ciokr@idg.co.kr

 



2020.06.17

로그인 정보 분석해 봇 차단… 오스제로 시그널즈

John Breeden II | CSO
오스제로 ID 관리 플랫폼의 핵심 구성 요소인 오스제로 시그널즈(Auth0 Signals)은 4가지 주요 기준에 대한 로그인 시도를 분석하여 스크립트 기반 또는 봇 공격을 식별하고 차단한다.
 
ⓒGetty Images Bank

지난 30년 동안 컴퓨터 보안은 애플리케이션과 웹사이트에 들어가는 순간 이용자가 자신을 인증하는 것이 주류였다. 이용자가 정확한 이름과 비밀번호를 입력하면 전체 사이트가 이들에게 개방되는 것이 보통이다. 오스제로(Auth0)는 신원(ID) 서비스를 제공하고 이용자 참여 과정 전체에 걸쳐 작용하는 플랫폼으로 이를 바꾸려 하고 있다. 심지어 플랫폼은 필요 시 가외의 보안을 추가하기도 한다. 

지속적인 ID 보호를 목표로 하는 이 노력에서 가장 큰 난관과 대부분의 노력이 실패하는 이유는 웹사이트와 애플리케이션을 겨냥한 봇 기반 및 스크립트 로그인 시도 횟수가 엄청나다는 데 있다. 이러한 공격은 이용자를 분석하려 하는 대다수 플랫폼에 과도한 부하를 줄 수 있다. 

이 위협에 맞서기 위해 오스제로는 오스제로 ID 관리 SaaS 플랫폼의 핵심 컴포넌트로서 오스제로 시그널즈(Auth0 Signals)를 개발하였고, 필자의 테스팅에서 이는 대부분 스크립트 기반 공격이나 봇 공격을 차단할 수 있었다. 

오스제로 작동 방식 
오스제로 ID서비스 플랫폼은 이용자가 수행하는 다양한 작업을 분석한다. 예를 들어 웹사이트에 가입하고 계정 복원을 요청하고 로그인하고 세션을 갱신하는 것 등이다. 오스제로의 회원사에서 모니터링되는 작업을 수행할 때(회사 관계자에 따르면 약 25,000곳) 해당 트랜잭션 세부 정보가 클라우드에 있는 예외 검출 엔진으로 발송된다. 그 후 확신 점수를 제공하고, 이를 바탕으로 규칙이 생성된다든지, 해당 이용자를 차단하거나, 퍼즐 문제가 제시된다. 

규칙은 웹 포털 내에서 생성될 수 있다. 아니라면 기업은 위험 평가 점수를 바탕으로 자신의 대응을 직접 프로그래밍할 수 있다. 어떤 경우라도 호스팅 회사에는 어떤 것도 설치되지 않는다.  
 
ⓒCSO
플랫폼에서 모니터링하는 웹 사이트에서 오스제로 시그널즈 엔진은 모든 보호 프로세스에 대해 점수를 매긴다. 이 점수에 따라 사용자는 웹 포털이나 자체 애플리케이션 내에서 규칙을 정의할 수 있다. 가능한 조치로는 트랜잭션 차단부터 보안 문자 문제 발생까지 모든 것이 포함된다.

또한 오스제로는 개발자가 이용할 수 있는 일련의 툴을 제공해 개발자는 ID 분석을 플랫폼으로 이동하는 등의 작업을 손쉽게 할 수 있다. 심지어 드래그 앤드 드롭 기능을 위한 위젯도 있다. 

스크립트 공격에 대항 
오스제로 플랫폼은 4개의 주요 기준을 이용해 로그인 또는 여타 ID 이용 시도가 정당한지 판단한다. 즉, 속도(velocity), 맥락(context), IP 평판(IP reputation), 그리고 데이터 기반 예측(predictions based on data)이다. 다섯 번째 기준인 행동 생체 정보 기반 시그널(behavioral biometrics-based signal)은 현재 개발 중이다. 

속도 
속도(Velocity)는 기본적으로 한 IP 주소에 허용되는 로그인 시도 횟수다. 대다수 스크립트 공격은 한 웹사이트를 통한 다수의 로그인 내지 여타 시도를 최대한 빨리 이행한다. 이는 유효한 이용자 이름 및 비밀번호 조합을 찾아내려는 시도다. 속도 한도는 예를 들어 24시간 내 80~100회 등으로 시도를 제한하고, 전적으로 구성 설정이 가능하다.  

공격자가 특정 속도를 넘어설 때 공격이 차단된다는 점을 안다면 봇의 활동을 어느 정도 줄이려 할 것이다. 이 속도를 넘지 않기 위해서다. 오스제로는 스크립트 공격을 지속해서 차단하기 위해 자동으로 한도를 조정할 수 있다. 

맥락 
이는 상식적 논리 규칙들을 적용하며 공격자가 수집한 인증 정보를 이용하지 못 하도록 방어한다. 예를 들어 한 이용자가 매일 아침 캔자스로부터 로그인을 하다가 갑자기 한밤중에 우크라이나에서 로그인한다면 매우 의심스러운 것으로 경고 표시된다. 

IP 평판 
공격자가 약간의 돈으로 IP 주소를 구입하는 것은 어려운 일이 아니다. 그러나 공격자는 경제 및 편의의 이유로 자주 사용하는 주소를 재사용하는 경향이 있다. 그렇다면 평판이 좋지 않은 IP 주소로부터 다수의 스크립트 공격이 발생할 수 있을 것이다. 
 
ⓒCSO
개념 증명을 보여주기 위해 오스제로 시그널즈는 IP 평판 신호를 무료로 제공한다. IP 주소를 입력하면 해당 주소에 대해 수집된 모든 데이터를 나타내 준다.

데이터 기반 예측 
맥락이 한 사이트의 이용자에 기반하는 반면 예측 시그널은 오스제로 플랫폼을 이용하는 모든 회사 및 조직으로부터 수집된 자료를 거시적으로 관찰한다. 예를 들어 특정 IP 주소에서 나온 공격은 여러 회사를 표적으로 할 수 있다. 

일단 로그인이나 여타 프로세스에 대한 점수가 생성되면 규칙이 거의 동시적으로 적용된다. 정당한 이용자는 자신의 요청이 4대 시그널을 기준으로 분석된다는 것을 전혀 알아차리지 못한다. 스크립트 공격이 확실하다고 판단될 정도로 점수가 높으면 이용자 내지 IP 주소를 차단하는 조처를 할 수 있다. 그러나 조금이라도 불확실성이 있다면 퍼즐을 풀도록 요청하는 것이 봇을 제거하는 완벽한 방법이다. 정당한 이용자는 정지 신호, 나무 등 자신이 인간임을 증명하는 어떤 것이든 클릭하는 데 전혀 문제가 없을 것이지만, 봇은 언제나 실패할 것이다. 그리고 오스제로는 여러 시그널을 교차 참조하며 신중하게 점수를 생성하기 때문에 봇에게만 이 테스트가 제시될 가능성이 높다. 인간에게 퍼즐이 제시된다 해도 그렇게 크게 불편을 주지는 않을 것이다. 
 
ⓒCSO
이 그래프는 지난 3월 봇이 금융 기관의 웹 사이트에 침입하려고 시도했을 때 스크립트 공격으로 인해 수십만 개의 로그인 오류가 발생했음을 보여준다. 다른 오스제로 시그널즈가 활성화되면서 공격 횟수가 줄었다. 그러나 공격자들도 보호를 피하려고 노력했다. 오스제로 시그널즈 플랫폼이 활성화되면서 추가 침입 시도가 멈췄다. 일반적으로 플랫폼 전체가 즉시 활성화되지만 해당 고객은 새로운 도구에 주의를 기울였다.

결론 
오스제로 ID 관리 플랫폼의 가격은 보호되는 사이트에 접속하는 유효 이용자 수에 따라 산정된다. 잠재 이용자 수를 알 수 없는 전자상거래 사이트 같은 경우, 규모에 따라 적정 가격으로 보호를 제공하는 엔터프라이즈 요금제가 있다. 그리고 4가지 오스제로 시그널즈 분석은 모든 요금제에서 동일하게 제공된다.  

이용자가 신원을 증명할 더 좋은 방법이 나올 때까지 앱과 웹사이트는 스크립트 공격에 계속해서 취약할 것이다. 오스제로 ID서비스 플랫폼은 이러한 공격을 차단하는 데 아주 효과적이고, 스크립트 로그인 시도를 차단할 뿐 아니라 이용자가 신원을 증명해야 하는 모든 지점을 보호한다. 

플랫폼이 진화하며 행동 생체 정보 등의 시그널이 추가된다면 이는 한층 정교해질 것이다. 그러나 현재의 시그널만으로도 대부분의 스크립트 공격이나 봇을 중간에서 차단할 수 있다. 이는 사이버보안에서 때때로 간과되지만 결정적인 영역을 탁월하게 방어한다. 

*John Breeden II는 기술적 사고 리더십 콘텐츠 제작 그룹인 테크라이터 뷰로(Tech Writers Bureau)의 CEO다. ciokr@idg.co.kr

 

X