Offcanvas

AI / CSO / 디지털 트랜스포메이션 / 머신러닝|딥러닝 / 훈련|교육

AI發 가짜 트래픽과의 전쟁이 시작됐다··· 보안팀을 위한 12가지 핵심 수칙

2024.07.10 Mary K. Pratt  |  CSO
기업의 사이버 보안이 가짜 트래픽의 도전에 직면하고 있다. CISO들은 이제 데이터 보안을 넘어 전체 네트워크 운영과 가용성까지 고려해야 하는 복잡한 상황에 놓였다. 가짜 네트워크 트래픽의 주요 특징과 이에 대응할 수 있는 구체적인 방법을 살펴보자.
 
ⓒ Getty Images Bank

네트워크 트래픽을 효과적으로 분석하는 능력은 다양한 유형의 공격을 식별하고 방어하는 데 중요하다. 성공적인 사이버 보안 프로그램을 운영하려면 기업은 이런 역량을 필수적으로 갖추고 있어야 한다. 실제로 많은 보안팀이 네트워크 트래픽 분석 도구를 보편적으로 사용하고 있으며, 최고정보보안책임자(CISO)도 직접 네트워크 트래픽 분석을 위한 여러 과제를 관리하고 있다.

그러나 아무리 최신 네트워크 트래픽 분석 도구를 사용해도 기업에서 네트워크 트래픽을 완벽하게 파악하는 것은 쉽지 않다. 네트워크 트래픽의 양과 복잡성이 계속 증가하기 때문이다. 특히 최근에는 ‘가짜 네트워크 트래픽’이라 불리는 트래픽이 증가돼 문제가 되고 있다.

보안기술 기업 체크(CHEQ)가 발표한 ‘2024년 가짜 트래픽 현황’ 보고서에 따르면, 2023년에 조사된 전체 트래픽 중 17.9%가 자동화되거나 유효하지 않은 트래픽이었다. 전년 대비 58% 증가한 수치였다.

체크는 보고서를 통해 “2024년 사이버 범죄자와 사기꾼은 더 이상 단순한 봇과 클릭팜(인위적으로 클릭 수를 늘려 특정 웹사이트나 콘텐츠의 인기를 조작하는 서비스)만 이용하지 않을 것이다”라며 “인간의 행동을 모방하고 탐지를 회피하며 광범위한 악의적 활동을 수행할 수 있는 보다 진화된 봇을 사용할 것”이라고 경고했다. 진화된 봇은 허가 없이 데이터를 스크랩하고, 참여 지표를 부풀리고, 사기를 저지르고, 수많은 웹사이트, 모바일 앱, API의 보안과 무결성을 손상시킬 수 있다.

다른 전문가들도 가짜 트래픽 증가로 인해 여러 보안 문제가 파생될 수 있다고 지적했다. 비영리 전문 협회인 전기전자기술자협회(IEEE)의 회원이자 정보 보안, 개인정보 보호, IT 및 규정 준수 서비스 회사인 더 프라이버시 프로페서(The Privacy Professor)의 CEO인 레베카 헤롤드는 “가짜 트래픽은 단순히 데이터 보안 문제를 넘어서 전체 네트워크 운영과 서비스 제공 능력에도 영향을 미칠 수 있으므로, CISO는 보다 다양한 측면을 고려해야 한다”라고 설명했다.

‘가짜’ 네트워크 트래픽은 정확히 무엇인가
흥미롭게도 기관이나 기업마다 가짜 트래픽을 표현하는 방식에 차이가 있다. 가령 체크는 가짜 트래픽을 크게 봇, 의심스러운 트래픽, 악성 트래픽이라는 세 가지 범주로 분류했다. 각 범주는 수백 개의 개별 위협 유형으로 구성된다. 체크 조사에 따르면, 가짜 트래픽에서 봇 트래픽은 49.1%, 의심스러운 트래픽은 42.3%, 악성 트래픽은 8.6%를 차지했다.

미국 챔플레인 대학의 사이버 보안 조교수인 사이드 노아만 알리는 가짜 네트워크 트래픽을 착한 봇, 나쁜 봇, 기타 자동화된 트래픽으로 분류했다. 알리에 따르면, 착한 봇은 합법적인 자동화된 도구다. 웹 콘텐츠를 색인하는 검색 엔진 크롤러, 모니터링 봇, 고객 지원을 제공하는 봇이 대표적이다. 나쁜 봇은 악의적인 활동을 수행하도록 설계된 봇이다. 기타 자동화된 트래픽에는 전통적인 봇의 정의에 맞지 않을 수도 있는 다양한 자동화 스크립트에 의해 생성된 트래픽, 가령 자동화 테스트 도구, 광고 사기 스크립트 등이 포함된다.

ABI 리서치(ABI Research)의 디지털 보안팀 연구 분석가인 조지아 쿡은 봇의 여러 특성을 고려해 ‘가짜 네트워크 트래픽’ 대신 ‘자연 유입(Organic) 트래픽’ 및 ‘인위적(Inorganic)’ 트래픽이라는 용어를 사용한다.

쿡은 “모든 네트워크 트래픽은 실제 트래픽이다. 봇에 의한 트래픽도 결국 네트워크 내 데이터 전송을 일으키므로, 트래픽으로 간주되야 한다”라고 표현했다. 쿡은 “웹에선 많은 자동화가 이루어지고 있으며 봇은 그중 일부일 뿐이다. 자동화된 스크립트와 정책이 사람의 직접적인 개입 없이도 알아서 계속 작동한다. 이미 인터넷상에서는 많은 활동이 기계 사이에서서 발생하고 있다. 서버 관리나 보안점검 등을 위해 만들어 놓은 스크립트, 웹 크롤러, 사물인터넷 기기가 서로 대화하는 식이다. 아마 온라인에서는 이미 사람 보다는 기계와 기계 사이 상호작용이 더 많을 것”이라고 설명했다.

쿡의 연구에 따르면 봇 트래픽의 양은 전체 인터넷 트래픽의 47%에서 64% 사이다. (단, 앞서 말했지만 ‘봇’의 정의는 기관이나 기업마다 다르다)

쿡은 “사람이든 봇이든 네트워크에서 발신자의 구분은 중요하지 않다. 네트워크 입장에서는 단순히 라우팅해야 할 트래픽일 뿐이다. 사람이 보내지 않았다는 이유로 허용된 혹은 안전한 스크립트, 정책, 봇의 트래픽을 ‘가짜’라고 표현하는 게 적절한지 생각해봐야 한다”라고 설명했다. 쿡은 “일부 자동화된 스크립트는 웹사이트 운영에 긍정적인 영향을 미친다. 가령 검색엔진 크롤러가 방문해 사이트 노출 순위가 높아지거나 모니터링 스크립트가 사이트 문제를 발견할 수 있다”라고 설명했다.

쿡은 “트래픽을 분석할 때 단순히 사람이 생성한 것인지 봇이 생성한 것인지를 구분하는 것보다, 트래픽이 그 기능과 목적에 부합하는지, 그리고 보안 위협이 없는지를 고려하는 것이 더 중요하다”라며 “예를 들어 광고 회사가 플랫폼의 합법적인 잠재 고객 수를 파악하기 위해 자동화된 트래픽을 제외하거나 보안 전문가는 악의적인 목적을 갖고 접근하는 트래픽을 우선 분석해 볼 수 있다”라고 제안했다.

AI로 커지는 가짜 트래픽의 위협
가짜 트래픽과 인위적(Inorganic) 트래픽은 AI 시대 이전부터 존재했지만, 당시에는 심각한 문제로 여겨지지 않았다. 그러나 AI의 발전으로 이러한 트래픽의 위협이 증가하면서, 보안팀은 이제 적극적인 대응이 필요한 시점에 직면했다.

알리는 “AI는 여러 가지 방식으로 가짜 네트워크 트래픽의 환경에 큰 영향을 미쳤다. AI가 봇을 대규모로 생성하고 배포할 수 있게 해 가짜 트래픽의 양을 증가시켰다. 거기다 봇은 AI를 활용해 기존 보안 방어 수단에 맞서 더 효과적으로 대응하고, 이를 우회해 공격하는 능력을 강화하고 있다”라며 “AI 기반 봇은 더 정교하고 탐지하기가 더 어렵다. 인간의 행동을 더 비슷하게 모방하기 때문에 기존 탐지 방법의 효과가 떨어지고 있다”라고 설명했다.

전문가들은 이러한 현상이 보안팀의 업무 부담을 가중시킨다고 지적한다. 쿡은 “앞으로 몇 년간 이런 유형의 악성 트래픽이 더 광범위하게 퍼지고, 그 위협도 더욱 커질 것”이라고 전망했다.

가짜 트래픽이 보안에 미치는 영향
영업팀과 마케팅팀은 오래전부터 가짜 네트워크 트래픽에 민감하게 대응했다. 가짜 트래픽이 제품이나 소셜 미디어 캠페인에 대한 고객 및 사용자의 관심도를 부풀려 보이게 만들기 때문에, 이를 식별하고 제거하기 위해 노력해 왔다.

이제는 영업팀과 마케팅팀뿐만 아니라 보안 리더도 가짜 트래픽을 해결하기 위해 노력해야 한다. 가짜 네트워크 트래픽의 양이 증가하고 수법이 더욱 정교해지면서 사이버 보안에 심각한 위협이 되고 있기 때문이다.

앞서 언급한 체크 보고서는 가짜 네트워크 트래픽이 초래할 수 있는 다양한 보안 문제를 지적했다. 여기에는 서비스 중단과 데이터 유출뿐만 아니라, 광고 비용 낭비, 분석 데이터 왜곡, 마케팅 캠페인 중단이 포함된다. 이러한 문제는 결국 고객 이탈로 이어질 수 있다고 체크는 경고했다.

헤롤드는 가짜 네트워크 트래픽이 대역폭 용량보다 더 많은 트래픽을 생성하여 네트워크 가용성에 영향을 줄 수 있다고 경고했다. 헤롤드는 “가짜 네트워크 트래픽의 양 자체도 증가하고 있고, 여기에 AI가 가짜 네트워크 트래픽을 더 정상적으로 보이게 만드는 데 사용되고 있다”라며 “보안팀이 이상 징후와 악성 트래픽을 식별하기가 더 어려워질 수 있다”라고 지적했다.

쿡은 “비정상 트래픽 탐지는 위협 탐지 시스템의 핵심 요소다. 봇 트래픽이 적절히 관리되지 않으면, 위협과 관련해 잘못된 경고를 받거나 아예 위협을 탐지조차 못 할 수 있다”라고 조언했다.

앞으로 보안팀은 가짜 트래픽 대응에 더 많은 시간과 노력을 투입해야 한다. 숙련된 해커들은 인위적 트래픽을 이용해 자신의 실제 공격 의도를 숨기거나 보안팀의 주의를 분산시킬 수 있다. 헤롤드는 “해커들이 가짜 트래픽을 이용해 실제 공격 목표를 감추고 보안팀의 주의를 다른 곳으로 돌릴 수 있다”고 경고했다. 체크는 보고서를 통해 “가짜 트래픽은 단순한 골칫거리가 아니라 비즈니스 전략에 영향을 주는 문제”라고 표현했다.

가짜 네트워크 트래픽 대처 방안
일반적으로 보안 조직은 내부 IT 환경으로 들어오고 이동하는 트래픽을 모니터링하면서 악성 트래픽을 식별하고 차단한다. 하지만 가짜 트래픽은 이러한 관행의 효과를 저해한다.

쿡은 “물론 온라인에서 스크립트로 작성되거나 기계 간 상호 작용이 모두 문제가 있는 것은 아니다. 네고봇(Negobot, 채팅 플랫폼에서 아동 성 착취자를 식별하고 검거하기 위해 개발된 봇 으로, 롤리타 챗봇이라고 부름) 같이 좋은 의도로 만들어진 기술도 있다”라며 “그럼에도 악의적인 트래픽도 많이 존재한다. 네트워크 착취 외에 다양한 목적으로 악의적인 트래픽이 발생되고 있다”라고 지적했다.

쿡은 또한 이러한 교묘한 봇이 소셜 미디어 서비스의 신뢰성을 낮추고 잠재적인 피해를 만들 수 있다고 언급했다. 쿡은 “‘좋아요’를 대신 눌러주는 봇을 이용하는 식으로 인위적인 트래픽이 발생하면 소셜 미디어의 참여 알고리즘 기술이 훼손될 수 있다”라며 “나쁜 사용자 경험으로 소셜 미디어 플랫폼의 평판은 떨어지고 사용자가 이탈할 수 있다”라고 설명했다.

쿡은 “봇과 그 잠재적 위협을 단순화하려는 시도는 위험하다”라며 “이 문제는 복잡한 양상을 띠고 있어 단순한 접근으로는 해결할 수 없다. 사이버 전문가들은 자신의 목표와 공격자들의 의도를 종합적으로 고려해 봇 문제를 이해해야 한다”라고 조언했다.

가짜 트래픽은 증가하고 있으며, 가짜 트래픽을 진짜 트래픽처럼 속여주는 기술이 진화하고 있다. CISO는 이 두 가지 변화를 인식하며 보안팀의 전략을 재구성해야 한다.

쿡은 “보안 전문가는 조직을 보호하기 위해 봇 생태계와 그로 인한 위협을 이해해야 한다”라며 “이러한 위협에는 직접적인 네트워크 착취, 알고리즘 조작을 통한 제품에 대한 간접적인 위협, 나쁜 사용자 경험, 그리고 사용자들이 플랫폼에서 점점 더 성공적으로 표적이 되는 위협 등이 포함된다”라고 조언했다.

또한 쿡은 “보안 전문가는 일반적 위협 외에도 봇 프로필이 광고와 네트워크 관리와 같은 일상적인 문제에 미치는 영향도 파악하고 있어야 한다”라며 “점점 더 정교해지는 위협으로부터 네트워크, 데이터 및 사용자를 보호하면서 문제를 종합적으로 해결하는 방식을 고민해야 한다. 악성 봇 활동을 탐지하고 방지하는 조치를 시행해야 한다. 또한 보안 전문가는 사용자에게 가짜 트래픽과 악성 프로필의 특징을 알려주며, 사용자가 스스로를 보호할 수 있도록 교육하는 역할도 맡아야 한다”라고 강조했다.

가짜 트래픽 대응을 위한 12단계 가이드
헤롤드는 CISO가 가짜 네트워크 트래픽에 대응하기 위한 계획을 수립하고, 기존 네트워크 모니터링 정책과 절차를 개선하여 조직에 초래하는 특정 위협과 문제를 고려할 것을 권장했다.

헤롤드는 “가짜 트래픽의 양면성을 이해하며 스트레스 테스트와 같은 긍정적인 용도뿐만 아니라, 악의적으로 사용될 수 있는 방법과 그에 대한 대응책도 파악해야 한다”라며 “이러한 분석 결과는 위험 관리 계획에 반드시 포함되어야 한다. 봇 문제가 오래전부터 존재했음에도 많은 조직에서 아직 체계적으로 다루지 않고 있다”라고 설명했다.

헤롤드는 보안팀에게 트래픽 흐름 정책의 예외 사항을 정기적으로 검토할 것을 권고했다. 그는 이러한 검토를 최소 연 1회 실시하거나, 새로운 기술 도입 등 중요한 변화가 있을 때 수행해야 한다고 강조했다. 또한, 비즈니스 요구사항이 변경되어 더 이상 필요하지 않은 예외 사항은 즉시 제거해야 한다고 밝혔다.

구체적으로 헤롤드는 보안팀이 가짜 트래픽에 대응하기 위해 필요한 작업 12가지를 다음과 같이 제안했다.

1. 조직의 네트워크 및 전체 디지털 에코시스템에 대한 각 관리 인터페이스에 적용되는 트래픽 흐름 정책을 수립한다.
2. 방화벽, DMZ, 웹 서버, 사물인터넷(IoT) 디바이스, 직원 소유 무선 라우터 등 시스템에 대한 외부 관리 인터페이스와 시스템 내 주요 내부 관리 인터페이스에서 네트워크 트래픽을 모니터링하고 제어하는 절차, 제어 및 도구를 구현한다.
3. 기본적으로 모든 유형의 네트워크 트래픽을 거부하고 승인된 예외 및/또는 설정된 승인된 트래픽 유형에 따라 특정 유형의 네트워크 트래픽을 허용한다.
4. 외부 네트워크와의 무단 네트워크 트래픽 교환을 탐지하고 방지하는 절차와 도구를 구현한다.
5. 조직의 보안 및 개인정보 보호 아키텍처에 맞게 설계, 구현, 조정된 경계 보호 장치와 디지털 도구로 구성된 관리형 인터페이스를 통해서만 조직의 네트워크를 외부 네트워크 또는 시스템에 연결한다.
6. 인바운드 및 아웃바운드 통신 트래픽의 관리형 모니터링을 지원하기 위해 외부 네트워크 연결 수를 제한한다.
7. 각 외부 통신 서비스에 대한 관리형 인터페이스(액세스 제어 등의 제어 및 IDS/IPS 등의 보호 기능 포함)를 구현한다.
8. 조직 내부 네트워크(예: 병원, 학교 등 조직 내 방문자/일반 사용자를 위한 인터넷 액세스 허브)와 물리적으로 및/또는 논리적으로 분리된 공개적으로 액세스 가능한 시스템 구성요소를 위한 하위 네트워크를 마련한다.
9. 각 인터페이스를 통해 전송되는 데이터의 기밀성과 무결성을 보호한다.
10. 트래픽 흐름 정책에 대한 각 예외(중앙 집중식 관리를 통해 기업 보안 정책 예외 정책을 지원해야 함)를 필요한 완화 제어, 예외 기간 등을 포함한 지원 임무 또는 비즈니스 요구 사항과 함께 문서화한다.
11. 디지털 에코시스템의 모든 구성 요소를 가능한 한 빨리 패치 또는 업데이트한다.
12. 이러한 활동을 담당하는 IT 직원에게 적어도 일 년에 한 번, 그리고 주요 변경 사항이 있을 때마다 교육을 제공하고 주기적으로 보안 관련 알림을 보낸다.
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.