굿모닝작전
글로벌 기술 및 보안 기업 탈레스(Thales)가 인터넷 전반의 자동화된 봇 트래픽에 대한 글로벌 분석인 2025년 임퍼바 악성 봇 보고서(2025 Imperva Bad Bot Report)를 발간한다고 13일 발표했다. 올해로 12번째인 이 연례 연구 보고서는 생성형 인공지능(AI)이 봇 개발에 혁명을 일으켜, 덜 정교한 공격자도 대규모 봇 공격을 감행할 수 있게 됐다고 설명했다.
보고서에 따르면 자동화된 봇 트래픽은 2024년에 전체 웹 트래픽의 51%를 차지하며 10년 만에 처음으로 인간이 생성한 트래픽을 넘어섰다. 이는 AI와 대규모 언어 모델(LLM)의 발전에 따른 결과로 악의적인 목적을 위한 봇의 생성과 확장이 간소화되고, AI 도구가 점점 더 쉽게 접근 가능해짐에 따라 사이버 범죄자들이 이 기술을 활용해 악성 봇을 만들고 배포하는 경우가 늘고 있다. 현재 이러한 봇은 전체 인터넷 트래픽의 37%를 차지하는데, 이는 2023년 32%에서 크게 증가한 수치이다. 악성 봇 활동은 6년 연속 증가세를 보이며 디지털 자산을 보호하고자 노력하는 조직에 보안 문제를 야기하고 있다.
특히, 여행 및 리테일 부문에서 악성 봇이 트래픽의 41%와 59%를 차지하며 심각한 문제에 직면해 있다. 2024년 여행 산업은 전체 봇 공격의 27%를 차지하며 가장 많은 공격을 받았다. 2023년 21%보다 증가한 수치이다. 2024년 주목할 만한 변화는 여행 산업을 표적으로 하는 고급 봇 공격이 감소한 것(2023년 61%에서 41%로 감소)과 단순 봇 공격이 급격히 증가한 것(2023년 34%에서 52%로 증가)이다. 이러한 변화는 AI 기반 자동화 도구 덕분에 공격자의 침입 장벽이 낮아졌고, 덜 정교한 공격자도 더 기본적인 봇 공격을 시작할 수 있게 되었다는 것을 보여준다. 사이버 범죄자들은 정교한 기술에만 의존하기보다는 점점 더 많은 양의 단순 봇을 사용하여 여행 사이트를 침수시키고 있으며, 이로 인해 공격이 더 빈번하고 광범위하게 이루어진다.
챗봇(ChatGPT), 바이트스파이더 봇(ByteSpider Bot), 클로드봇(ClaudeBot), 구글 제미니(Google Gemini), 퍼플렉시티 AI(Perplexity AI), 코히어 AI(Cohere AI)를 비롯한 고급 AI 도구의 등장으로 사용자 상호작용뿐만 아니라 공격자가 사이버 위협을 실행하는 방법도 변화하고 있다. 임퍼바 위협 연구팀에 따르면 바이트스파이더 봇은 AI 기반 공격의 54%를 차지하며, 다른 주요 봇으로는 애플봇(26%), 클로드봇(13%), 챗GPT 사용자 봇(6%) 등이 있다.
탈레스의 애플리케이션 보안 총괄책임자 팀 창(Tim Chang)은 "AI 기반 봇 생성의 급증은 전 세계 기업에 심각한 영향을 미치고 있다"면서, "자동화된 트래픽이 전체 웹 활동의 절반 이상을 차지함에 따라, 악성 봇으로 인한 조직의 위험이 커지고 있으며 이는 날이 갈수록 더욱 늘어나고 있다"고 설명했다.
공격자는 AI를 활용하는 데 더욱 능숙해지면서 DDoS 공격부터 사용자 정의 규칙 익스플로잇, API 위반에 이르는 다양한 사이버 위협을 실행할 수 있다. 봇을 이용한 공격은 점점 더 정교해지고 있고, 그로 인해 그 공격을 탐지하는 것은 점점 더 어려워지고 있다.
창은 "올해 보고서는 봇 공격자들이 사용하는 진화하는 전술과 기술에 대해 조명한다. 한때 고도의 회피 방법으로 여겨졌던 것들이 이제는 많은 악성 봇의 표준 관행이 됐다"면서 "급변하는 환경 속에서 기업은 전략을 발전시켜야 한다. 끊임없이 변화하는 봇 관련 위협 환경에 맞서 회복력 있는 방어 체계를 구축하기 위해서는 정교한 봇 탐지 도구와 포괄적인 사이버 보안 관리 솔루션을 활용하는 적응적이고 사전 예방적 접근 방식을 채택하는 것이 중요하다"고 덧붙였다.
임퍼바 위협 연구팀의 최근 조사 결과에 따르면 고급 봇 트래픽의 44%가 API를 표적으로 삼고 있으며, 이는 복잡한 비즈니스 로직을 겨냥한 것이다.
금융 서비스, 의료, 전자상거래 분야가 가장 큰 피해를 입고 있다.
금융 서비스 부문은 계정 탈취(ATO) 공격의 가장 많은 표적이 된 산업으로 전체 사건의 22%를 차지했으며, 그 다음으로는 통신 및 ISP가 18%, 컴퓨팅 및 IT가 17%를 차지했다. 금융 서비스는 계좌의 높은 가치와 위험에 노출된 데이터의 민감한 특성으로 인해 오랫동안 ATO 공격의 주요 표적이 되어 왔다. 은행, 신용카드 회사, 핀테크 플랫폼은 신용카드 및 은행 계좌 정보를 비롯한 개인 식별 정보(PII)를 대량으로 보유하고 있으며, 이러한 정보는 다크웹에서 수익성 있게 판매될 수 있다. 또한, 업계 내 API의 확산으로 공격 표면이 넓어졌고, 사이버 범죄자들은 미약한 인증 및 권한 부여 방법과 같은 취약점을 공격하여 계정 탈취 및 데이터 도용을 시도한다.
창은 "API에 내재된 비즈니스 로직은 강력하지만 악의적인 행위자가 공격할 수 있는 고유한 취약점을 만들어내기도 한다"면서, "조직이 클라우드 기반 서비스와 마이크로서비스 아키텍처를 도입함에 따라, API를 필수로 만드는 바로 그 기능들이 사기 및 데이터 침해 위험에 취약하게 만들 수도 있다는 점을 이해하는 것이 중요하다"고 말했다.
이번 12번째 임퍼바 악성 봇 보고서는 탈레스의 위협 연구 및 보안 분석 서비스(SAS)팀이 임퍼바 글로벌 네트워크에서 2024년 수집한 데이터를 기반으로 작성됐다. 수천 개의 도메인과 산업에서 13조 개의 악성 봇 요청을 차단한 내용을 포함하고 있다.
한편, 탈레스는 방위, 항공우주, 사이버 및 디지털 부문에서 선도적인 역할을 하며, 매년 연구개발에 40억 유로 이상을 투자하고 있다. 68개국에 약 8만 3000명의 직원을 두고 있으며, 2024년에는 206억 유로의 매출을 기록했다.
한경닷컴 뉴스룸 open@hankyung.com
관련뉴스
