봇 관리
개요
자동화된 봇 트래픽은 가용성, 인프라 비용 증가, 왜곡된 분석, 계정 탈취와 같은 사기 활동 측면에서 웹 애플리케이션에 부정적인 영향을 미칠 수 있습니다. 봇 관리는 봇에서 들어오는 트래픽을 식별한 다음 원하지 않는 트래픽을 차단하는 데 사용되는 제어를 지정합니다. 이러한 제어의 정교함은 악의적인 공격자가 웹 애플리케이션을 표적으로 삼는 데 재정적, 정치적으로 얼마나 많은 인센티브를 받는지에 따라 달라집니다. 웹 애플리케이션을 표적으로 삼으려는 동기가 강할수록 탐지 회피 기술에 더 많이 투자하게 되므로 고급 완화 기능이 필요합니다. 봇을 관리할 때는 각 특정 봇의 정교함에 맞게 차별화된 도구를 사용하여 계층화된 접근 방식을 채택하는 것이 좋습니다. 시작 위치에 대한 자세한 내용은 봇 제어 전략 구현을 위한 AWS 권장 가이드를 참조하세요.
일반적이고 널리 사용되는 봇을 위한 서명 기반 탐지
스캐너 및 크롤러와 같은 일반적이고 널리 사용되는 봇에 의해 생성된 트래픽은 IP, User-Agent 헤더 또는 TLS 핑거프린트와 같은 HTTP 속성을 기반으로 요청의 서명을 분석하여 서버 측에서 식별하고 관리할 수 있습니다. AWS WAF에서는 다음과 같은 서명 기반 규칙을 사용할 수 있습니다.
- 속도 제한, 관리형 IP 평판 규칙 그룹(Amazon IP 평판 목록, 익명 IP 목록 등), Shield Advanced의 자동 애플리케이션 계층 DDoS 완화에 의해 자동으로 생성되는 규칙과 같은 HTTP 플러드(L7 DDoS 공격)를 차단하는 데 사용되는 규칙.
- AWS WAF Bot Control 관리형 규칙 그룹은 자체 식별 봇을 차단하는 일반 보호 수준 또는 신뢰도가 높은 봇 서명으로 구성됩니다. 이 규칙 그룹을 세분화하여 Http Library 또는 Scraping Framework와 같은 다양한 봇 범주의 관리를 차별화할 수 있습니다. 이 블로그에서는 레이블 및 scope-down 문을 통해 AWS WAF Bot Control의 세분화된 구성에 대한 구체적인 예를 제공합니다.
- F5의 봇 보호 규칙 및 ThreatSTOP의 활성 악성 봇과 같이 AWS Marketplace의 보안 공급업체가 제공하는 관리형 규칙.
고급 봇을 위한 동작 탐지
악의적인 공격자는 웹 사이트 트래픽을 자동화하는 데 더 많은 인센티브를 얻을수록(예: 콘텐츠를 긁어 재판매하고, 신용 카드 데이터를 훔쳐서 재판매하는 등의 재정적 동기) 탐지 회피 기술(예: 가정용 네트워크의 IP 사용, 고급 브라우저 자동화 프레임워크 사용, CAPTCHA 파밍 사용 등)에 더 많은 노력과 비용을 투자합니다. 정교한 봇의 경우 서명 기반 탐지의 효율성이 떨어지므로 보다 고급의 비용이 많이 드는 동작 탐지를 배포해야 합니다.
CAPTCHA
AWS WAF에서 구성된 규칙에는 차단, 개수 또는 속도 제한 외에도 CAPTCHA 액션이 포함될 수 있습니다. CAPTCHA 액션으로 규칙을 구성하면 사용자는 사람이 요청을 보내고 있음을 증명하기 위해 퍼즐을 풀어야 합니다. 사용자가 CAPTCHA 챌린지를 성공적으로 해결하면 구성 가능한 면역 시간을 사용하여 향후 요청에 챌린지가 발생하지 않도록 브라우저에 토큰이 생성됩니다. CAPTCHA 구성 모범 사례에 대해 알아보세요.
사일런트 챌린지
AWS WAF에서 구성된 규칙에는 차단, 개수 또는 속도 제한 외에도 챌린지 액션이 포함될 수 있습니다. 챌린지 액션으로 규칙을 구성하면 자동 챌린지(중간 챌린지)가 브라우저에 표시됩니다. 이 경우 클라이언트 세션에서 봇이 아니라 브라우저임을 확인해야 합니다. 확인은 최종 사용자의 개입 없이 백그라운드에서 실행됩니다. 이는 CAPTCHA 퍼즐을 통해 최종 사용자 경험에 부정적인 영향을 주지 않으면서도 유효하지 않은 것으로 의심되는 클라이언트를 확인할 수 있는 좋은 옵션입니다. 사용자가 사일런트 챌린지를 성공적으로 해결하면 구성 가능한 면역 시간을 사용하여 향후 요청에 챌린지가 발생하지 않도록 브라우저에 토큰이 생성됩니다. 챌린지 구성 모범 사례에 대해 알아보세요.
클라이언트 애플리케이션 통합
AWS WAF 토큰을 획득하는 또 다른 옵션은 AWS WAF 애플리케이션 통합 SDK를 사용하는 것입니다. SDK는 클라이언트 애플리케이션에서 프로그래밍해야 하지만, 더 나은 고객 경험을 제공할 수 있고 무료로 사용할 수 있으며 JavaScript를 실행하는 브라우저에서 사용하거나 Android 또는 iOS 모바일 애플리케이션에서 기본적으로 사용할 수 있습니다. SDK 통합은 챌린지 또는 CAPTCHA 규칙 작업이 옵션이 아닌 경우(예: 단일 페이지 애플리케이션)에 유용합니다. AWS WAF는 두 가지 수준의 클라이언트 애플리케이션 통합을 제공합니다.
- 지능형 위협 통합 SDK - 지능형 위협 완화 규칙과 함께 작동하도록 설계되었습니다. 이 SDK는 클라이언트 애플리케이션을 검증하고 AWS 토큰 획득 및 관리를 제공합니다. 이 기능은 AWS WAF 챌린지 규칙 작업과 유사합니다.
- CAPTCHA 통합 JS API - 이 API는 고객이 애플리케이션에서 관리하는 사용자 지정 CAPTCHA 퍼즐로 최종 사용자를 검증합니다. 이는 AWS WAF CAPTCHA 규칙 작업에서 제공하는 기능과 비슷하지만 퍼즐 배치 및 동작에 대한 제어가 추가되었습니다. 이 기능은 JavaScript 애플리케이션에서 사용할 수 있습니다.
AWS WAF Fraud Control
AWS WAF는 로그인 또는 등록 워크플로에서 사기 활동을 탐지하는 데 초점을 맞춘 관리형 규칙 세트를 제공합니다. 계정 탈취는 공격자가 도난당한 보안 인증 정보를 사용하거나 일련의 시도를 통해 피해자의 암호를 추측하여 사용자 계정에 무단으로 액세스하는 온라인 불법 활동입니다. AWS WAF Fraud Control 계정 탈취 방지(ATP) 관리 규칙을 구현하여 계정 탈취 시도를 모니터링하고 제어할 수 있습니다. ATP는 각 사용자 세션에 대해 실패한 시도를 비롯한 로그인 시도 비율을 모니터링하여 암호 또는 사용자 이름 탐색 시도를 탐지합니다. 또한 ATP는 도난당한 보안 인증 정보 데이터베이스와 비교하여 사용자 이름과 암호 조합을 확인합니다. 이 데이터베이스는 다크 웹에서 새로 유출된 보안 인증 정보가 발견되면 정기적으로 업데이트됩니다.
계정 생성 사기는 공격자가 하나 이상의 가짜 계정을 만들려고 하는 온라인 불법 활동입니다. 공격자는 가짜 계정을 사용하여 프로모션 및 가입 보너스를 악용하고, 다른 사람을 사칭하고, 피싱과 같은 사이버 공격을 하는 등의 사기 행위를 저지릅니다. AWS WAF Fraud Control 계정 생성 사기 방지(ACFP) 관리 규칙을 구현하여 사기 계정 생성 시도를 모니터링하고 제어할 수 있습니다. 각 사용자 세션에 대해 ACFP는 손상된 보안 인증 정보 사용, IP 위험 점수, 페이지와의 클라이언트 상호 작용, 감지된 자동화 프레임워크 또는 일관되지 않은 브라우저 동작, 여러 계정을 생성하기 위한 동일한 전화/주소/이메일 사용량 증가 등을 모니터링합니다.
다양한 Fraud Control 관리형 규칙의 모든 기능을 사용하려면 클라이언트 측 SDK를 애플리케이션에 추가하여 세션 수준에서 동작을 추적해야 합니다.
대상 봇을 위한 AWS WAF Bot Control
Targeted Bots 보호 수준으로 구성된 Bot Control 규칙 그룹은 트래픽 패턴의 지능적인 기준을 생성하여 정교한 봇 탐지 및 완화 기능을 제공합니다. Bot Control for Targeted Bots는 브라우저 핑거프린팅 기법과 클라이언트측 JavaScript 심문 방법을 사용하여 인간의 트래픽 패턴을 모방하고 적극적으로 탐지를 회피하려고 시도하는 고급 봇으로부터 애플리케이션을 보호합니다. 봇용 AWS WAF 표적 제어는 분산된 프록시 기반 공격을 방어하기 위한 예측 ML 기술도 제공합니다. 관리형 AWS WAF Bot Control 규칙 그룹은 웹 사이트 트래픽 통계에 대한 자동화된 ML 분석을 사용하여 분산되고 조정된 봇 활동을 나타내는 이상 행동을 탐지합니다.
이러한 옵션에는 동적 속도 제한, 챌린지 액션, 레이블 및 신뢰도 점수를 기반으로 한 차단 기능이 포함됩니다. 이 강연과 블로그에서 이 고급 기능에 대해 자세히 알아보세요.
애플리케이션 수준 동작 탐지
애플리케이션 수준에서 사용자 지정 신호를 사용하여 애플리케이션에서 예상하는 사항을 기반으로 비정상적인 동작을 식별할 수 있습니다. 예를 들어, 사용자가 특정 순서로 애플리케이션을 탐색할 것으로 예상하거나, 사용자가 등록된 주소를 기반으로 특정 국가에서 특정 상품을 주문할 것이라고 예상하지 않을 수도 있습니다. 이러한 신호를 사용하면 AWS WAF를 사용하여 응답을 자동화할 수 있습니다. 예를 들어 애플리케이션 수준 동작이 의심스러운 IP에서 들어오는 CAPTCHA 요청을 차단하거나 이의를 제기할 수 있습니다. 애플리케이션 신호에 기반한 WAF 자동화의 개념을 시작하려면 이 AWS 솔루션의 예를 살펴보세요.
고급 자동화에는 다음이 포함됩니다.
- 로그인/가입 프로세스 중에 Cognito에서 발생하는 고위험 이벤트 소비.
- Fraud Detector에 의해 식별된 고위험 이벤트 소비. Fraud Detector는 기계 학습(ML) 기술과 20년간 축적된 Amazon Web Services(AWS) 및 Amazon.com의 사기 탐지 전문 지식을 활용하여 사람과 봇이 수행하는 잠재적인 사기 패턴을 실시간으로 자동으로 파악합니다. Fraud Detector를 사용하면 애플리케이션 수준의 사용자 행동을 분석하고 자체 사기 기록 데이터를 사용하여 사용 사례에 맞는 맞춤형 사기 탐지 기계 학습 모델을 교육, 테스트 및 배포하여 사기를 탐지할 수 있습니다.
타사 보안 공급업체
고급 봇 탐지를 전문으로 하는 AWS Marketplace의 보안 공급업체가 추가 보호 계층을 제공할 수 있습니다. 공급업체로는 DataDome, Distill Networks, PerimeterX, Cequence, Kasada 및 Imperva가 있습니다.
참고로 각 보안 공급업체는 산업별 보호, 기능 및 비용 측면에서 서로 다른 강점을 가지고 있습니다. 일반적으로 CloudFront를 사용하는 애플리케이션은 다음 두 가지 방법 중 하나로 공급업체 솔루션을 통합할 수 있습니다.
- CloudFront와 오리진 사이에 위치한 SaaS 리버스 프록시 기반 솔루션.
- 수신되는 모든 요청(예: 최종 사용자 요청 이벤트에 구성)에 대해 Lambda@Edge가 호출하여 요청 관리 방법을 결정할 수 있는 글로벌 복제 Bot Mitigation API.
리소스
- AWS re:Inforce 2024 - Catch Group이 전자 상거래 플랫폼에서 AWS WAF Bot Control을 사용하는 방법
- AWS re:Inforce 2022 - AWS WAF를 사용하여 봇으로부터 고급 보호
- The Routing Loop - 봇 트래픽으로부터 애플리케이션 보호
- OLX 사례 연구
- AWS WAF CAPTCHA를 사용하여 일반적인 봇 트래픽으로부터 애플리케이션 보호
- 지능형 위협 완화를 위한 모범 사례
- AWS WAF 전송 파트너 찾기
- AWS WAF를 통한 사기 방지 및 Bot control - AWS Online Tech Talks
- 크로스 오리진 API 액세스로 AWS WAF 지능형 위협 완화 사용
- 게임 내 봇을 차단하는 Kasada: 봇 공격을 식별하고 제거하는 방법