보안

[인터뷰] 안드로이드 겨냥 봇 공격 활개…"공격자는 지문을 남긴다"

김보민 기자
이진원 F5코리아 상무 [ⓒ F5]
이진원 F5코리아 상무 [ⓒ F5]

[디지털데일리 김보민기자] 지난해 새로운 안드로이드 봇넷 '넥서스(Nexus)'가 등장하면서 보안 업계가 발칵 뒤집혔다. 트로이목마처럼 안드로이드 기기에 몰래 침입해 모바일 뱅킹 앱을 공격한 넥서스는 사용자 개인정보를 탈취해 2차 손실을 입히는 등 업계 주적으로 이름을 올렸다.

안드로이드 운영체제(OS)에 특화된 한국 또한 공격 대상에서 예외는 아니다. 특히 디지털 환경에 익숙하지 않은 노년층을 중심으로 안드로이드 기기를 사용하는 추세가 이어지고 있는 만큼, 봇 공격에 대한 경각심은 날로 커지는 분위기다.

클라우드 애플리케이션 보안 및 딜리버리 기업 F5는 안드로이드를 겨냥한 봇 방어가 점차 진화하고 있다고 보고 있다. 웹 방화벽 한계를 뛰어넘을 승부 카드가 필요한 상황 속, F5는 사용자 환경과 행동까지 정밀 분석할 수 있는 보안 솔루션으로 맞서고 있다.

◆ 공격자도 AI 활용 시작, 보안 취약한 안드로이드 '진땀'

이진원 F5 코리아 상무는 지난 16일 <디지털데일리>를 만나 안드로이드 OS 활용이 잦은 한국의 현주소에 대해 이야기를 나눴다. 이 상무는 "안드로이드는 오픈소스 OS인 만큼 어느 업체나 개발자가 코드에 접근할 수 있어 개방성이 높다"며 "또한 각 제조사마다 사용하는 OS 하드웨어가 다르기 때문에 보안 취약성이 클 수 밖에 없다"고 설명했다.

OS 양대 산맥인 iOS의 경우 애플 기기에 특화돼 있기 때문에 보안 취약성이 발견됐을 때 빠르게 대응이 가능하다. 반면 안드로이드는 삼성, 샤오미 등 적용 기기가 다양해 보안 이슈가 발생했을 때 즉각 대응이 쉽지 않은 실정이다. 이 상무는 "애플리케이션(앱) 검증 차원에서도 취약성이 있기 때문에 안드로이드가 iOS보다 표적이 되는 경우도 잦다"고 말했다.

넥서스 봇넷 공격도 이러한 환경과 무관하지 않다. F5 분석팀은 넥서스 봇넷의 공격 방식과 대응 방안을 연구해왔는데, 공통적으로 '평상시에 작동하지 않는다'는 특징을 보였다. 대신 감염된 기기를 모니터링하다 사용자가 인터넷 뱅킹 앱을 켰을 때 유사 화면을 보여주는 '오버레이(overlay)' 공격을 가했다. 사용자가 공격 여부를 감지하지 못하고 아이디(ID)와 패스워드를 입력하면 해당 부분을 캡처하는 방식으로 개인정보를 탈취했다. 이렇게 유출된 정보는 2차, 3차 금전적 손실까지 발생시킬 수 있어 우려를 낳은 바 있다.

이 상무는 "봇 방어는 지금 당장 막는 게 중요한 게 아니다"라며 "외부 공격이 들어와 막았다고 해도 공격자는 진화된 방법으로 재도구화(리툴링) 해 새 방법을 만들어내고 있다"고 강조했다. 인공지능(AI) 기술이나 머신러닝(ML) 기법으로 '편리하게' 공격을 가하는 사례도 늘고 있다.

웹 방화벽 만으로 봇 방어가 가능하지 않은 시대가 온 셈이다. 이 상무는 "웹 방화벽은 애플리케이션에서 발생할 수 있는 취약성을 찾는 역할을 하지만, 봇 트래픽은 합법적인 트래픽으로 간주되기 때문에 감지가 어렵다"며 "취약성에 관련된 특징과 패턴을 빼고 사용자 트래픽처럼 만들어 접근하기 때문"이라고 설명했다.

F5 사용자 행동분석 예시 [ⓒF5코리아]
F5 사용자 행동분석 예시 [ⓒF5코리아]

공격자는 흔적을 남긴다F5의 세 가지 수사 기법

안드로이드를 겨냥한 봇 공격이 진화하고 있는 것처럼, 이들을 막아낼 보안 솔루션도 고도화되고 있다. F5는 2020년 AI 보안 기업 셰이프시큐리티를 인수하며 비정상 봇을 사전에 차단할 수 있는 기술 특허를 확보한 바 있다. 세이프시큐리티는 안드로이드 모바일 앱에 대한 봇 관련 특허 130여개를 보유하고 있다.

F5는 공격자가 남긴 '지문(핑거프린트)'을 바탕으로 봇 공격을 감지할 수 있다. 이 상무는 "F5는 원격 측정 기법을 이용해 접속한 사용자 기기가 고유한 디바이스인지 구분하고, 사람의 행동에 의해 발생된 트래픽인지 분석하고 있다"라고 말했다. 사용자 기기 및 환경, 사용자 행동, 네트워크를 종합 분석해 사람이 아닌 봇의 접근을 구분해내고 있다는 설명이다.

F5는 공격자가 남긴 ▲브라우저 핑거프린트 ▲유저 핑거프린트 ▲헤더(Header) 핑거프린트로 구분 작업을 수행하고 있다.

먼저 브라우저 핑거프린트는 사용자 고유 디바이스를 판별하는 역할을 한다. 사용자가 쓰는 노트북 모델보다 스크린 사이즈가 더 크거나, 기본 유저 에이전트와 글씨체(폰트)·이모티콘 등의 설정이 다를 경우 봇 공격을 의심하는 방식이다. 일례로 사용자가 쓰는 노트북의 유저 에이전트가 크롬으로 설정돼 있을 경우 어도비가 기본 설치돼 있어야 하는데, 그렇지 않을 경우 봇 접근을 의심해 볼 수 있다.

사용자 행동을 분석하는 유저 핑거프린트 방식도 쓰이고 있다. 이 상무는 "통계를 보면 전체 봇 트래픽 중 65%는 단순한 방식을 취하지만, 20%는 진짜 사람 행동을 따라 하는 매크로 트래픽 형태를 띤다"라며 "공격자는 트래픽에 마우스 움직임을 넣는 등 사람처럼 행동하고 있다"라고 말했다.

유저 핑거프린트는 마우스 움직임으로 비정상 행태를 감지한다. 모바일 기기에서 손가락으로 클릭하는 횟수와 형태도 마우스 움직임으로 간주된다. 사람은 기기를 사용할 때 불규칙한 움직임을 보이지만, 봇은 직선 형태의 균일한 패턴을 보이게 된다. 속도가 빠르거나 기계적인 움직임을 보이기도 한다.

이 상무는 "사람은 습관에 따라 패스워드 10자리 중 일부를 빠르게 입력하고 일부를 느리게 입력하는 형태를 보이지만, 봇은 그렇지 않다"라며 "이런 세밀한 부분을 구분하기 위해 매 트래픽마다 작업이 필요하다"고 설명했다.

헤더 핑거프린트는 텔레메트리 기법을 사용하는 것은 아니지만, 기존 데이터베이스를 활용해 임의로 만들어진 요청 및 자동화된 징후를 식별하는 역할을 한다. 이 상무는 "이러한 방식은 단순 봇 방어뿐만 아니라 장애 탐지 용도로도 사용이 가능하다"고 말했다.

이진원 F5코리아 상무 [ⓒ F5]
이진원 F5코리아 상무 [ⓒ F5]

한편, 이 상무는 봇 방어가 기승을 부리고 있는 만큼 개인과 국가 정책 차원의 노력 또한 동반돼야 한다고 강조했다.

그는 "특정 프로그램을 설치할 때 무분별하게 '허용'을 누르지 않고, 주기적으로 OS에 대한 업데이트를 진행해야 한다"며 "공증된 앱에서 파일을 받는 습관도 필요"라고 말했다.

다만, 개인 차원에서 보안 울타리를 강화하는 것은 말처럼 쉬운 일이 아니다. 이와 관련해 이 상무는 "아직까지 많은 고객이 보안을 하나의 '보험'으로만 인지하는 경우가 많다"며 "개인정보보호 유출 사건에 대한 과징금 등이 크지 않은 것도 이러한 분위기에 영향을 끼쳤다고 생각한다"라고 부연했다.

끝으로 이 상무는 "봇 방어를 당장 막는 게 중요한 것이 아니라 진화하는 봇을 막기 위한 인적 자원(맨파워 리소스)과 솔루션을 갖추는 것이 중요하다"며 "F5 또한 고객들이 비즈니스 성장을 이뤄낼 수 있는 솔루션을 소개해 나갈 것"이라고 전했다.

김보민 기자
kimbm@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널