[NSIS 2024] 시큐센 “무분별한 스크래핑 대응, 기존 방식으론 한계”
[디지털데일리 문대찬기자] 특정 웹사이트나 페이지를 통해 정보를 수집하는 스크래핑이 무분별하게 발생하면서 트래픽 과부하, 개인 정보 유출 등 피해 사례도 늘고 있다. 자연스레 보다 고도화된 보안 대책에 대한 서비스 공급자 수요도 높아진 상황이다.
시큐센 허윤석 수석은 28일 서울 중구 롯데호텔에서 디지털데일리가 개최한 ‘차세대 보안혁신 서밋(NSIS 2024)’에서 (주)스크립터스의 스크래핑 차단 제품 다이나패스를 대안으로 제시했다.
스크래핑은 크게 방대한 데이터 수집을 목적으로 하는 크롤링과 데이터 추출에 최적화된 스크래핑, 매크로에 해당하는 RPA로 나뉜다. 종합 금융 플랫폼 ‘토스’와 세금 환급 애플리케이션 ‘삼쩜삼’ 등이 이러한 스크래핑을 기반으로 한 대표적인 서비스다.
문제는 무분별한 스크래핑으로 인한 개인 정보 유출, 트래픽 과부하와 더불어 제공된 정보에 대한 사용자 식별에도 어려움을 겪는 등 피해가 가중되고 있다는 점이다.
허 수석은 삼쩜삼이 개인정보 최소수집원칙을 위반해 작년 국정감사에서 곤욕을 치른 사건을 언급하면서 “당시 삼쩜삼 뿐만 아니라 홈택스도 감시체계를 갖춰야 한다는 지적이 있었다”며 정보 공급자의 스크래핑 대응력이 어느 때보다 중요해졌다고 강조했다.
허 수석에 따르면 기존 보안 체계만으로는 스크래핑을 원천 차단하는 것은 역부족이다. 숫자를 입력하고, 단순 그림을 구분해 선택하는 식의 기존 방법은 “무용지물”이라는 설명이다. 그는 “IP 차단이나 HTML을 이용한 웹소스 보안 방식도 스크래핑 행위를 차단하기 보다는 어렵게 하는 데 그친다. 현재는 3가지 모두 쓸 수 없는 방안”이라고 지적했다.
다이나패스(DynaPath)는 안티 스크래핑 솔루션이다. 실시간으로 스크래핑을 탐지하고 차단하며, 인가 및 유입량을 제거한다. GS인증을 거쳐 6~7월 조달 등록 대기 중이다.
다이나패스는 기본적으로 3단계에 걸쳐 현존하는 다양한 스크래핑을 차단한다. 1단계에선 HTTP를 직접 생성하는 요청을 차단하거나, HTTP 필수 요소의 동적 난독화를 적용한다. 2단계에선 웹 브라우저의 자동화 드라이버 여부를 탐지하고 자동화 특징을 숨긴 흔적까지 탐지한다. 3단계에선 사람에 의한 입력과 자동화된 입력을 구분해 트래픽 증가를 방지한다.
허 수석은 “기본, 위장, 고도 3가지 단계로 나눠 스크래핑을 방지한다”며 “필요 이상의 스크래핑 차단, 정보 사용자 이력 파악, 중국발 크롤링 방지 등을 목적으로 한 사업자가 현재 제품을 검토하거나 시스템 구축 중에 있다”라고 설명했다.
한편 시큐센은 디지털금융서비스와 보안 솔루션 및 컨설팅 서비스 등 제공하는 보안 플랫폼 전문 기업이다. 특허 기반 신기술인 생체인증‧전자서명 사업을 통해 인공지능(AI) 기반 바이오인증 및 보안 플랫폼 전문기업으로서도 입지를 다져가는 중이다.
전력망부터 제조공장까지…연말연시 'OT 취약점' 노린 사이버 위협↑
2024-12-20 15:35:55퓨어스토리지, 2025년도 AI로 달린다…“기업용 AI 데이터 플랫폼 강화 집중”
2024-12-20 14:39:08삼성 메모리 성과급 200%, DS는 격려금 200만원…생활가전은 25%
2024-12-20 14:38:44