최근 AI 기술을 기반으로 봇(Bot)과 *자동화 매크로(Automation Macro)를 활용한 악용 사례들이 증가하고 있습니다. 예를 들어 온라인 게임 내 불법 취득, 자동 스팸 댓글, 티켓 구매, 웹사이트 공격, 온라인 투표 조작 등 다양한 산업에서 다양한 방법으로 발생하고 있습니다.
*자동화 매크로 : 자동화 매크로는 반복적인 작업을 자동화하기 위해 사용되는 도구나 스크립트로 특정 명령어를 미리 설정해 두고 한 번에 실행할 수 있게 설정해 반복적인 작업을 빠르고 효율적으로 처리할 수 있도록 하는 것
악성 봇과 자동화 매크로는 일반적인 웹사이트에서 IP 주소 차단과 같은 보안 조치를 우회하기 위해 VPN, 프록시 서버를 사용합니다. VPN과 프록시 서버를 악용하게 된다면, IP 주소를 여러 번 변경하면서 동일한 봇이나 매크로가 여러 계정을 생성하고, 불법 행위를 할 수 있게 됩니다.
오늘은 이를 해결하기 위해 아르고스가 추가한 신규 기능과 각각의 개념에 대해 함께 살펴보겠습니다.
비슷한 듯 다른 VPN & 프록시의 개념
먼저 VPN과 PROXY에 대한 개념에 대해 간단하게 살펴보겠습니다.
VPN(Virtual Private Network)은 가상 사설망으로 인터넷을 통해 사용자의 실제 IP 주소를 숨기고, 암호화된 연결을 통해 데이터를 주고받는 기술입니다. VPN을 사용하면 사용자가 공공 네트워크를 이용하면서도 자신의 위치나 IP 주소를 감출 수 있으며, 마치 다른 지역에서 접속하는 것처럼 보이게 됩니다.
VPN을 사용한다면 외부에서 사용자의 데이터를 보호할 수 있고, 지역에 제한된 콘텐츠나 서비스에 접근할 수 있으며, 안전하지 않은 네트워크에서 사용자의 개인정보를 보호할 수 있는 장점이 있습니다.
프록시(Proxy)는 중간 서버 역할을 하는 기술로, 사용자의 요청을 대신 전달하여 서버와의 통신을 대리하는 역할을 합니다. 사용자는 프록시 서버의 IP 주소를 사용해해 웹사이트에 접속하기 때문에 실제 IP 주소를 숨길 수 있습니다.
프록시를 사용한다면 프록시 서버의 IP 주소가 노출되어 특정 웹사이트에 대한 접근을 차단하거나 허용할 수 있습니다. 또한 프록시 서버는 자주 방문하는 웹사이트 데이터를 캐시에 저장해 더 빠른 속도로 웹사이트를 이용할 수 있게 한다는 장점이 있습니다.
VPN과 PROXY의 차이점은 아래와 같습니다.
VPN | PROXY | |
보안 | 연결 자체를 암호화하여 높은 보안 수준 | IP 주소를 숨기는 역할로 연결 자체를 암호화하지 않아 낮은 보안 수준 |
속도 | 암호화 과정으로 느린 편 | 암호화 과정이 없어 빠른 편 |
사용 목적 | - 프라이버시 보호 및 보안 중시 | - 익명성 유지 - IP 주소 변경 |
VPN과 프록시 서버는 인터넷 연결을 보호하기 위해 IP 주소를 숨기는데 유사하지만 목적성이나 보안 수준에 차이가 있습니다.
VPN과 프록시 서버를 통한 악용된 사례
인터넷 연결을 보호하기 위해 VPN과 프록시 서버를 사용하는데요, 이를 반대로 악용한 사례가 있을까요?
지난달 8월에 오아시스 티켓 판매와 관련해 소프트웨어 보안 회사 에셋 관계자가 “봇은 실제 사용자의 활동을 모방하고 VPN과 같은 소프트웨어를 사용하여 위치를 조작하기도 한다”말하며, “봇을 사용해 한 번에 대량의 티켓을 구매하기도 한다"라고 말했습니다.
위의 사례는 사용자들이 IP 주소를 위장하여 여러 계정을 생성해 사용자의 위치를 숨겨 접속하는 등의 불법 행위를 시도한 것인데요, 기업은 부정 사용자를 필터링하는데 어려움을 겪을 수 있습니다.
이러한 보안 위협이 실제로 빈번하게 존재하는데요, 기업은 이를 방지하는 것이 중요한 과제입니다.
프록시 & VPN 감지 옵션 기능으로 강력해진 eKYC를 만나보세요!
프록시 & VPN 감지 옵션 기능은 사용자가 우회하여 IP에 접속했을 때, 위험으로 판단될 경우 서비스 사용을 즉시 차단하여 데이터의 신뢰성과 보안을 강화하는 기능입니다.
VPN & 프록시 옵션 활성화 방법
설정 → Multi -Verification & Anti-Fraud 페이지 이동
프록시 & VPN 감지 항목 : ‘미적용’ → ‘적용’으로 변경 → 저장
설정이 완료되면 사용자가 라이브폼에서 이메일을 입력하고 KYC 시작 버튼을 누르면 IP 조회가 자동으로 진행됩니다.
대시보드 - 사전 검증 목록
검증 결과는 [사용자 관리] 메뉴 - [사전 검증 목록]에서 확인할 수 있습니다. 사용자가 라이브폼으로 본인 인증을 완료한 후, 실시간으로 위험도 점수와 함께 요청 ID, IP 주소, 연결 유형, 국가 등의 정보를 한 번에 확인할 수 있습니다.
위험도 점수는 사용자의 IP를 기반으로 자동으로 부여되는데요, 0에서 100사이로 IP 주소가 악의적 사용자에 속하거나 악의적 행동과 연관될 가능성이 얼마나 되는지 보여주는 수치입니다. 위험도 점수가 85점 이상인 IP 주소는 의심스러운 활동을 나타내며, 90점 이상인 IP 주소는 악의적인 활동으로 구분이 됩니다.
상세 정보 페이지
상세 정보 페이지에서는 특정 사용자의 IP에 대한 더 심도 있는 분석을 제공합니다.
이 페이지에서 확인할 수 있는 주요 정보는 다음과 같습니다:
IP 익명화 상태: 사용자가 Proxy, VPN, TOR 네트워크를 사용 중인지 확인
*각각의 상태는 ‘위험’ 또는 ‘안전함’으로 표시
IP 남용 기록: 최근 봇 활동, 악용 속도, 빈번한 악용 등의 정보를 통해 해당 IP의 신뢰도 평가
서브넷 시도: 동일한 네트워크 대역에서 발생한 위조 시도 분석
*서브넷 시도 상태는 ‘최초 발생’, ‘희귀’, ‘빈번’, ‘매우 빈번’으로 구분
이 상세 정보 페이지를 통해 사용자는 각 사용자의 IP와 관련된 위험 요소를 더 정확하게 파악하고, 조절할 수 있습니다.
예를 들면, 고객사는 프록시 & VPN 감지 옵션 기능을 통해 동일한 호스트가 빈번하게 확인될 경우 즉, 동일한 네트워크 환경에서 여러 번 시도를 했다는 뜻으로 여겨 자동화 매크로로 인식하게 하거나 이외에도 위험도 점수, 연결 유형(데이터센터, 주거용 등) 등의 각 조건을 활용하여 고객사의 보안 시스템을 한층 더 강화하며 사용자 인증 절차를 보다 안전하게 만들 수 있습니다.
또한, ID check 프로세스를 통해 Submission ID가 생성된 경우, 이 옵션이 활성화되어 있으면 제출 목록의 상세 페이지에서 해당 사용자의 IP 관련 정보를 쉽게 확인할 수 있습니다.
오늘은 프록시 & VPN에 대한 개념과 새롭게 추가한 감지 옵션 기능에 대해 살펴봤습니다. 실제로 이 기능을 사용한 고객사의 경우에는 11%의 부정 사용자를 검출하기도 했습니다. 아르고스는 VPN 및 프록시를 통한 우회 시도에 대해 악용되는 속도를 더 빠르게 검출할 수 있도록 서비스를 지속적으로 고도화할 예정입니다.
새로운 기능과 관련하여 궁금한 점이 있으시다면 언제든지 문의해 주시기 바랍니다.
지금까지 아르고스였습니다. 감사합니다.