항공사들의 웹사이트와 앱, 악성 봇 트래픽에 가장 많이 노출되어 있어
경쟁 심하고, 거래되는 데이터 가치 높아…국가나 규모에 따른 패턴 없어

[보안뉴스 문가용 기자] 연말연시라는 성수기가 다가오면서 항공사들은 분주해지기 시작했다. 동시에 악성 봇들 역시 바빠졌다. 성수기를 맞게 될 항공사들의 웹사이트, 모바일 앱, API를 공격하기 위해서다. 이러한 움직임을 보안 업체 디스틸 네트웍스(Distil Networks)가 파악하고, “봇과 항공사의 상관관계(How Bots Affect Airlines)”라는 보고서를 발표했다.


디스틸 네트웍스는 이 보고서를 작성하기 위해 100개의 항공사가 보유한 180개 도메인에서 나오는 74억 건의 요청들을 분석했다. 그리고 항공사의 웹 트래픽의 43.9%가 악성 봇에 의한 것이라는 걸 파악했다. 다른 산업군의 경우 악성 봇이 차지하는 트래픽의 비율은 평균 21.8%다. 항공사가 산업 전체 평균보다 약 2배 높은 수치를 보인다는 것이다. 심지어 어떤 항공사의 경우는 악성 봇 트래픽이 94.6%를 차지하기도 했다.

뿐만 아니라 디스틸 네트웍스가 분석한 도메인의 30%에서 악성 봇 트래픽이 절반 가까이 발견됐다. 항공사를 장악하고 있는 악성 봇들 중 84.3%는 최소 중간급이거나 꽤나 고급형이었으며, 따라서 탐지가 쉽지 않았다. 악성 봇 트래픽의 대부분은 미국에서 발생한 것이었으며(25.6%), 2위는 싱가포르가 차지했다(15%).

왜 이렇게 항공사에서의 악성 봇 활동이 유독 높은 걸까? 문제의 핵심은 항공사의 웹사이트와 모바일 앱들이다. 여기서 항공사와 고객들은 비행 정보, 남은 좌석 수, 가격, 예약 관련 정보, 할인 정보 등을 주고받는다. 일단 가치가 높은 정보들이 풍부한 게 항공사 사이트와 앱의 특징이라는 것이다. 항공사에 따라 예약 시스템을 스스로 개발한 곳도 있고, 외부에서 구매한 곳도 있었다.

온라인 대행사 엑스피디아(Expedia)나 부킹닷컴(Booking.com)과 같은 경우, 항공사를 대신하여 티켓을 판매하고 온라인 상거래를 진행하는데 계약에 따라 돈을 주고 비행 정보를 수집하는 게 가능하다. 여러 여행 상품을 하나로 모아주는, 일종의 포탈 서비스를 제공하는 카약(Kayak)이나 스카이스캐너(Skyscanner)의 경우 비행 정보를 웹사이트에 노출시키기는 하나 실제 거래는 항공사 웹사이트에서 진행된다.

항공사를 겨냥해 악성 봇 공격을 하는 공격자는 크게 네 개로 분류할 수 있다.
1, 2) 승인되지 않은 온라인 대행사 및 여행 정보 포탈 : 각종 정보를 허가 없이 긁어간다. 그런 후 적당한 자리를 잡아두고, 뒤로 되판다.
3) 경쟁사 : 역시 비행 및 요금 정보 등을 수집하고, 일부 자리를 잡아둔 채 판매가 되지 않도록 방해한다.
4) 사이버 범죄자 : 주로 고객들을 위한 로열티 프로그램을 표적으로 삼는다. 이 과정에서 고객 계정을 탈취하며 신용카드 사기도 저지른다.

항공사가 악성 봇 활동의 주요 표적이 되는 또 다른 이유는, 항공사가 파는 물건의 가치가 시간에 따라 급격히 변하기 때문이라고 디스틸 네트웍스의 에드워드 로버츠(Edward Roberts)는 설명한다. “비행기표가 가치를 갖는 건 특정 시간까지 뿐입니다. 시즌별로 가격도 자주 바뀌고요. 각종 대행 서비스와 물려 있는 생태계의 구조도 위험 요소를 많이 포함하고 있습니다.”

시장의 심한 경쟁 구도도 무시하기 힘든 요소다. “경쟁이 심해질수록 정보 전쟁이 심해집니다. 조금이라도 더 많은 정보를 갖기 위해 애쓸 수밖에 없다는 건데요, 그렇기 때문에 사실 세계의 모든 항공사들은 웹사이트를 통해 데이터를 많이 수집합니다. 동의와 허가를 받고 수집하기도 하지만, 승인되지 않은 부분도 상당히 섞여 있어요. 악성 봇이 활동하기 좋은 여건이 마련되는 것이죠. 또한 봇 트래픽을 일부러 생성시켜 웹사이트의 가치를 실제보다 높게 보이려는 시도도 알게 모르게 있고요.”

악성 봇이 실제 항공사의 사업 운영에 미치는 영향은 무엇일까? 로버츠는 “금전적인 손해”라고 딱 잘라 말한다. “실제로 악성 봇의 활동 때문에 돈을 잃기 때문에 항공사들 스스로 이 문제를 어떻게 해서든 해결해야 한다는 목소리를 낼 정도입니다.” 금전 손실의 대표적인 경우는 ‘로열티 프로그램’이다. 사이버 범죄자들이 주로 노리는데, 이는 고객의 계정을 훔쳐 이를 금전화할 수 있기 때문이다. 마일리지와 같은 각종 행사용 포인트들이 이들의 목적이다.

“큰 항공사일수록 고객들을 붙잡아둘 수 있는 로열티 프로그램을 중요시합니다. 예를 들어 마일리지 적립이 안 된다고 해보세요. 그 항공사를 고객들이 여전히 이용할까요? 하지만 로열티 프로그램은 해커들도 끌어당기는 효과를 가지고 있죠. 항공사로서는 딜레마 같은 상황인 겁니다. 그런 가운데 로열티 프로그램을 노린 사용자 계정 탈취 공격은 갈수록 증가하고 있지요.” 로버츠의 설명이다.

봇넷의 발전 역시 눈부실 정도다. “2017년에 발견된 악성 봇의 19.7%만이 ‘고급형’이었습니다. 하지만 올해는 31.4%에까지 도달했습니다. 기초적인 봇은 27.4%에서 15.7%로 상당히 줄어들기도 했습니다.”

항공사들은 다양한 복구 툴을 자신들의 인프라에 배치하고 있다. 그러나 봇 공격자들 역시 가만히 있지 않았다. “봇이 일으킨 트래픽이면서도 꼭 사람이 생성한 트래픽인 것처럼 보이게 하는 기술 혹은 전략을 여럿 개발했습니다. 클릭과 클릭 사이에 일부러 지연 시간을 삽입한다거나, 마우스 커서를 움직이는 등입니다.”

디스틸 측은 항공사의 국적과 규모에 따라 공격이 심해지거나 약해지는 패턴이 특별히 발견되지는 않았다고 덧붙였다. “그냥 항공사 그 자체가 악성 봇 공격의 대상이 되고 있습니다. 굳이 한 가지 패턴을 꼽자면, 웹사이트를 많이 가지고 있는 항공사가 조금 더 많은 공격에 노출되는 경향이 있습니다.”

3줄 요약
1. 악성 봇 공격에 가장 취약한 산업은? 항공산업. 그 중에서도 항공사.
2. 항공사들은 웹사이트와 앱 통해 민감한 정보와 돈을 풍성하게 주고받기 때문임.
3. 게다가 경쟁도 치열해 업체 간 견제도 들끓어 악성 봇 활동에 안성맞춤.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>