[ Security-Issue ] 2018 최근 공격 유형 ( 모바일 / 봇 )

최근 공격이 들어오는 유형을 보면 2가지로 나뉜다

1. 모바일을 통해 들어오는 경우

2. 봇으로 들어오는 경우 ( 이경우 akamai 봇매니저를 통해 poc를 한적이 있음 )

1. 모바일을 통해 들어오는 경우

차단방법은 해당 아이피나 UA 를 차단하게되는데 IP를 차단하게 될 경우 해당지역의 모바일 통신망 기지국쪽의 대역이 모두 차단되어 특히 스콥이 적은 나라 (싱텔)등의 경우엔 일반 유저들까지 모두 차단되어 접속이 안되는 경우가 발생한다.

모바일망의 경우 접속한 기지국의 NAT아이피가 보이기 때문에 이 아이피를 차단하면 그 기지국에 붙어있는 많은 사용자의 접속이 불가하게 되는것이다.

때문에 이를 차단할 방안이 있는지?

2. 봇을통해 들어오는 경우

UA만 조금씩 변형해서 들어오는 경우가 많은데 이 경우 봇매니저를 통해 차단해도 수동적으로 차단해야하는 경우가 많다.

UA 가 변경되면 관리자가 변경된 UA를 찾아 차단해주는 방식. 봇매니저를 통해해도 결국은 관리자가 수동으로 차단 -POC할때 이러한 어려움이 있었음.

현재의 봇매니저의 경우 업그레이드 되서

사용자의 마우스 움직임, 클릭시간, 클릭 위치등을 파악하여 차단할 수 있도록 개선되었다.

봇의경우

마우스움직임이 각진형태로 움직이거나, 클릭주기가 일정한패턴을 갖는다거나 등의 행위를 보이면 봇이라고 판단함.

이러한 움직임의 유저들은 차단할 수 있다.