IT 보안업체 Incapsula는 가짜 Googlebot이 Application layer DDos 공격을 발생시키고 있다는 연구 결과를 발표 ※ 구글봇(Googlebot) : 주기적으로 동시에 수백만 개의 사이트를 방문하여 구글 데이터베이스를 업데이트 하고 검색 결과를 최신 상태로 유지하기 위한 정보 수집 도구
주요내용
Incapsula社의 분석 결과에 따르면, 구글봇으로 위장한 악성봇들이 발견되고 있다고 밝힘 - 전 세계적으로 웹 페이지 정보를 수집하는 검색엔진들 중 구글봇이 차지하는 비중(60.5%)이 다른 주요 검색 엔진들을 합친 비중보다 크기 때문에, 가짜 구글봇으로 위장한 악성행위가 발생하고 있다고 언급함 - 실제 분석 결과에서도 4%이상의 봇들이 구글봇의 User-agent로 위장하여 각 사이트들을 방문하면서 DDos 공격에 악용되고 있다고 언급함 ※ User-agent : 해당 사이트를 방문하고 있는 주체가 누구인지를 확인할 수 있는 일종의 온라인 ID카드
< 두 얼굴의 구글봇 >
가짜 구글봇은 일반적인 사이트들이 공개되지 않은 구글의 모든 IP에 대한 검증을 할 수 없다는 점과 User- agent 부분을 쉽게 변경 가능하다는 점을 이용하여 정상적인 구글봇으로 위장하고 사이트에 접근하고 있음
이러한 가짜 구글봇은 스크랩, 스팸, 해킹 등과 같이 다양한 행위를 수행하고 있으며, 그 중 상당수가 DDos 공격에 악용되고 있다고 발표함 - 가짜 구글봇이 발생하는 주요 근원지를 중심으로 최근 수집된 데이터에 의하면, 발견된 5억 개 중 실제로 34.3%가 악성봇이었으며, 그 중에서 23.5%는 실제 OSI Layer 7 DDos 공격에 사용됨을 확인함 - 기술적으로는 IP와 ASN 검증을 통해 가짜 구글봇을 원천적으로 차단할 수 있으나, 이 작업을 수행하기 위해서는 막대한 컴퓨팅 자원이 소모되기 때문에 현실적으로 어려움이 있음 ※ ASN(Autonomous System Number) : 특정 지역의 네트워크 그룹을 식별할 수 있는 코드번호
