봇매니저는 어떤 식으로 악성 봇(매크로)을 탐지하고 차단하나요?

봇매니저(BotManager)는 방화벽 - 필터 - 정책 설정의 3단계 검증 체계를 통해 악성 봇(매크로)를 탐지하고 차단합니다.

방화벽

방화벽은 접속 요청의 첫 번째 검증 단계입니다. IP, 국가, ASN을 등록 대상으로 하여 차단 리스트와 허용 리스트를 설정해, 이들 접속을 실제 차단하거나 예외적으로 허용할 수 있습니다. 차단리스트를 활용하면, 이는 봇매니저 시스템에 전혀 영향을 주지 않고 선제적으로 접속을 차단할 수 있습니다.

관련 글)
[봇매니저 주요 기능] 접속 요청의 첫 번째 검증 단계, 방화벽

필터

사용자 정의 필터는 관리자가 직접 조건을 정의하여, 요청의 속성에 따라 선별적으로 탐지 및 차단 조치할 수 있습니다.

필터는 등록 순서 또는 지정된 우선순위(Priority) 값에 따라 순차 실행됩니다. 상위 필터에서 조건이 충족되면 하위 필터는 실행되지 않습니다. 사용자 정의 필터에서 탐지된 요청은 봇으로 분류되지 않으며, 개별 로그 대신 필터 단위의 통계 데이터로 집계됩니다.

주요 필터 항목은 아래와 같습니다.

IP
Country
AS
ASN
HTTP Method
Query String
User Agent
JA3 / JA4 Fingerprint
Accept / Accept-Encoding / Accept-Language / CacheControl / ContentType Header
Protocol
Referrer

방화벽과 달리, 필터는 다양한 조건을 조합해서 활용할 수 있습니다. 가령, 특정 국가의 특정 IP만을 차단하거나 허용할 수 있습니다. 로그 데이터를 수집하지 않는 방화벽과 달리, 필터는 데이터를 집계하는 차이점도 있기에, 서비스 이용에 필요한 조건들에 맞춰 방화벽 또는 필터 옵션을 선택해 운영을 최적화할 수 있습니다.

예제 시나리오 #1. 특정 IP 차단
- 조건: IP / 일치함 / equals / 1.1.1.1
- 효과: 1.1.1.1에서 발생한 요청은 모든 봇 정책 이전에 필터링됨

예제 시나리오 #2. Query String이 비어있는 요청 선별
- 조건: Query String / 일치함 / is_empty
- 효과: 쿼리 스트링이 없는 요청만 탐지 & 차단 정책에 전달

정책 설정

봇매니저는 정적 유형과 동적 유형의 총 8가지 정책을 통해 악성 봇(매크로) 여부를 판단합니다. 각 정책의 사용 여부와 상세 설정값은 정책 설정 페이지 내 리스트에서 활성 및 비활성 토글키를 통해 쉽게 적용할 수 있습니다.

정적 유형

정적 유형은 접속자의 http 헤더 식별 정보를 수집하는 헤더 분석, IP 관리, 셀레니움과 같은 자동화된 스크립트 또는 비정상적인 접근 시도를 감지하는 개발자 도구, 해외 IP 관리 등 사전에 정의된 고정된 조건이나 규칙 기반의 봇 탐지 및 차단 정책입니다.

동적 유형

동적 유형은 접속 요청을 실시간으로 분석해, 특정 행위 패턴을 기반으로 봇을 탐지하고 차단하는 방식으로, 변경된 공격 패턴에 대응이 가능합니다.

최근 5분간의 평균 접속 횟수를 기준으로 임계치를 설정하는 접속 통계 분석, 클릭 간격에 대한 표준 편차를 통해 봇 여부를 판단하는 클릭 이벤트 분석, 비정상적인 행동을 감지하는 행위 분석이 동적 유형에 속합니다.

다양한 봇 공격 유형에 대응

봇매니저의 단계별 검증 체계는 단순한 매크로부터 고도화된 봇까지 다양한 공격 유형을 탐지하고 차단하는데 최적화된 대안을 제시합니다. 맞춤형 보안 설계로 공정하고 안정적인 시스템을 구축하고, 차별화된 서비스 경험을 보다 효율적으로 제공하시기를 바랍니다.