AI가 부추긴 악성 봇, 웹 트래픽 절반 넘어섰다…계정탈취 40% 폭증

인터넷 트래픽에서 사람이 차지하는 비중이 사상 처음으로 절반 아래로 내려앉았다. 사이버보안 기업 임퍼바(Imperva)가 발표한 '2025 배드봇 리포트'에 따르면, 2024년 전체 웹 트래픽의 51%가 자동화 봇에 의해 발생했으며 이 중 악성 봇이 37%, 양성 봇이 14%를 차지했다. 사람 트래픽은 49%에 불과했다. 악성 봇 비중이 전체 트래픽의 3분의 1을 넘어선 것은 6년 연속이다.

임퍼바는 2024년 한 해 동안 수천 개 도메인에 걸쳐 13조 건의 악성 봇 요청을 차단했다고 밝혔다.

AI, 봇 공격의 '대중화' 이끌어…하루 200만 건

올해 보고서의 핵심 화두는 AI의 악용이다. 임퍼바는 2024년 하루 평균 200만 건의 AI 기반 사이버 공격을 차단했다고 밝혔다. ChatGPT, 구글 제미나이, 퍼플렉시티AI 등 생성형 AI 도구들이 봇 개발을 쉽게 만들면서 기술 수준이 낮은 공격자도 대규모 봇 공격을 손쉽게 감행할 수 있게 됐다는 분석이다.

AI 도구별 공격 비중을 살펴보면, 바이트스파이더봇(ByteSpider Bot)이 전체 AI 기반 공격의 54%를 차지해 압도적 1위를 기록했다. 정상적인 웹 크롤러로 위장하기 쉬운 특성 때문에 사이버범죄자들이 즐겨 사용하는 것으로 분석된다. 이어 애플봇이 26%, 클로드봇이 13%, ChatGPT 유저봇이 6%를 차지했다.

봇 공격 정교화 추세도 두드러진다. 2024년 전체 봇 공격 중 고급·중급 공격이 55%를 차지했지만, 단순 대용량 봇 공격도 45%로 전년 대비 5%포인트 늘었다. AI 자동화 도구 덕분에 초보 공격자도 대규모 공격을 쉽게 감행할 수 있게 된 결과다.

계정탈취 공격 40% 급증…금융·통신이 주 표적

계정탈취(ATO, Account Takeover) 공격은 2024년 한 해 전년 대비 40% 증가했고, 2022년 대비로는 54%나 치솟았다. 특히 9월·10월·11월에는 전년 동기 대비 매월 79%씩 증가하는 폭발적 상승세를 보였다.

전체 로그인 시도 중 14%가 계정탈취 시도였으며, API를 겨냥한 계정탈취 비중도 19%에 달했다. 산업별로는 금융 서비스가 전체 계정탈취 공격의 22%를 차지해 1위를 기록했고, 통신·ISP(18%), 컴퓨팅·IT(17%)가 그 뒤를 이었다. 이 5개 산업이 전체 계정탈취 공격의 78%를 흡수했다.

임퍼바는 계정탈취 성공 시 GDPR 기준 최대 2000만 유로(약 300억 원) 또는 전 세계 연매출의 4%에 달하는 규제 과징금을 물 수 있다고 경고했다.

API, 새로운 주전장…고급 봇 공격의 44%가 API 겨냥

고급 봇 트래픽의 44%가 API를 표적으로 삼은 반면, 웹 애플리케이션을 겨냥한 비중은 10%에 불과했다. 공격자들이 민감한 데이터와 비즈니스 로직이 집중된 API로 빠르게 이동하고 있음을 보여주는 수치다.

API 공격 유형별로는 데이터 스크래핑(31%), 결제 사기(26%), 계정탈취(12%), 스캘핑(11%) 순으로 많았다. API 엔드포인트별로는 데이터 접근(37%), 결제 처리(32%), 인증(16%) 순으로 집중 공격을 받았다. 지난해 전체 공격의 31%는 OWASP가 규정한 자동화 위협으로 분류됐으며, 이 중 25%는 비즈니스 로직을 정밀 타격하는 정교한 봇 공격이었다.

여행업계, 처음으로 최다 피해 산업 1위 등극

산업별로는 여행업이 전체 악성 봇 공격의 27%를 차지하며 소매업(15%)을 제치고 처음으로 1위 표적 산업에 올랐다. 2022년 1월부터 2024년 12월까지 여행업을 겨냥한 봇 공격은 280% 급증했다.

항공사들은 실제 구매 없이 좌석만 점유하는 '좌석 스피닝(Seat Spinning)' 봇, 요금 데이터를 무단 수집하는 스크래핑 봇, 마일리지 계정을 탈취하는 봇 등 다양한 자동화 공격에 시달리고 있다. 특히 항공사 예약 대비 조회 비율인 '룩투북(look-to-book) 비율'이 봇에 의해 왜곡되면서 수요 예측과 동적 가격 책정에 심각한 차질이 빚어지고 있다고 임퍼바는 지적했다.

소매업의 경우 악성 봇이 전체 웹 트래픽의 33%를 차지했으며, 대형 쇼핑 시즌에 집중되던 봇 공격이 연중 상시 패턴으로 바뀐 점도 특징적이다.

봇의 절반 가까이 크롬으로 위장…주거용 프록시도 활용

탐지를 피하기 위한 봇의 위장 수법도 진화하고 있다. 전체 악성 봇의 46%가 크롬 브라우저로 위장했으며, 모바일 사파리(17%), 모바일 크롬(14%)이 뒤를 이었다. 크롬 위장 비중은 전년 40%에서 더 높아졌다.

또한 ISP를 통한 봇 공격의 21%는 일반 가정용 IP 주소를 활용하는 '주거용 프록시'를 통해 이뤄졌다. 실제 사용자처럼 보이도록 해 IP 평판 기반 탐지를 무력화하는 수법이다.

지역별로는 미국이 전체 공격의 53% 흡수

국가별로는 미국이 전체 봇 공격의 53%를 차지해 부동의 1위를 기록했고, 브라질과 영국이 각 6%로 공동 2위였다. 아시아태평양 지역에서는 홍콩(24%)과 인도네시아(24%)가 나란히 최다 피해국에 올랐고, 유럽·중동·아프리카(EMEA) 지역에서는 영국(31%)이 가장 많은 공격을 받았다. 러시아와 우크라이나도 EMEA 상위 10위권에 포함돼 지정학적 갈등이 사이버 위협 지형에 직접적인 영향을 미치고 있음을 보여줬다.

임퍼바는 AI 기술이 계속 진화하는 한 봇 위협도 함께 고도화될 것이라고 경고하며, 다층적 방어 전략과 지속적인 트래픽 모니터링의 필요성을 강조했다.