지난 12개월 동안 인터넷 보안 환경은 극적으로 변화했습니다. 전 세계 많은 국가에서 활성화된 2024년 투표 시즌과 지정학적 불확실성으로 인해 인터넷 전반에 걸쳐 악의적인 트래픽 활동이 크게 증가했습니다. 이 보고서에서는 인터넷 애플리케이션 보안에 대한 Cloudflare의 관점을 살펴봅니다.
이 보고서는 네 번째 애플리케이션 보안 보고서이며,2023년 2분기 보고서를 공식적으로 업데이트한 것입니다. 이 보고서에서 새로이 등장한 것은 웹 애플리케이션 컨텍스트 내에서 중요한 클라이언트 측 보안에 초점을 맞춘 섹션입니다.
보고서 전체에 걸쳐 다양한 인사이트를 다룹니다. 글로벌 관점에서 볼 때 전체 네트워크에서 완화된 트래픽은 현재 평균 7%이며, WAF 및 봇 완화가 이 중 절반 이상의 소스입니다. DDoS 공격이 여전히 웹 애플리케이션에 대하여 사용되는 공격 벡터 중 가장 많은 비율을 차지하고는 있지만, 개념 증명이 공개된 후 22분 이내에 수행된 악용도 확인되었으므로 표적 CVE 공격도 주목할 만합니다.
봇을 중심으로 보면, Cloudflare에서 관찰되는 전체 트래픽의 약 3분의 1이 자동화되어 있으며, 이 중 대다수(93%)는 Cloudflare의 검증된 목록에 있는 봇에 의해 생성되지 않고 잠재적으로 악의적일 가능성이 높습니다.
API 트래픽 또한 여전히 증가하여 현재 전체 트래픽의 60%를 차지하며, 더 우려되는 점은 조직에서 사용하지 않는 API 엔드포인트를 최대 4분의 1까지 가지고 있다는 점입니다.
이 보고서에서는 또한 클라이언트 측면의 보안과 웹 애플리케이션의 타사 통합 확산을 다룹니다. Page Shield 데이터에 따르면 평균적으로 기업 사이트에는 47개의 타사 엔드포인트가 통합됩니다.
지난 보고서 이후, 데이터와 인사이트를 수집하는 Cloudflare 네트워크가 더 커지고 빨라졌다는 것은 언급할 만합니다. 현재 우리는 초당 평균 5,700만 개의 HTTP 요청(전년 대비 +23.9%) 및 정점에서 7,700만 개의 HTTP 요청(전년 대비 +22.2%)을 처리하고 있습니다 DNS 관점에서는 초당 3,500만 건의 DNS 쿼리( 전년 대비**+40%**)를 처리하고 있습니다. 이는 Cloudflare 인프라에서 제공하는 권한 있는 요청과 확인자 요청의 합계입니다.
더욱 주목할 만한 점은 HTTP 요청에만 집중했을 때 2024년 1분기에 Cloudflare에서 매일 평균 2,090억 건의 사이버 위협을 차단했다는 것입니다(전년 대비 +86.6%). 전년 동기에 비해 상대적으로 크게 증가한 수치입니다.
늘 그렇듯이 시작하기 전에 먼저 용어에 대한 정의를 해야 합니다.
정의
이 보고서에서는 다음과 같은 용어를 사용합니다.
완화된 트래픽: Cloudflare 플랫폼에서 '종료' 액션을 시행한 모든 확인용 HTTP* 요청. 여기에는
BLOCK,CHALLENGE,JS_CHALLENGE그리고MANAGED_CHALLENGE작업이 포함됩니다.LOG,SKIP,ALLOW작업이 적용된 요청은 포함되지 않습니다 . 또한, 이 요청은 전체 요청 중 상대적으로 적은 비율을 차지했습니다. 저희는 또한 해결되지 않은 인증 질문만 완화된 것으로 계산하도록CHALLENGE유형 작업에 대한 계산을 개선했습니다. 작업에 대한 자세한 설명은 Cloudflare의 개발자 문서에서 찾아볼 수 있습니다. 이는 작년 보고서에서 바뀌지 않았습니다.봇 트래픽/자동화 트래픽: Cloudflare의 봇 관리 시스템에서 식별한 봇이 생성한 모든 HTTP* 요청입니다. 봇 점수가 1 이상 29 이하인 요청이 포함됩니다. 작년 보고서에서 바뀌지 않았습니다.
API 트래픽: 응답 콘텐츠 유형이 XML 또는 JSON인 모든 HTTP* 요청. 완화된 요청과 같이 응답 콘텐츠 유형을 사용할 수 없는 경우 동등한 Accept 콘텐츠 유형(사용자 에이전트에서 지정)이 대신 사용됩니다. 후자의 경우 API 트래픽이 완전히 고려되지는 않지만, 여전히 인사이트를 얻기 위한 좋은 표현을 제공합니다. 이는 지난해 보고서와 달라진 게 없습니다.
별도의 언급이 없을 경우, 이 게시물에서 평가한 기간은 2023년 4월 1일부터 2024년 3월 31일까지입니다.
마지막으로 데이터는 Cloudflare 네트워크에서 관찰된 트래픽만을 기준으로 계산하며, 인터넷 전체의 HTTP 트래픽 패턴을 대표하지 않을 수도 있습니다.
*HTTP 트래픽은 HTTP와 HTTPS를 모두 의미합니다.
전역 트래픽 인사이트
완화된 일일 평균 트래픽이 거의 7%로 증가합니다
이전 12개월 기간과 비교했을 때, Cloudflare에서는 2023년 2분기부터 2024년 1분기까지 더 높은 비율의 애플리케이션 계층 트래픽과 계층 7(L7) DDoS 공격을 완화하여 그 비율이 6%에서 6.8%로 증가했습니다.
그림 1: 지난 12개월 동안 증가한 완화된 HTTP 트래픽의 비율
대규모 글로벌 공격 이벤트가 진행되는 동안 Cloudflare에서는 전체 HTTP 트래픽의 12%에 달하는 완화 트래픽이 급증하는 것을 관찰할 수 있습니다. 이는 전체 네트워크에서 관찰된 것보다 훨씬 급격한 증가입니다.
WAF 및 봇 완화는 완화된 전체 트래픽의 53.9%를 차지했습니다
Cloudflare 플랫폼에서 잠재적인 악의적 트래픽을 식별하기 위해 추가 신호를 계속 노출함에 따라 고객은 WAF 사용자 지정 규칙에서 이러한 신호를 적극적으로 사용하여 보안 태세를 개선하고 있습니다. 신호의 예로는 WAF Attack Score를 식별하는 악의적인 페이로드와 자동화된 트래픽을 식별하는 봇 점수가 있습니다.
HTTP DDoS 규칙은 WAF 및 봇 완화 다음으로 완화된 트래픽에 두 번째로 큰 영향을 미칩니다. Cloudflare의 IP 위협 점수를 사용하여 트래픽을 차단하는 IP Reputation과 단순한 IP 및 국가 차단인 액세스 규칙이 그 뒤를 이어 3위와 4위를 차지합니다.
그림 2: Cloudflare 제품 그룹별로 완화된 트래픽
개념 증명이 게시된 지 22분 만에 익스플로잇 된 CVE
공개된 CVE의 무기화 속도와 함께 zero-day 익스플로잇(zero-day 위협이라고도 함)이 증가하고 있습니다. 2023년에는 97개의 zero-day가 외부 환경에서 악용되었으며, 이는 2022년과 2023년 사이에 공개된 CVE가 15% 증가한 것과 맞물려 있습니다.
고객을 대상으로 한 CVE 익스플로잇 시도를 살펴보면, Cloudflare에서는 주로 스캔 활동과 명령 삽입이 관찰되었고, Apache CVE-2023-50164 및 CVE-2022-33891, Coldfusion CVE-2023-29298, CVE-2023-38203, CVE-2023-26360, MobileIron CVE-2023-35082 등 온라인에서 PoC가 제공되는 취약점의 일부 익스플로잇 시도도 발견되었습니다.
이러한 CVE 악용 시도 활동의 추세는 공격자들이 가장 쉬운 표적을 먼저 겨냥하고, 오래된 취약점에 대한 활동이 지속되고 있음을 고려할 때 일부 사례에서 성공할 가능성이 있음을 나타냅니다.
한 가지 예를 들면, 개념 증명 코드가 게시된 지 22분 후인 3월 4일 19:45(UTC)에 Cloudflare에서는 CVE-2024-27198(JetBrains TeamCity 인증 우회)의 악용 시도를 관찰했습니다.
그림 3: JetBrains TeamCity 인증 우회 타임라인
공개된 CVE의 익스플로잇 속도는 사람이 WAF 규칙을 생성하거나 패치를 생성해 공격을 완화하는 속도보다 빠른 경우가 많습니다. 이는 WAF 관리형 규칙 세트를 유지하는 Cloudflare 자체 내부 보안 분석팀에도 적용되어, 인간 서면 서명과 ML 기반 접근 방식을 결합하여 낮은 오탐과 응답 속도 사이에서 최상의 균형을 달성할 수 있었습니다.
특정 위협 행위자의 CVE 익스플로잇 캠페인은 CVE 범주의 일부에 집중되어 있을 때 명확하게 관찰됩니다. 예를 들어, 원격 코드 실행(RCE)을 초래하는 CVE를 필터링하면, 2023년 말과 2024년 초에 설치된 Apache 및 Adobe 설치를 악용하려는 시도와 올해 5월에 Citrix를 표적으로 하는 주목할 만한 캠페인을 명백히 악용하려는 시도를 볼 수 있습니다.
그림 4: 코드 실행 CVE에 대한 전 세계 일별 요청 수
다른 CVE나 특정 공격 범주에 초점을 맞출 때, 유사한 관점을 더욱 뚜렷하게 볼 수 있습니다.
DDoS 공격은 여전히 웹 애플리케이션을 대상으로 한 가장 일반적인 공격입니다
DDoS 공격은 여전히 웹 애플리케이션에 대한 가장 일반적인 공격 유형이며, 고려된 기간 동안 DDoS 공격이 완화된 전체 애플리케이션 트래픽의 37.1%를 차지했습니다.
그림 5: 시간에 따른 HTTP DDoS 공격 규모
볼류메트릭 공격이 2024년 2월과 3월에 크게 증가했습니다. 이 공격이 증가한 것은 부분적으로 공격 활동이 증가한 것에 더해 우리 팀에서 개선된 감지 기능을 배포한 결과였습니다. Cloudflare에서는 자동화된 방어로 2024년 1분기에만 총 450만 건의 DDoS 공격을 완화했으며, 이는 Cloudflare에서 2023년에 완화한 전체 DDoS 공격의 32%에 해당합니다. 특히, 애플리케이션 계층 HTTP DDoS 공격이 전년 대비 93%, 전 분기 대비 51% 증가했습니다.
Cloudflare에서는 DDoS 공격 트래픽의 상관 관계를 파악하고 대상 목적지와 함께 이벤트 시작 및 종료 시간을 살펴봄으로써 고유한 공격을 정의합니다.
DDoS 공격을 실행하는 동기는 금전적 이득(랜섬)을 목적으로 특정 조직을 대상으로 하는 것부터 봇넷 용량을 테스트하는 것, 정치적인 이유로 기관과 국가를 겨냥하는 것까지 다양합니다. 예를 들어, Cloudflare에서는 2024년 3월 7일 스웨덴이 NATO 연합에 가입한 후 스웨덴에 대한 DDoS 공격이 466% 증가하는 것을 관찰했습니다. 이는 2023년 핀란드가 나토에 가입할 때 관찰된 DDoS 패턴과 유사했습니다. DDoS 공격 자체의 규모도 커지고 있습니다.
2023년 8월 Cloudflare에서는 초당 요청 수(rps)가 2억 100만 건으로 정점에 달하는 볼류메트릭 HTTP/2 Rapid Reset DDoS 공격을 완화했으며, 이는 이전에 관찰된 어떤 공격보다도 큰 규모입니다. 이 공격에서 위협 행위자는 HTTP/2 프로토콜의 zero-day 취약점을 악용하여 HTTP/2를 지원하는 거의 모든 서버나 애플리케이션을 무력화할 수 있었습니다. 이는 보호되지 않은 조직에 취약점이 얼마나 위협적인지 잘 보여줍니다.
게임 및 도박이 DDoS 공격의 가장 큰 표적이 되었고 인터넷 기술 회사와 암호화폐 채굴이 그 뒤를 이었습니다.
그림 6: Cloudflare에서 파악한 연도별 최대 HTTP DDoS 공격
봇 트래픽 인사이트
Cloudflare에서는 봇 감지 시스템에 지속해서 막대한 투자를 하고 있습니다. 7월 초, Cloudflare에서는 콘텐츠 크리에이터를 위해 인터넷을 안전하게 보호하기 위해 AIndependence를 발표하면서 모든 AI봇을 차단하는 새로운 '이지 버튼'을 제공했습니다. 이는 무료 등급 고객을 포함한 모든 고객이 이용할 수 있습니다.
다른 보완 시스템에서도 큰 진전이 있었습니다. 캡차를 대체하는 사용자 친화적인 개인정보 보호 대안인 Turnstile 서비스가 그 예입니다.
이러한 모든 시스템과 기술은 인간 트래픽과 자동화된 봇 트래픽을 더 잘 식별하고 구분하는 데 도움이 됩니다.
평균적으로 봇은 전체 애플리케이션 트래픽의 3분의 1을 차지합니다
Cloudflare에서 처리하는 전체 애플리케이션 트래픽의 31.2%가 봇 트래픽입니다. 이 비율은 지난 3년 동안 비교적 일관되게 유지되었습니다(약 30% 전후로 유지됨).
봇 트래픽이라는 용어는 부정적인 의미를 내포할 수도 있지만, 실제로 봇 트래픽이 반드시 좋거나 나쁜 것은 아닙니다. 모든 것은 봇의 목적에 따라 다릅니다. 고객 서비스 챗봇 및 공인 검색 엔진 크롤러 등의 일부 봇은 '좋은' 봇이며 필요한 서비스를 수행합니다. 하지만 온라인 제품이나 서비스를 오용하므로 차단해야 하는 봇도 있습니다.
앱 소유자마다 '나쁜' 봇에 대해 판단하는 기준이 다를 수 있습니다. 예를 들어 일부 조직에서는 가격을 낮추기 위해 경쟁업체에서 배포한 콘텐츠 스크래핑 봇을 차단하려는 경우가 있지만, 반면에 제품이나 서비스를 판매하지 않는 조직에서는 콘텐츠 스크래핑에 신경 쓰지 않을 수 있습니다. 알려진 대로, 좋은 봇은 Cloudflare에 의해 "인증된 봇"으로 분류됩니다.
저희가 확인한 봇 중 93%는 확인되지 않은 봇으로, 잠재적으로 악의적이었습니다
확인되지 않은 봇은재고 사재기, DDoS 공격 실행, 무차별 대입 공격이나 자격 증명 스터핑을 통한 계정 탈취 시도 등 파괴적이고 유해한 목적을 위해 생성되는 경우가 많습니다. 검증된 봇은 검색 엔진 크롤러와 같이 안전하다고 알려진 봇이며, Cloudflare에서는 모든 주요 합법적인 봇 운영자를 검증하는 것을 목표로 합니다. 검증된 모든 봇 목록은 당사 설명서에서 확인할 수 있습니다.
봇을 이용하는 공격자는 금전적 이익을 크게 얻을 수 있는 업종에 집중합니다. 예를 들어, 웹 사이트는 종종 재고 사재기, 경쟁에 의해 운영되는 가격 스크래핑, 일종의 차익 거래를 목적으로 하는 자동 애플리케이션(예: 스티커 봇)의 대상이 됩니다. 이러한 유형의 남용은 대상 조직에 상당한 재정적 영향을 미칠 수 있습니다.
그림 8: 봇 트래픽 일일 점유율 중앙값이 가장 높은 산업
API 트래픽 인사이트
소비자와 최종 사용자는 API로 구동되는 동적 웹 경험과 모바일 경험을 기대합니다. 기업의 경우, API 덕분에 경쟁 우위를 높아지고, 비즈니스 인텔리전스가 많아지며, 클라우드 배포가 빨라지고, 새로운 AI 기능을 통합할 수 있습니다.
하지만 API는 외부 당사자에게 보안이 필요한 애플리케이션 및 데이터베이스에 액세스할 수 있는 추가 공격면을 제공하므로 새로운 위험이 초래됩니다. 그 결과, 저희가 관찰하는 수많은 공격이 이제 기존 웹 인터페이스를 공격하지 않고 API 엔드포인트를 우선적으로 공격합니다.
추가적인 보안 우려 때문에 API 우선 애플리케이션 채택이 줄어드는 것은 물론 아닙니다.
동적(캐시 불가) 트래픽의 60%는 API와 관련됩니다
이는 작년 보고서에 비해 2% 포인트 증가한 수치입니다. 이 60% 중, 평균 약 4%는 Cloudflare의 보안 시스템으로 완화됩니다.
그림 9: 완화된 API 트래픽의 점유율
1월 11일~17일 사이에 상당한 트래픽 급증이 관칠되며, 해당 기간 중 트래픽 점유율만 거의 10% 증가합니다. 이는 WAF 사용자 설정 규칙에 의해 완화된 공격 트래픽을 수신하는 특정 고객 영역 때문이었습니다.
API 트래픽에 대한 완화 소스를 살펴보면, WAF가 가장 큰 기여를 하는 것으로 나타났으며, 악의적인 표준 페이로드는 일반적으로 API 엔드포인트와 표준 웹 애플리케이션에 모두 적용 가능합니다.
그림 10: 제품 그룹별 API 완화 트래픽
API의 4분의 1은 '섀도우 API'입니다
볼 수 없는 것은 보호할 수 없습니다. 그리고 많은 조직에서는 API 트래픽을 올바르게 식별할 수 있다고 생각하는 경우에도 정확한 API 인벤토리가 부족합니다.
알려진 API 호출뿐만 아니라 모든 HTTP 요청(설명되지 않을 수 있는 API 트래픽 식별)을 검사하는 머신 러닝 모델을 사용하여 저희는 조직에서 알고 있는 것보다 33% 더 많은 공개 API 엔드포인트를 보유하고 있음을 발견했습니다. 이 수치는 중앙값이며, 머신 러닝 기반 검색을 통해 탐지된 API 엔드포인트 수와 고객이 제공한 세션 식별자를 비교하여 계산되었습니다.
이는 API의 거의 1/4이 '섀도우 API'이며, 제대로 인벤토리화되고 보호되지 않을 수 있음을 시사합니다.
클라이언트 측 위험
조직의 웹 앱은 대부분 타사 공급자의 별도 프로그램이나 코드(일반적으로 JavaScript로 코딩됨)에 의존합니다. 타사 스크립트를 사용하면 최신 웹 앱 개발이 가속화되고 조직에서는 사내에 새로운 앱 기능을 모두 구축하지 않고도 시장에 기능을 더 빠르게 제공할 수 있습니다.
Cloudflare의 클라이언트측 보안 제품인 Page Shield를 사용하여 인터넷에서 사용되는 타사 라이브러리의 인기와 이들 라이브러리가 조직에 미치는 위험을 알 수 있습니다. 이는 최근 10여 만 개의 사이트에 영향을 미친 Polyfill.io 사고로 인해 매우 중요해졌습니다.
Enterprise 애플리케이션은 평균 47개의 타사 스크립트를 사용합니다
Cloudflare의 전형적인 기업 고객은 평균 47개의 타사 스크립트와 20개의 타사 스크립트를 사용합니다. 모두 타사 스크립트를 사용할 수 있는 수천 개의 하위 도메인이 있는 SaaS 공급자로 인해 평균은 중앙값보다 훨씬 높습니다. 다음은 Cloudflare 고객이 주로 사용하는 주요 타사 스크립트 공급자입니다.
Google(Tag Manager, Analytics, Ads, Translate, reCAPTCHA, YouTube)
Meta (Facebook Pixel, Instagram)
Cloudflare(Web Analytics)
jsDelivr
New Relic
Appcues
Microsoft(Clarity, Bing, LinkedIn)
JQuery
WordPress(Web Analytics, 호스팅 플러그인)
Pinterest
UNPKG
TikTok
Hotjar
유용하기는 하지만, 타사 소프트웨어 종속성은 최종 사용자의 브라우저에서 직접 로드되는 경우가 많으므로(즉, 클라이언트 측에서 로드됨), 조직에서 보안 조치를 직접 제어할 수 없다는 점을 고려할 때 조직과 고객이 위험에 처할 수 있습니다. 예를 들어, Verizon의 2024년 데이터 유출 조사 보고서에 따르면, 리테일 분야에서 모든 데이터 유출의 18%가 Magecart 유형 공격에서 비롯됩니다.
평균적으로 약 50개의 타사에 연결된 Enterprise 애플리케이션
웹 사이트에 타사 스크립트를 로드하면 위험이 따르며, 해당 스크립트가 의도한 기능을 수행하려고 데이터를 제출하기 위해 '호출'할 경우에는 더욱 위험합니다. 일반적인 예는 Google Analytics입니다. 사용자가 작업을 수행할 때마다 Google Analytics 스크립트는 Google 서버에 데이터를 다시 제출합니다. 저희는 이것을 연결이라고 식별합니다.
평균적으로 각 기업 웹 사이트는 50개의 개별적인 타사 목적지에 연결되며, 그 중앙값은 15개입니다. 이러한 각각의 연결은 공격자가 눈에 띄지 않는 추가 데이터를 유출하는 데 종종 사용되므로 잠재적인 클라이언트 측 보안 위험을 초래합니다.
Cloudflare 고객이 주로 사용하는 주요 타사 연결은 다음과 같습니다.
Google (Analytics, Ads)
Microsoft(Clarity, Bing, LinkedIn)
Meta (Facebook Pixel)
Hotjar
Kaspersky
Sentry
Criteo
tawk.to
OneTrust
New Relic
PayPal
앞으로의 전망
이 애플리케이션 보안 보고서는 PDF 형식으로도 제공되며, 제기된 우려 사항을 해결할 방법에 대한 권장 사항과 추가 인사이트가 포함되어 있습니다.
저희는 또한 동적 차트가 포함된 많은 보고서를 Cloudflare Radar에 게시합니다. 이 보고서는 인터넷 상태에 대한 최신 정보를 얻을 수 있는 훌륭한 리소스입니다.