애플리케이션 보안

이 글은 임퍼바 2025 악성 로봇 보고서의 세 가지 핵심 트렌드를 기반으로 작성되었습니다:
자동화된 트래픽의 새로운 표준: 2024년에 처음으로 자동화된 트래픽이 인간 트래픽을 넘어 511 TP3T를 기록했으며, 이 중 371 TP3T가 악성 봇으로 6년 연속 증가하면서 인터넷 상호작용 패턴의 구조적 변화와 기업 보안 문제의 새로운 국면을 예고하고 있습니다.
AI를 활용한 공격의 진화: 인공 지능(AI)과 대규모 언어 모델(LLM)의 확산으로 공격 임계값이 크게 낮아지면서 악의적인 자동 공격의 규모와 정교함이 더욱 커졌습니다. AI는 봇을 생성하는 데 사용될 뿐만 아니라 봇이 회피 기술을 분석, 학습 및 최적화하도록 유도하여 더욱 진화한 고급 봇을 생성하고 비즈니스 로직 공격의 증가로 이어집니다.
API, 새로운 공격의 중심이 되다: 마이크로서비스와 모바일 앱의 인기로 인해 API는 집중된 가치, 상대적으로 취약한 방어, 자동화의 용이성으로 인해 악성 봇의 주요 공격 대상이 되었습니다.44%의 지능형 봇 트래픽이 API로 향했으며, 금융 서비스 및 통신 업계가 가장 심각한 공격을 받았으며 데이터 크롤링, 결제 사기, 계정 탈취가 주요 공격 전술로 사용되었습니다.
또한, 2024년에 전년 대비 40%가 증가할 것으로 예상되는 계정 탈취 공격의 부활을 자세히 분석하고, ATO 공격이 급증하는 원인과 가장 큰 영향을 받는 산업, 규제에 따른 처벌에 대해 살펴봅니다. 마지막으로 이 백서에서는 조직이 점점 더 지능화되고 규모가 커지는 악성 봇의 위협에 효과적으로 대응하고 디지털 자산과 비즈니스 연속성을 보호할 수 있도록 기존의 WAF를 뛰어넘어 API 보안 강화, ATO 대응, 통합 보안 뷰 구축, 지속적인 모니터링 및 위협 인텔리전스를 포함한 다계층의 적응형 심층 방어 전략을 제안합니다.

전 세계 개발자, 보안 및 운영 담당자 1,000여 명을 대상으로 실시한 설문조사를 바탕으로 작성된 2024 글로벌 DevSecOps 현황 보고서에서는 다음과 같은 주요 데이터를 통해 DevSecOps 분야의 주요 트렌드와 과제를 확인할 수 있습니다.

82% 조직은 6~20개의 보안 도구를 사용합니다.
60%에 대한 테스트 결과에는 21%-60%의 노이즈가 포함되어 있습니다.
응답자의 24%만이 AI 코드 보호에 대해 "매우 자신 있다"고 답했습니다.
86%에 속한 조직은 보안 테스트가 개발 속도를 늦춘다고 느꼈습니다.

이 보고서는 2023년 전 세계 데브섹옵스 관행, 전략, 도구 사용 현황과 소프트웨어 보안에 미치는 영향에 대한 개요를 제공합니다. 이 보고서는 미국, 영국, 프랑스, 핀란드, 독일, 중국, 싱가포르, 일본의 다양한 직업적 배경을 가진 1,000명의 IT 및 앱보안 전문가를 대상으로 실시한 설문조사 결과를 다룹니다.

이 글에서는 360 Vulpecker Team의 보안 연구원인 Li Bo와 Zhang Xin이 실제로 진행한 모바일 APP 타사 SDK의 취약점 마이닝을 소개합니다. 360 Vulpecker 팀은 안드로이드 시스템과 애플리케이션 보안 공격 및 방어 분야에 중점을 두고 있으며, 안드로이드 애플리케이션 보안 감사를 위한 자동화 시스템을 자체 개발했습니다. 이 기사는 타사 SDK의 보안 상태부터 시작하여 SDK 통합으로 인한 보안 위험에 대해 논의하고 다양한 SDK의 취약점 위험 및 공격 방법을 자세히 소개합니다. Push SDK와 공유 SDK의 취약점 악용 방식을 사례를 통해 분석하고, 해당 취약점이 애플리케이션에 미치는 영향 범위를 지적합니다. 마지막으로 모바일 앱의 보안에 대한 독자들의 관심과 깊이 있는 고민을 불러일으키기 위한 몇 가지 생각을 제시한다.