스크래핑(Scraping)은 해킹에도 사용되는 기술로, 목표 웹에서 데이터를 자동으로 추출하는 행위를 말한다. 최근의 스크래핑은 일부 신생업체가 기성 사업자의 데이터를 임의로 추출해 자사 신규 서비스에 활용하는 방식으로 많이 알려졌다. 근래 세금환급, 대환대출 등의 서비스를 제공하는 플랫폼 스타트업들이 스크래핑을 활용한 서비스를 운영하고 있다.
 |
ⓒ 에버스핀 |
<이미지를 클릭하시면 크게 보실 수 있습니다> |
스크래핑을 이용한 서비스는 여러 곳에 흩어진 정보를 한데 모아주는 등 이용자 편의성을 높여주기도 하지만, 대상 기업의 데이터를 동의 없이 무단으로 추출한다는 점에 있어 논란의 소지가 있다. 또한 그 과정에서 과도한 트래픽을 유발해 서비스를 지연시키는 등 많은 부작용이 존재해 도마에 오르내리고 있는 실정이며, 아직까지는 관련한 법적, 제도적 장치도 존재하지 않는다.
스크래핑의 대상이 된 기관 및 기업은 난색을 표하고 있다. 최근 국세청에서는 세무 플랫폼의 과도한 스크래핑으로 인하여 홈택스 서비스가 지연되어 수많은 사용자가 불편을 호소하는 일이 발생했다.
스크래핑을 통한 접속은 일종의 매크로 프로그램처럼 동작하기 때문에 최대 수십배에 이르는 과도한 비정상 트래픽을 유발한 것이 그 이유였다. 이에 국세청은 정상적으로 접속하는 사용자의 원활한 접속을 위해 세무 플랫폼 스크래핑 접속을 제한한 일이 있었다. 이처럼 상호 합의되지 않은 스크래핑의 피해는 당하는 곳과 정상적으로 이용하는 사용자에게 고스란히 돌아가고 있다.
에버스핀은 자사의 해킹방지솔루션 에버세이프 웹을 통해 기업간 합의되지 않은 스크래핑을 탐지하고 제한하는 기능을 제공하고 있다. 지난 2년간 에버세이프 웹을 통해 탐지된 전체 스크래핑 건은 무려 4,000만 건에 달해 그 성능을 입증했다.
탐지된 스크래핑 대다수는 합의되지 않은 무단 스크래핑이거나, ‘자동화 봇(Bot)’을 통해 해킹에 악용될 수 있는 정보까지 수집되는 경우도 발견되어 각별한 주의가 필요하다. 이처럼 해킹을 위한 정보 수집에도 이용되는만큼 OWASP(Open Worldwide Application Security Project)는 스크래핑을 자동화된 보안 위협으로 분류하고 있다.
에버세이프 웹은 해킹방어를 위해 스크래핑 방지 이외에도 세션보호, 디버깅 탐지, 매크로 방지, 제로데이필터 등 다양한 기능을 제공하고 있다. 모든 기능은 MTD(Moving Target Defense:이동표적방어)기술 기반으로 적용되었으며, ▲NH농협은행 ▲삼성카드 ▲우리카드 ▲한국투자증권 ▲메리츠증권 ▲키움증권 ▲삼성화재 ▲저축은행중앙회 ▲SBI저축은행 ▲국세청 ▲손해보험협회 ▲생명보험협회 등에서 활발히 이용중이다.
에버스핀 관계자는 "신생업체가 기성 사업자가 축적한 데이터를 무단으로 수집하고 그 서버 인프라에 과도한 부하를 유발하면서까지 서비스를 이어가고 있다”라며 무분별한 스크래핑 실태를 지적했다. 또 스크래핑의 해킹 악용사례도 많은 만큼 ”원치 않은 스크래핑으로 피해를 받는 기업과 사용자의 권익 보호를 위해 R&D를 지속하여 더욱 강력한 스크래핑 방지에 힘쓰겠다”라고 덧붙였다.
editor@itworld.co.kr
편집부 editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
