토요일, CEO 올렉산드르 톰축(Oleksandr Tomchuk)은 자사 이커머스 사이트가 다운되었다는 알림을 받았다. 이는 일종의 분산 서비스 거부 공격(DDoS attack)으로 보였다.
그는 곧 공격의 배후가 OpenAI의 봇(bot)이며, 이 봇이 자신의 방대한 사이트 전체를 끈질기게 스크래핑(data scraping)하려 시도하고 있음을 발견했다.
톰축은 테크크런치(TechCrunch)에 "저희는 65,000개가 넘는 제품이 있으며, 각 제품 페이지가 있습니다. 게다가 각 페이지에는 최소 세 장 이상의 사진이 포함되어 있습니다"라고 설명했다.
OpenAI는 이 모든 데이터—상세 설명과 수십만 장에 달하는 사진들—를 다운로드하기 위해 "수만 건에 달하는" 서버 요청을 보내고 있었다.
그는 이 봇이 사이트를 공격하는 데 사용했던 IP 주소들에 대해 "OpenAI는 데이터를 스크래핑하기 위해 600개의 IP를 사용했으며, 저희는 아직 지난주 기록(로그)을 분석 중이지만, 실제로는 이보다 훨씬 더 많을 수 있습니다"라고 밝혔다. 이어 "그들의 크롤러가 사이트를 무너뜨리고 있었습니다. 기본적으로 DDoS 공격이었습니다"라고 덧붙였다.
이 회사는 사람의 시각에 맞춘 디지털 아트를 제작하는 곳이다. 자사의 핵심 비즈니스는 인공지능 기반의 디지털 아트와 NFT를 판매하는 것이다.
기술적 문제와 대응
이 공격은 단순히 트래픽 과부하를 일으킨 것 이상이었다. 공격자들은 사이트의 특정 취약점을 노려 대규모 데이터를 탈취하거나, 서비스 자체를 마비시키려는 목적을 가진 것으로 추정된다.
이에 회사는 다음과 같은 대응책을 마련했다.
- 방화벽 강화 및 DDoS 방어 시스템 업그레이드: 외부의 대규모 트래픽을 필터링하고 흡수할 수 있도록 클라우드 기반의 방화벽 시스템을 즉각적으로 강화했다.
- Rate Limiting 적용: 특정 IP 주소나 사용자가 단시간 내에 과도한 요청을 보내지 못하도록 제한을 설정했다. 이는 봇(Bot)에 의한 자동화된 공격을 차단하는 데 핵심적인 역할을 했다.
- CAPTCHA 도입: 사용자 인증 절차를 강화하여, 자동화된 스크래핑 봇이 접근하는 것을 막고 실제 사람의 접속만을 허용하도록 시스템을 보완했다.
근본적인 보안 개선
이번 사태를 계기로 회사는 장기적인 관점에서 보안 체계를 전면 개편하기로 결정했다.
- WAF(Web Application Firewall) 도입: 단순한 트래픽 차단을 넘어, 웹 애플리케이션 자체의 취약점(예: SQL Injection, XSS 등)을 사전에 감지하고 차단하는 전문적인 WAF 솔루션을 도입했다.
- 보안 감사(Security Audit) 의무화: 외부 보안 전문 업체에 의뢰하여 전체 시스템에 대한 취약점 전수 조사를 의무화하고, 발견된 모든 취약점은 패치 일정을 설정하여 수정하도록 했다.
- 백업 시스템 다중화: 핵심 데이터베이스와 콘텐츠 관리 시스템(CMS)을 여러 지리적 위치에 이중화하여, 만약 한 서버가 공격당하거나 다운되더라도 즉각적으로 다른 곳의 시스템으로 전환할 수 있도록 비상 대응 계획을 구축했다.
결론
이번 사이버 공격은 회사에게 큰 위협이었지만, 동시에 내부 시스템을 점검하고 보안 역량을 한 단계 업그레이드할 수 있는 계기가 되었다. 회사는 "보안은 선택이 아닌 생존의 문제"라는 원칙 아래, 기술적 대비와 시스템 강화에 막대한 투자를 집행하며 시장의 신뢰를 회복하는 데 주력할 방침이다.