- Anubis 허니팟이 Sourceware에서 수집한 고유 IP 267만여 개 중 89.3%가 기존 위협 목록에 없었으며, 알려진 차단 목록만으로는 스크레이퍼 활동 대부분을 식별하기 어려움
- 챌린지 페이지에 의미상 유효하지 않은 HTML과 “Don't click me” 링크를 삽입해, 이를 따라가는 부실한 스크레이퍼를 무의미한 콘텐츠와 추가 링크로 유도함
- 고유 IP 2,678,193개 가운데 데이터베이스 등록 주소는 286,161개(10.7%)였고, 그중 98.6%가 abuse 범주였으며 전체 트래픽은 229개 국가와 21,116개 ASN에 걸쳐 있음
- 트래픽이 프록시 네트워크에 참여하는 감염된 스마트 가전에서 나올 가능성도 있지만, 수집 데이터만으로 실제 장치 유형이나 감염 여부를 입증할 수는 없음
- 특정 국가나 통신망에 국한되지 않은 스크레이핑에 대응하려면 Anubis 같은 웹 애플리케이션 방화벽이 필요하며, 근본적인 해결에는 동시에 조율된 세계적 대응이 요구됨
기존 위협 목록이 놓치는 스크레이퍼
등록된 IP의 분류와 공급자
- 데이터베이스 등록 주소 중 abuse 범주가 282,182개로 98.6%를 차지함
- datacenter 7,918개(2.8%)
- proxy 2,562개(0.9%)
- vpn 1,264개(0.4%)
- crawler 46개
- tor 17개
- 별도 플래그 기준으로는 is_datacenter 7,918개, is_proxy 2,562개, is_vpn 1,264개, is_crawler 46개로 집계됨
- 공급자는 126개였으며, netshield가 237,945개(83.2%)로 가장 큰 비중을 차지함
- bitwire 96,539개(33.7%), magicteamc 26,475개(9.3%), ipinsights 17,378개(6.1%), threathive 8,422개(2.9%)
- 이 밖에 netmountains, multacom, fyvri, cbuijs, x4bnet, solispirit, dailyproxy, blackwall, hproxy, Scaleway, AWS, Alibaba Cloud, OVHcloud 등이 포함됨
- 하나의 IP에 여러 범주나 공급자 정보가 적용될 수 있어 비율 합계는 100%를 넘음
국가와 네트워크 전반의 분포
- 전체 주소는 229개 국가에서 관측돼 특정 지역에 한정되지 않음
- 주소 수는 브라질 270,937개, 인도 185,091개, 사우디아라비아 120,372개, 멕시코 95,449개, 튀르키예 87,258개 순으로 많음
- 데이터베이스 등록률은 방글라데시 29.9%, 우크라이나 27.6%, 이라크 21.9%, 베네수엘라 21.3%, 파키스탄 20.0% 등으로 나타남
- 미국은 40,828개 중 3,347개가 등록돼 8.2%를 기록함
- ISO 3166-1에 포함된 국가가 249개이고 그중 UN 회원국이 193개라는 점과 비교하면, 스크레이퍼 활동은 전 세계에 걸쳐 있음
- 주소는 21,116개의 ASN에 분포함
- AS55836 Reliance Jio Infocomm Limited는 57,029개 중 1,749개가 등록돼 3.1%
- AS45899 VNPT Corp는 56,910개 중 6,831개로 12.0%
- AS14593 Space Exploration Technologies Corporation은 31,569개 중 4,597개로 14.6%
- AS9541 Cyber Internet Services는 21,386개 중 3,696개로 17.3%
- 표에서는 나머지 18,069개 ASN이 생략돼 있음
Anubis 허니팟이 스크레이퍼를 가두는 방식
- Anubis는 스크레이퍼 문제의 확산 범위를 측정하기 위해 모든 챌린지 페이지에 다음과 같은 의미상 유효하지 않은 HTML을 삽입함
<script type="ignore">
<a href="/.within.website/x/cmd/anubis/api/honeypot/<uuidv4>/init">Don't click me</a>
</script>
- 정상적인 처리 과정에서는 무시해야 할 링크지만, 이를 따라가면 생성 비용이 낮고 실질적인 정보가 없는 콘텐츠가 반환됨
- 반환된 콘텐츠에는 다시 다른 페이지로 이어지는 링크 두 개가 들어 있음
- 이 구조는 부실하게 작성된 스크레이퍼를 보호 대상 웹사이트 대신 허니팟 내부로 유도하면서 문제 규모를 측정하도록 설계됨
스마트 가전 감염 가능성과 대응 한계
- 관측된 트래픽의 상당 부분이 프록시 네트워크에 트래픽을 제공하는 감염된 스마트 가전에서 나올 수 있음
- 다만 이는 추측에 머물며, 수집 데이터가 개별 IP의 실제 장치 유형이나 감염 여부를 직접 입증하지는 못함
- 국가와 ASN 전반에 분산된 문제에 실질적인 영향을 주려면 동시에 조율된 세계적 대응이 필요함
- 스크레이핑 규모가 충분히 광범위하므로 Anubis 같은 웹 애플리케이션 방화벽을 운영할 필요가 있음
- 공개 이후 사실과 상황이 달라졌을 수 있으므로, 불명확하거나 잘못된 부분은 성급히 결론 내리기 전에 확인해야 함