구독 폭탄 공격, 어떻게 막을까? Cloudflare Turnstile, Honey Pot, LLM 필터까지!

구독 폭탄 공격(Subscription Bombing)은 공격자가 봇을 사용하여 피해자의 이메일 주소를 다수의 웹사이트에 등록하는 방식으로 진행된다. 공격의 목적은 피해자의 수신함(Inbox)을 스팸 메일로 가득 채워, 중요한 알림을 숨기는 것이다. 특히, 계정 탈취(Account Takeover), 피싱(Phishing), 신용 사기(Credit Card Fraud) 등 2차 공격을 은폐하는 데 악용될 수 있다. 공격자는 이메일 확인 메일, 비밀번호 재설정 메일 등을 스팸에 묻히게 하여 피해를 극대화한다.

게시물 작성자는 Cloudflare Turnstile을 사용하여 구독 폭탄 공격(Subscription Bombing)을 효과적으로 방어했다. Turnstile(CAPTCHA 대체 기술)은 사용자가 퍼즐을 풀 필요 없이 백그라운드에서 브라우저 신호를 분석하여 봇을 식별한다. Better Auth를 통해 간편하게 구현했으며, 가시적인 챌린지 없이 봇 트래픽(Bot Traffic)을 차단했다. 특히, Turnstile은 기존 CAPTCHA의 사용자 불편함을 줄이면서도 높은 수준의 보안을 제공한다는 점에서 주목할 만하다.

게시물 작성자는 Turnstile 외에도 이메일 인증 절차를 강화하여 피해를 최소화했다. 구체적으로, 이메일 주소 검증(Verification)을 완료한 사용자에게만 추가적인 이메일을 발송하도록 변경했다. 또한, Honey Pot을 활용하여 봇을 탐지하고 차단하는 전략도 효과적이다. Honey Pot은 실제 사용자가 접근하지 않는 숨겨진 필드를 추가하여, 봇의 자동 입력을 유도하고 이를 통해 봇을 식별한다.

커뮤니티에서는 다양한 방어 기법과 함께 이메일 기반 시스템의 근본적인 문제점을 지적한다. IP 평판(IP Reputation) 기반의 차단, 웹 드라이버(Webdriver) 사용 탐지, LLM을 활용한 이름 필터링(Name Filtering) 등 다양한 방법이 제시되었다. 특히, LLM을 활용하여 봇이 입력한 무의미한 이름(Gibberish Name)을 감지하는 방법은 주목할 만하다. 또한, 이메일 자체의 취약성을 지적하며, 탈 이메일 기반의 새로운 인증 방식에 대한 논의가 진행되었다.

구독 폭탄 공격(Subscription Bombing)은 피해자의 이메일 수신함을 마비시켜, 중요한 알림을 놓치게 만든다. 이는 계정 탈취(Account Takeover), 피싱(Phishing), 신용 사기(Credit Card Fraud) 등 2차 피해로 이어진다. 특히, 피해자는 수백 통의 스팸 메일 속에서 중요한 알림을 찾기 어려워, 피해 사실을 인지하기 어렵다. 또한, 구독 폭탄 공격은 서비스 제공자의 평판(Reputation)을 저하시키고, 사용자 경험을 악화시킨다.