인터넷은 더 이상 안전한 피난처가 아니다

• 개인 서버가 AI 스크래핑 봇의 과도한 요청으로 다운되는 사례 발생
• 로그 분석 결과, Alibaba(US) Technology의 싱가포르 호스팅 IP 대역(47.79.*)에서 집중적인 접근 시도 확인
• Mozilla/5.0 형태의 위조된 User-Agent로 인해 일반적인 봇 탐지 시스템이 무력화됨
• Fail2ban과 Nginx의 자동 차단 시스템이 과부하되어, 수동으로 IP 대역 전체를 차단하는 조치 필요
• 개인 서버 운영자들이 반복되는 공격으로 인해 자율 호스팅 환경이 위축되고, 중앙화된 플랫폼으로 밀려나는 현실

서버 다운 원인과 초기 대응

• 며칠 전, 사이트를 호스팅하던 소형 서버가 스크래핑 봇 공격으로 일시 중단됨
  • 과거에도 유사한 공격이 있었으며, Anubis 같은 강력한 방어 도구 도입을 고려 중
  • 반복되는 공격으로 인해 개인 개발자의 창작 의욕과 취미적 즐거움이 감소
• 서버 접속 지연 후 top 명령으로 확인한 결과, Gitea와 Fail2ban이 CPU를 거의 모두 점유
  • Gitea 프로세스를 종료해도 Fail2ban의 부하가 줄지 않았으며, Nginx 접근 로그가 폭주한 상태

로그 분석과 공격 패턴

• 로그에는 /commit/ 경로를 대상으로 한 다수의 HTTP 502 요청이 기록됨
  • 요청 헤더에는 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) 등 일반 브라우저로 위장된 User-Agent 사용
  • 대부분의 User-Agent 검사 도구가 이를 정상 트래픽으로 인식해 탐지 회피
• 공격 IP는 단일 출처가 아닌 여러 주소에서 발생했지만, 공통적으로 47.79.* 대역 사용
  • ipinfo.io 조회 결과, 해당 대역은 Alibaba(US) Technology Co., Ltd. 소유
  • PhpBB 포럼 등에서도 동일한 IP 대역으로 인한 공격 사례 보고 존재

방어 조치와 한계

• Fail2ban이 Nginx 로그를 실시간 분석해 차단 규칙을 적용했으나, 로그 폭증으로 처리 지연
  • /commit/ 접근 시도 IP를 즉시 차단하는 스크립트를 실행했지만 속도 한계 존재
  • 최종적으로 iptables 명령을 통해 47.79.0.0/16 전체 대역을 수동 차단
• 이러한 대응은 임시방편에 불과하며, 새로운 IP 대역에서의 공격은 계속될 가능성 있음
  • Cloudflare 같은 외부 보호 서비스나 Anubis 같은 고급 방어 체계 도입을 검토 중
  • 그러나 추적 기능이 있는 미국 서버 경유를 원치 않아 도입을 망설이는 상황

개인 서버 운영의 어려움

• Gitea 인스턴스를 Codeberg로 이전하는 방안을 고려 중
  • 개인 서버 운영자들이 반복되는 공격으로 인해 자체 호스팅을 포기하고 중앙화된 플랫폼으로 이동하는 경향
  • 이러한 흐름이 인터넷의 분산성과 자율성 약화로 이어짐
• 다른 블로거들도 유사한 공격 피해를 보고하고 있으며, 소규모 웹 운영자 전반의 문제로 확산

기타 관찰된 이상 트래픽

• bioware.com, mcdonalds.com, microsoft.com 등 대기업 도메인을 참조하는 위조된 Referer 헤더 발견
  • 실제로 해당 사이트들이 링크를 제공하지 않았으며, 목적 불명의 트래픽 증가 현상
• 공격이 반복되더라도 자체 호스팅을 포기하지 않겠다는 의지 표명
  • 글의 마지막에서 “Get Hostin’ Or Die Tryin’ ”이라는 문구로 자율 서버 운영 지속 의지 강조