아카마이 보고서 발표, 지난해 5월부터 12월까지 크리덴셜 어뷰즈 공격 중 최대 75%가 API 대상
지난해 5월부터 연말까지 진행된 해당 보고서에 따르면 공격자들이 보안 컨트롤을 우회하기 위해 API를 표적으로 삼으면서 위협 양상에 급격한 변화가 발생했다. 동기간 금융 서비스 업계를 대상으로 한 크리덴셜 어뷰즈(credential abuse) 공격의 최대 75%는 API를 직접 노린 것으로 확인됐다.
아카마이는 2017년 12월부터 2019년 11월까지 약 854억건에 달하는 크리덴셜어뷰즈 공격이 발생했다고 보고서를 인용해 밝혔다. 약 20%에 해당하는 약 166억건은 API 엔드포인트로 명확하게 식별된 호스트네임에 대한 공격이었다. API 공격 중 약 5억건은 금융서비스 업계에서 발생했다.
모든 공격이 API에만 집중된 것은 아니었다. 아카마이는 지난해 8월7일 한 금융 서비스 업체에 아카마이 관측 사상 단일 규모로는 가장 큰 크리덴셜 스터핑(credential stuffing) 공격이 가해진 것을 포착했다고 설명했다.
이중 약 5500만회의 악성 로그인 시도가 있었는데, 해당 공격에는 API 공격뿐만 아니라 기타 방법이 섞여 있었다. 8월25일에는 공격자들이 API를 직접 표적으로 삼아 1900만회 이상의 크리덴셜 어뷰즈 공격이 발생됐다.
공격 양상이 매우 유동적이라는 점을 지적하며 공격자들이 서버에서 더 강력한 기반을 확보하고, 궁극적으로는 공격을 성공시키기 위해 다양한 방법으로 데이터를 노출시키려는 시도가 있었다고 보고서는 밝혔다.
2년 간 전체 업계에서 SQL인젝션(SQLi)이 전체 공격의 72% 이상을 차지했다. 이중 금융서비스 업계에서의 SQL인젝션 공격 비율은 절반인 36%를 차지했다. 금융서비스 분야에서 가장 많이 발생한 공격은 관련 분야에서 공격 트래픽의 47%를 차지한 로컬 파일 인클루전(Local File Inclusion, LFI)으로 나타났다.
LFI 공격은 취약한 자바스크립트 파일과 같은 클라이언트 사이드 명령 실행(client-side command execution)에 사용돼 크로스 사이트 스크립팅(Cross-Site Scripting, XSS)과 도스(Denial of Service, DoS) 공격으로 이어질 수 있다. XSS는 금융서비스에 대한 공격 트래픽 중 7.7%를 차지했다.
공격자들은 금융서비스 업계를 공격할 때 핵심요소로서 디도스(DDoS) 공격을 지속적으로 사용하고 있었다. 아카마이가 2017년 11월부터 2019년 10월까지 조사한 결과 게임 산업과 첨단 기술 산업이 차례로 가장 많은 디도스 공격이 발생한 산업이었고 금융서비스 산업이 뒤를 이었다.
하지만 디도스 공격에 피해를 입은 대상의 40% 이상이 금융서비스 산업에 해당하기에, 피해 대상 수를 고려하면 금융서비스 산업이 가장 많은 표적이 되었다고 볼 수 있다.
스티브 레이건아카마이 보안연구원은 “보안팀은 정책, 절차, 워크플로우, 비즈니스 요구사항을 꾸준히 고려하면서 조직적이고 탄탄한 자금을 갖고 있는 공격자들에 맞서야 한다”며 “아카마이 자체 조사결과에 따르면 금융서비스 조직이 유연한 보안체계를 채택해 보안을 계속해서 개선해 나가면서 공격자들은 전략을 바꾸고 있는 것으로 보인다”고 말했다.