“사용자 계정 탈취 시도 하루 1억1500만건”
상태바
“사용자 계정 탈취 시도 하루 1억1500만건”
  • 김선애 기자
  • 승인 2019.04.15 15:02
  • 댓글 0
이 기사를 공유합니다

아카마이 “탈취 계정, 공격자 수익 창출·스피어피싱 이용…계정 탈취 시도하는 악성봇 대응 방안 시급”

사용자 계정 탈취 시도가 하루 1억1500만건에 달하며, 이 중 봇을 이용해 기 유출된 개인정보를 웹서비스에 대입하는 방식으로 추가 정보를 탈취하는 ‘크리덴셜 스터핑’으로 진행되는 것으로 분석됐다.

아카마이 ‘인터넷 보안현황 보고서; 리테일 업계에 대한 공격 및 API 트래픽’에 따르면 아카마이가 지난해 5월 1일부터 12월 31일까지 탐지한 인증정보 도용 시도는 280억여건에 달했으며, 이는 하루 평균 1억1500만여건씩 나타나는 셈이다. 특히 리테일 업계를 대상으로 한 공격이 가장 많았는데, 전체 공격의 30% 가까운 100억여건이 리테일 업체를 대상으로 한 것이었다.

탈취된 계정, 공격자 수익 창출에 사용

이렇게 탈취된 정보는 지하시장 판매나 온라인 이벤트를 통해 수익을 얻는데 사용되는 것으로 나타났다. 유출된 정보가 어떻게 사용되는지 추적한 결과, 공격자들은 탈취한 정보를 이용해 직접적인 수익을 얻는 것으로 드러났다.

유명 브랜드들은 홍보전략을 위해 할인코드나 한정판 제품을 일부 고객에게 제공한다. 공격자들은 입수한 사용자 계정을 이용해 이러한 프로모션에 응모, 저렴한 가격으로 제품을 구입한 후 이를 오프라인이나 또 다른 온라인 사이트에서 판매하면서 수익을 올린다.

이 같은 공격은 의류 브랜드에서 가장 많이 등장하며, 다이렉트 커머스, 백화점, 사무용품점, 보석·시계 등 패션 등에서 등장했다. 의류 브랜드, 백화점 등은 앞서 설명한 것처럼 유명 상품을 저렴하게 구입해 재판매하면서 수익을 얻고자 한다.

사무용품점 공격으로 공격자는 또 다른 이득을 얻을 수 있다. 사무용품 공급망 공격으로 게정을 탈취하면 공격자는 해당 기업의 비즈니스 정보와 구매주문 담당자 등 기타 관련 정보를 획득할 수 있으며, 이를 통해 비즈니스 이메일 침해(BEC), 스피어피싱 등의 공격에 이용할 수 있다.

보석과 액세서리 업계 계정 탈취 시도는 고객의 개인정보, 계좌정보 등을 입수해 직접적인 수익을 얻고자 하는 것으로 보이며, 금융기관을 노리는 정보는 탈취한 인증정보가 금융계좌와 일치하는지 확인하고 금융재산을 탈취하는 공격으로 이어질 수 있다.

정상 계정 이용해 공격 탐지 우회

크리덴셜 스터핑 공격은 기업·기관이 탐지하기 매우 어렵다. 정상 사용자 계정을 통해 접속하고 있으며, 계정 탈취와 프로모션 응모 및 판매까지 수행하는 올인원(AIO) 봇을 이용하기 때문에 단일 계정의 행위만을 살펴본다면 정상 계정의 활동과 구분하기 어렵다.

아카마이가 포네몬인스티튜트에 의뢰해 진행한 설문조사에서, 응답자의 71%는 크리덴셜 스터핑 공격의 예방 조치로 인해 정상 사용자의 웹 경험이 악화될 수 있기 때문에 공격 방어가 어렵다고 답했다.

기업은 매월 평균 12.7건의 크리덴셜 스터핑 공격을 경험하고 있고, 공격 당 1252개의 계정이 표적이 된다. 인증정보 도용 공격을 시도하는 봇을 차단하는 것은 합리적인 조치지만, 이로 인해 정상 사용자가 영향을 받게되면 비즈니스에 심각한 손해를 끼칠 수 있다. 더불어 응답자의 32%는 크리덴셜 스터핑 공격에 대한 가시성이 부족하다고 답했고 30%는 탐지 및 방어할 수 없었다고 말했다.

크리덴셜 스터핑 공격을 예방 또는 방어하는 데 필요한 솔루션과 기술을 충분히 보유하고 있는지 물어보는 질문에는 응답자의 70%가 방어 체계가 부족한 상황이라고 답했다. 크리덴셜 스터핑 공격을 방어하려면 많은 비용이 소모됩니다. 설문 조사 결과에 따르면 크리덴셜 스터핑으로 인한 연간 총 비용은 170만 달러(애플리케이션 다운타임), 270만 달러(고객 이탈), 160만 달러(IT 간접비)에 달하는 것으로 나타났다.

보고서에서는 “공격자들은 재판매 시장에서 수익을 거두기 위해, 비즈니스를 방해하거나 개인·금융 정보를 수집해 지하 시장에서 판매하기 위해 계정을 탈취한다. 이러한 유형의 공격을 차단하는 방법은 악성봇 탐지와 방어 능력을 강화하고 사용자가 여러 웹사이트에 걸쳐 동일한 인증정보를 사용하지 못하도록 하는 것이다. 사용자들이 동일한 비밀번호를 반복적으로 사용하는 한, 계정 탈취 시도는 공격자의 유용한 수익창출 방법이 될 것”이라고 경고했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.