[데이터넷] 2017년 11월부터 2019년 4월까지 18개월 동안 금융기관을 대상으로 고객의 금융정보를 탈취하려는 크리덴셜 스터핑 공격이 35억 건에 이른 것으로 나타났다.
‘아카마이 2019 인터넷 현황 보고서: 금융 서비스 공격’에 따르면, 공격자는 훔친 사용자 정보를 이용해 금융 사이트 등에 로그인 한 후 추가 개인정보를 탈취하고 금융 사기를 벌이는 크리덴셜 스터핑 공격을 일삼고 있다. 이들은 특히 자동화된 봇을 이용해 공격 효율성을 높이고 있다.
2018년 12월 2일부터 2019년 5월 4일까지 약 5개월 동안 금융을 포함한 전체 업계에서 발견된 피싱 도메인은 약 20만 개에 달했다. 이 중 66%는 소비자를, 34%는 기업을 공격 표적으로 삼았다. 소비자를 표적으로 한 피싱 도메인의 절반은 금융 업계 기업에서 발견됐다.
마틴 맥키(Martin McKeay) 아카마이 보안 연구원 겸 인터넷 보안 현황 보고서 수석 편집장은 "지난 1년 동안 소비자를 대상으로 한 피싱 공격의 증가로 크리덴셜 스터핑 공격이 꾸준히 증가했다”며 “공격자는 기존에 탈취된 인증정보 데이터를 피싱을 통해 보완한 후 계정을 탈취하거나 보완한 인증정보 목록을 되파는 방식으로 수익을 거둔다. 금융 업계와 소비자를 표적으로 한 경제가 생성되고 있다”고 밝혔다.
공격자가 공격에 성공하면 부당하게 취득한 데이터와 기금을 처리해야 한다. 이를 처리하는 방법 중에는 ‘뱅크 드롭(bank drops)’이 있다. 뱅크 드롭은 특정 금융 기관에서 계좌를 부정한 방식으로 개설하는 데 이용되는 데이터 패키지다. 뱅크 드롭에는 이름, 주소, 생년월일, 주민등록 세부 정보, 운전면허 정보, 신용 점수 등 ‘풀즈(fullz)’라고 불리는 개인 정보가 포함된다. 부정 계좌에 대한 보안 접속은 은행과 풀즈의 위치와 일치하는 곳의 원격 데스크톱 서버를 통해 이뤄진다.
금융 기관은 공격자가 드롭 계좌를 개설하는 방법을 계속해서 조사하고 공격자 보다 한 발 앞서기 위해 많은 노력을 기울이고 있다. 그러나 여전히 대부분의 기업이 공격자가 오래된 공격 기법으로 기업을 공격하고 있다는 것을 인지하지 못하고 있다.
아카마이는 금융 서비스 부문에서 관찰된 공격의 94%가 ▲SQL 인젝션(SQL Injection, SQLi) ▲로컬 파일 인클루전(Local File Inclusion, LFI) ▲크로스 사이트 스크립팅(Cross-Site Scripting, XSS) ▲OGNL 자바 인젝션(OGNL JAVA Injection) 중 하나의 기법을 사용했다고 밝혔다. 그 중 OGNL 자바 인젝션을 활용한 공격은 2017년 11월부터 2019년 4월까지 18개월 동안 800만 건 이상이 발생했다. 아파치 스트럿츠(Apache Struts)의 취약점으로 인해 잘 알려진 OGNL 자바 인젝션은 패치가 배포된 이후에도 수년 동안 계속해서 사용되는 공격 기법이다.
공격자는 금융 서비스 업계를 대상으로 크리덴셜 스터핑 공격을 실행하거나 웹 기반 취약점을 이용하기 위해 주의를 돌리는 용도로 디도스(DDoS) 공격을 감행했다. 아카마이는 18개월 동안 금융 서비스 업계에서만 800건 이상의 디도스 공격을 발견했다.
마틴 맥키 편집장은 “공격자는 금융 서비스 기업의 약점인 소비자, 웹 애플리케이션, 가용성을 표적으로 삼는다”며 “공격을 감지하고 방어하는 능력 면에서는 기업이 더욱 발전하고 있지만 거점 방어에서는 여전히 실패를 겪고 있다. 기업은 고객을 보호하기 위해 다양한 도구를 사용하는 지능적인 공격자를 감지, 분석, 방어할 수 있어야 한다. 아카마이는 20여년 간 넓은 스펙트럼에 걸친 보안에 대한 가시성을 활용해 계속해서 발전하고 있는 범죄 행위로부터 고객을 보호하고 있다”고 말했다.
