"18개월 간 금융 업계 대상 '크리덴셜 스터핑' 공격 35억 건 발생"

"18개월 간 금융 업계 대상 '크리덴셜 스터핑' 공격 35억 건 발생"

금융업계를 대상으로 '크리덴셜 스터핑' '피싱' 등 사이버 공격이 심각한 수준이다.

아카마이코리아(대표 이경준)가 금융 업계를 겨냥한 공격을 분석한 '아카마이 2019 인터넷 현황 보고서: 금융 서비스 공격'을 발표했다. 보고서에 따르면 2017년 11월부터 2019년 4월까지 총 금융 업계를 대상으로 일어난 크리덴셜 스터핑 공격이 35억 건에 달했다. 크리덴셜 스터핑은 공격자가 훔친 사용자 정보로 자동화 툴을 활용해 로그인 시스템에서 검증을 시도하는 공격이다.

2018년 12월 2일부터 2019년 5월 4일까지 약 5개월 동안 금융을 포함한 전체 업계에서 발견된 피싱 도메인은 약 20만 개에 달했다. 66%는 소비자, 34%는 기업을 공격 표적으로 삼았다. 소비자를 표적으로 한 피싱 도메인 절반은 금융 업계 기업에서 발견됐다.

마틴 맥키 아카마이 보안 연구원 겸 인터넷 보안 현황 보고서 수석 편집장은 “공격자는 기존에 탈취된 인증정보 데이터를 피싱을 통해 보완한 후 계정을 탈취하거나 보완한 인증정보 목록을 되파는 방식으로 수익을 거둔다”면서 “금융 업계와 소비자를 표적으로 한 경제가 생성된다”고 지적했다.

아카마이는 금융 서비스 부문에서 관찰된 공격 94%가 △SQL 인젝션 △로컬 파일 인클루전 △크로스 사이트 스크립팅 △OGNL 자바 인젝션 중 하나라고 설명했다. OGNL 자바 인젝션을 활용한 공격은 2017년 11월부터 2019년 4월까지 18개월 동안 800만 건 이상이 발생했다.

공격자는 금융 서비스 업계를 대상으로 크리덴셜 스터핑 공격을 실행하거나 웹 기반 취약점을 이용하기 위해 주의를 돌리는 용도로 분산서비스거부(디도스·DDoS) 공격을 감행했다. 아카마이는 18개월 동안 금융 서비스 업계에서만 800건 이상 디도스 공격을 발견했다.

맥키 편집장은 “공격자는 금융 서비스 기업 약점인 소비자, 웹 애플리케이션, 가용성을 표적으로 삼는다”면서 “공격을 감지하고 방어하는 능력 면에서는 기업이 더욱 발전하고 있지만 거점 방어에서는 여전히 실패한다”고 말했다.

정영일기자 jung01@etnews.com