[정보통신신문=차종환기자]

아카마이(대표 이경준)가 2020년 1월부터 2020년 12월까지 금융업계를 대상으로 한 41억건 이상의 보안 공격을 관측했다고 밝혔다.

‘2021 인터넷 보안 현황 보고서: 금융산업을 위협하는 피싱’에 따르면, 같은 기간 동안 관측된 총 1930억건의 크리덴셜 스터핑(Credential Stuffing) 보안 공격 중 34억건 이상이 금융업계를 대상으로 발생했다. 이는 전년대비 45% 이상 증가한 수치다.

크리덴셜 스터핑은 보안 공격 방식 중 하나로, 공격자가 악성 웹사이트 및 서비스에서 구매한 사용자 아이디와 비밀번호를 조합해 다른 로그인 시스템에서 로그인을 시도하는 공격을 말한다.

크리덴셜 스터핑 외에도 사용자 정보를 탈취하기 위한 △SQL 인젝션(SQLi: SQL injection) △로컬 파일 인클루전 (LFI: Local File Inclusion) △크로스 사이트 스크립팅(XSS: Cross-Site Scripting)과 같은 보안 공격도 있는데, 이와 같은 방법으로 행해진 웹 애플리케이션 보안 공격은 지난해 총 62억건 관측됐고, 그 중 12%에 해당되는 7억건이 금융 업계를 대상으로 발생했다. 전년과 비교하면 62%나 증가한 것이다.

특히, 전체 웹 애플리케이션 보안 공격 중에서는 낮은 비율을 차지하는 LFI가 금융업계를 대상으로 한 웹 애플리케이션 공격에서는 제일 많은 52%에 달하는 비율을 보여, 금융업계에 특화된 보안 공격으로 나타났다.

금융업계를 표적으로 한 디도스(DDoS) 공격은 2018년부터 3년간 93%까지 증가했다. 이는 공격자들의 목표가 일상 업무에 필요한 서비스 및 애플리케이션에 시스템 장애를 일으키는 것이라는 분석이다.

SMS로 금융 기업과 그 고객을 표적으로 삼는 ‘Kr3pto’ 피싱 키트는 2020년 5월부터 8000개 이상의 도메인에 걸쳐 영국 기업 11곳을 속인 것으로 관측됐다.

‘Ex-Robotos’는 기업 인증 정보 피싱 분야에서 새로운 벤치마크가 된 피싱 키트다. 아카마이 인텔리전트 엣지 플랫폼의 데이터에 따르면, 43일이 넘는 기간 동안에 API IP 주소에 22만회가 넘는 공격이 있었다.

아카마이 관계자는 “최근 재택근무가 빈번해지고 기업 환경에서 모바일 디바이스를 사용하게 됨에 따라 SMS 기반 피싱 공격이 증가했다”고 말했다.

차종환 기자 다른기사 보기