지난해 금융업 대상 보안 공격은 41억건
[파이낸셜뉴스] 최근 재택근무가 빈번해지고 기업 환경에서 모바일 디바이스를 사용하게 됨에 따라 SMS 기반 피싱 공격이 증가하고 있다. 지난해 사용자 계정을 탈취해 공격하는 해킹이 1930억건인 것으로 밝혀졌다. 해커들 역시 피해자의 위치에 상관없이 공격하고 있는 것으로 나타났다.
보안업체 아카마이는 지난해 금융업에 대한 보안공격이 41억건 이상인 것으로 나타났다고 최근 밝혔다.
2021 인터넷 보안 현황 보고서에 따르면, 같은 기간 동안 관측된 총 1930억건의 크리덴셜 스터핑 보안 공격 중 34억건 이상이 금융 업계를 대상으로 발생했다. 이는 전년 대비 45% 이상 증가한 수치다.
크리덴셜 스터핑은 사용자 계정을 탈취해 공격하는 유형 중 하나를 말한다.
크리덴셜 스터핑 등 웹 애플리케이션 보안 공격은 2020년 한 해 총 62억건 관측됐다. 그 중 12%에 해당되는 7억건이 금융 업계를 대상으로 발생했다. 전년과 비교하면 62%나 증가한 것이다.
이외에도 사용자 정보를 탈취하기 위한 SQL 인젝션, 로컬 파일 인클루전(LFI), 크로스 사이트 스크립팅(XSS)과 같은 보안 공격도 있다.
특히, 전체 웹 앱 보안 공격 중에서는 낮은 비율을 차지하는 LFI가 금융 업계를 대상으로 한 웹 앱 공격에서는 제일 많은 52%에 달하는 비율을 보여, 금융 업계에 특화된 보안 공격으로 나타났다.
금융 업계를 표적으로 한 디도스(DDoS) 공격은 2018년부터 3년간 93%까지 증가했다. 이는 공격자들의 목표가 일상 업무에 필요한 서비스 및 앱에 시스템 장애를 일으키는 것이라는 의미다.
스티브 레이건 아카마이 보안 연구원 겸 인터넷 보안 현황 보고서 작성자는 "크리덴셜 스터핑 공격의 증가 추세는 금융 서비스 업계를 위협하는 피싱 공격의 추세와 직접적인 관련이 있다"며, "범죄자들은 다양한 방법을 사용해 인증 정보를 조합하고 있으며 피싱은 주요 도구 중 하나다. 뱅킹 서비스 기업의 고객과 직원을 타깃으로 막대한 잠재적 피해자를 양산하고 있다"고 말했다.
아카마이는 '금융산업을 위협하는 피싱' 보고서를 작성하기 위해 위협 인텔리전스 기업인 WMC Global과 협력했다. WMC Global 연구원들은 SMS 피싱(스미싱)과 보안 공격에 대한 이해도가 높은 전문가로, 두 기업은 'Kr3pto', 'Ex-Robotos' 두 가지 피싱 키트를 분석했다.
SMS로 금융 기업과 그 고객을 표적으로 삼는 Kr3pto 피싱 키트는 2020년 5월부터 8000개 이상의 도메인에 걸쳐 영국 기업 11곳을 속인 것으로 관측됐다. WMC Global은 2021년 1분기 중 31일이 넘는 기간 동안에 SMS 메시지로 피해자들을 공격한 Kr3pto와 연관된 4000개 이상의 캠페인을 추적했다.
Ex-Robotos는 기업 인증 정보 피싱 분야에서 새로운 벤치마크가 된 피싱 키트다. 아카마이 인텔리전트 엣지 플랫폼의 데이터에 따르면, 43일이 넘는 기간 동안에 API IP 주소에 22만 회가 넘는 공격이 있었다. 해당 주소에 대한 트래픽은 2021년 1월 13일, 2월 5일에 일별 수만 회의 공격을 기록하며 정점을 찍었다.
제이크 슬론 WMC Global 수석 위협 연구원은 "Kr3pto와 Ex-Robotos 두 가지 피싱 키트는 기업과 고객을 겨냥하는 수많은 키트 중 일부일 뿐"이라며, "최근 재택근무가 빈번해지고 기업 환경에서 모바일 디바이스를 사용하게 됨에 따라 SMS 기반 피싱 공격이 증가했다. 범죄자들 역시 피해자의 위치에 상관없이 공격을 감행한다. 직원 역시 고객임을 기억하는 것이 중요하다"고 말했다.
monarch@fnnews.com 김만기 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지