Offcanvas

보안

아카마이, “금융 업계 대상 보안 공격 연간 총 41억 건 발생”

2021.05.20 편집부  |  CIO KR
아카마이가 2020년 1월부터 2020년 12월까지 금융 업계를 대상으로 한 41억 건 이상의 보안 공격을 관측했다고 밝혔다.

‘2021 인터넷 보안 현황 보고서: 금융산업을 위협하는 피싱(Akamai 2021 State of the Internet/Security report: Phishing for Finance)’에 따르면, 같은 기간 동안 관측된 총 1,930억 건의 크리덴셜 스터핑(Credential Stuffing) 보안 공격 중 34억 건 이상이 금융 업계를 대상으로 발생했다. 이는 전년 대비 45% 이상 증가한 수치다.

크리덴셜 스터핑은 보안 공격 방식 중 하나로, 공격자가 악성 웹사이트 및 서비스에서 구매한 사용자 아이디와 비밀번호를 조합해 다른 로그인 시스템에서 로그인을 시도하는 보안 공격을 말한다.

크리덴셜 스터핑 외에도 사용자 정보를 탈취하기 위한 SQL 인젝션(SQL injection, SQLi), 로컬 파일 인클루전(Local File Inclusion, LFI), 크로스 사이트 스크립팅(Cross-Site Scripting, XSS)과 같은 보안 공격도 있다. 이와 같은 방법으로 행해진 웹 애플리케이션(Web Application) 보안 공격은 2020년 한 해 총 62억 건 관측됐고, 그 중 12%에 해당되는 7억 건이 금융 업계를 대상으로 발생했다. 전년과 비교하면 62%나 증가한 것이다.

특히, 전체 웹 애플리케이션 보안 공격 중에서는 낮은 비율을 차지하는 로컬 파일 인클루전이 금융 업계를 대상으로 한 웹 애플리케이션 공격에서는 제일 많은 52%에 달하는 비율을 보여, 금융 업계에 특화된 보안 공격으로 나타났다.

금융 업계를 표적으로 한 디도스(DDoS) 공격은 2018년부터 3년간 93%까지 증가했다. 이는 공격자들의 목표가 일상 업무에 필요한 서비스 및 애플리케이션에 시스템 장애를 일으키는 것이라는 의미다.

아카마이 스티브 레이건 보안 연구원 겸 인터넷 보안 현황 보고서 작성자는 “크리덴셜 스터핑 공격의 증가 추세는 금융 서비스 업계를 위협하는 피싱 공격의 추세와 직접적인 관련이 있다”라며, “범죄자들은 다양한 방법을 사용해 인증 정보를 조합하고 있으며 피싱은 주요 도구 중 하나다. 뱅킹 서비스 기업의 고객과 직원을 타깃으로 막대한 잠재적 피해자를 양산하고 있다”라고 말했다.

한편, 아카마이는 ‘금융산업을 위협하는 피싱’ 보고서를 작성하기 위해 위협 인텔리전스 기업인 WMC 글로벌과 협력했다. WMC 글로벌 연구원들은 SMS 피싱(스미싱)과 보안 공격에 대한 이해도가 높은 전문가로, 두 기업은 ‘Kr3pto’, ‘Ex-Robotos’ 두 가지 피싱 키트를 분석했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.