2024 | 03 | 29
11.8℃
코스피 2,746.63 0.81(0.03%)
코스닥 905.50 4.55(-0.5%)
USD$ 1348.0 -3.0
EUR€ 1452.7 -4.8
JPY¥ 890.6 -1.8
CNY¥ 185.8 -0.3
BTC 99,960,000 270,000(-0.27%)
ETH 5,054,000 31,000(-0.61%)
XRP 885.1 3.9(0.44%)
BCH 870,500 64,500(8%)
EOS 1,560 54(3.59%)
  • 공유

  • 인쇄

  • 텍스트 축소
  • 확대
  • url
    복사

아카마이 "2년 간 금융업계서 발생한 API 공격 5억건"

  • 송고 2020.02.25 11:31 | 수정 2020.02.25 11:31
  • 황준익 기자 (plusik@ebn.co.kr)

작년 8월 사상 최대 크리덴셜 스터핑 공격 발생

크리덴셜 어뷰즈 공격 중 최대 75%가 API 대상

최근 2년 간 금융업계서 발생한 응용 프로그램 인터페이스(API) 공격이 5억건에 달하는 것으로 나타났다.

아카마이는 25일 아카마이 '2019 인터넷 현황 보고서'를 발표했다.

아카마이는 2017년 12월부터 지난해 11월까지 약 854억건에 달하는 크리덴셜 어뷰즈 공격을 확인했다. 이 중 약 20%에 해당하는 약 166억 건은 API 엔드포인트로 명확하게 식별된 호스트네임에 대한 공격이었고 API 공격 중 약 5억건은 금융 서비스 업계에서 발생했다.

모든 공격이 API에만 집중된 것은 아니었다. 아카마이는 지난해 8월 7일 한 금융 서비스 업체에 아카마이 관측 사상 단일 규모로는 가장 큰 크리덴셜 스터핑(credential stuffing) 공격이 가해진 것을 포착했다.

약 5500만회의 악성 로그인 시도가 있었으며 이 공격에는 API 공격뿐만 아니라 기타 방법이 섞여 있었다. 8월 25일에는 공격자들이 API를 직접 표적으로 삼아 1900만회 이상의 크리덴셜 어뷰즈 공격이 일어났다.

24개월의 조사 기간 동안 전체 업계에서 SQL 인젝션(SQLi)이 전체 공격의 72% 이상을 차지했다. 금융 서비스 업계만 살펴보면 SQL 인젝션 공격의 비율은 그 절반인 36%다. 금융 서비스 분야에서 가장 많이 발생한 공격은 이 분야 공격 트래픽의 47%를 차지한 로컬 파일 인클루전(LFI)이다.

LFI 공격은 서버에서 작동하는 다양한 스크립트를 이용하기 때문에 민감한 정보를 무단으로 유출시킨다. LFI 공격은 취약한 자바스크립트 파일과 같은 클라이언트 사이드 명령 실행에 사용돼 크로스 사이트 스크립팅(XSS)과 도스(DoS) 공격으로 이어질 수 있다. XSS는 금융 서비스에 대한 공격 트래픽 중 7.7%를 차지하며 5070만건의 공격으로 세 번째로 많이 사용됐다.

공격자들은 금융 서비스 업계를 공격할 때 핵심 요소로서 디도스(DDoS) 공격을 지속적으로 사용하고 있다. 게임 산업과 첨단 기술 산업이 차례로 가장 많은 디도스 공격이 발생한 산업이었고 금융 서비스 산업이 그 뒤를 이었다. 하지만 디도스 공격에 피해를 입은 대상의 40% 이상이 금융 서비스 산업에 해당한다.

아울러 지난해 5월부터 연말까지 진행된 연구 결과에 따르면 공격자들이 보안 컨트롤을 우회하기 위해 API를 표적으로 삼으면서 위협 양상에 급격한 변화가 발생했다. 이 기간 동안 금융 서비스 업계를 대상으로 한 크리덴셜 어뷰즈 공격의 최대 75%가 API를 직접 노린 것으로 확인됐다.


©(주) EBN 무단전재 및 재배포 금지

전체 댓글 0

로그인 후 댓글을 작성하실 수 있습니다.

시황

코스피

코스닥

환율

KOSPI 2,746.63 0.81(0.03)

코인시세

비트코인

이더리움

리플

비트코인캐시

이오스

시세제공

업비트

03.29 19:41

99,960,000

▼ 270,000 (0.27%)

빗썸

03.29 19:41

99,830,000

▼ 182,000 (0.18%)

코빗

03.29 19:41

99,838,000

▼ 329,000 (0.33%)

등락률 : 24시간 기준 (단위: 원)

서울미디어홀딩스

패밀리미디어 실시간 뉴스

EBN 미래를 보는 경제신문