[디지털데일리 이종현기자] 아카마이는 공격자들이 기존 보안체계를 우회하기 위해 응용프로그램인터페이스(API)를 표적으로 삼고 있다고 경고했다.

25일 아카마이는 ‘아카마이 2020 인터넷 현황 보고서: 금융 서비스 대상 공격’을 통해 공격자들이 보안 컨트롤을 우회하기 위해 API를 표적으로 삼으며 위협 양상에 변화가 발생했다고 밝혔다.

2019년5월부터 연말까지 진행된 아카마이 연구에 따르면 해당 기간 동안 금융 서비스 업계를 대상으로 한 ‘자격증명 남용(크리덴셜 어뷰즈)’ 공격의 최대 75%가 API를 직접 노린 것으로 확인됐다.

아카마이는 2017년12월부터 2019년11월까지 약 854억건에 달하는 크리덴셜 어뷰즈 공격을 확인했으며 이 중 20%에 해당하는 약 166억건이 API 엔드포인트로 명확하게 식별된 호스네임에 대한 공격이었다고 전했다. 또 이중 5억건가량이 금융 서비스 업계에서 발생했다.

모든 공격이 API에만 집중된 것은 아니다. 아카마이는 2019년8월7일 한 금융 서비스 업체에 아카마이 관측 사상 단일 규모로는 가장 큰 ‘크리덴셜 스터핑’ 공격이 가해진 것을 포착했다. 약 5500만회의 악성 로그인 시도가 있었으며 이 공격에는 API 공격뿐만 아니라 기타 방법이 섞여 있었다. 초당 약 640회의 공격 시도가 발생한 셈이다. 8월25일에는 공격자들이 API를 직접 표적으로 삼아 1900만회 이상의 크리덴셜 어뷰즈 공격이 일어났다.

스티브 레이건 아카마이 보안 연구원은 “공격자들은 공격에 필요한 자원에 접근하기 위한 방법에 집중하고 그 방법은 더욱 창의적으로 변하고 있다”며 “금융 서비스 산업을 노리는 공격자들은 금융업체들이 사용하는 방어 체계에 대해 더욱 집중하고 이에 따른 공격 패턴을 조정한다”고 말했다.

24개월의 조사 기간 동안 전체 업계에서 ‘SQL 인젝션(SQLi)’이 전체 공격의 72%를 차지했다. 금융 서비스 업계만 살펴보면 SQL 인젝션 공격 비율은 절반인 36%다. 금융 서비스 분야에서 가장 많이 발생한 공격은 이 분야 공격 트래픽의 47%를 차지한 ‘로컬 파일 인클루전(LFI)’이다. LFI 공격은 서버에 작동하는 여러 스크립트를 이용해 민감한 정보를 무단으로 유출시킨다.

공격자들은 금융 서비스 업계를 공격할 때 핵심 요소로서 ‘디도스(DDoS)’ 공격을 지속적으로 사용하고 있다. 아카마이가 2017년11월부터 2019년10월까지 조사한 결과, 게임 산업과 첨단 기술 산업이 차례로 가장 많은 디도스 공격이 발생한 산업이었고 금융 서비스 산업이 그 뒤를 이었다. 하지만 디도스 공격에 피해를 입은 대상의 40% 이상이 금융 서비스 산업에 해당하기 때문에 피해 대상 수를 고려하면 금융 서비스 산업이 가장 많은 표적이 된 것으로 볼 수 있다.

레이건 연구원은 “보안팀은 정책, 절차, 워크플로우, 비즈니스 요구사항을 고려하면서 조직적이고 탄탄한 자금을 갖고 있는 공격자들에 맞서야 한다”며 “아카마이 데이터에 따르면 금융 서비스 조직이 유연한 보안 체계를 채택해 보안을 개선하면서 공격자들의 공격 전략도 바뀌고 있는 상황”이라고 전했다.

<이종현 기자>bell@ddaily.co.kr