[인터넷 보안 현황 보고서]Executive Summary:

금융 서비스를 둘러싼 공격의 경제학

5권, 4호

Overview금융 서비스 업계는 항상 범죄자들의 주요 타겟이 되어 왔습니다. 범죄 생태계는 점차 확대되고 있고 금융 기관을

공격하는데 사용되는 툴은 이런 범죄 생태계의 일부를 구성합니다. 이 보고서는 은행, 신용 조합, 거래 기관 등 금융

서비스 업계를 대상으로 하는 공격 현황을 집중적으로 다룹니다.

Akamai 연구 자료크리덴셜 스터핑은 유출된 사용자 이름과 비밀번호를 로그인 폼과 같은 인증 시스템에 자동으로 입력하는

공격입니다. 공격자들은 주로 올인원(AIO) 애플리케이션을 사용해 대규모 크리덴셜 스터핑 공격을 자동화하기

때문에 공격을 상대적으로 쉽게 설정하고 진행할 수 있습니다.

이 보고서는 2017년 11월부터 2019년 4월까지 18개월 사이의 크리덴셜 스터핑 데이터를 분석하여 작성되었습니다.

총 57,970,472,311건의 악성 로그인 시도를 관측했고 이 중에서 3,547,533,230건이 금융 서비스 기관을 대상으로

이루어졌습니다. 금융 서비스 업계를 대상으로 한 악성 로그인 시도의 발원 국가를 보면 미국이 1위였고, 중국,

말레이시아, 브라질, 독일이 그 뒤를 이었습니다.

SYN-ACK 반사 공격 2019년 3월 많은 금융 서비스 기관을 대상으로 이전에 범죄자들이 잘 사용하지 않던 종류의 공격이 발생하기

시작했습니다. SYN-ACK 패킷을 사용한 DDoS(Distributed Denial of Service) 공격으로 공격 대상의 데이터센터를

다운시키는 것이 목적이었습니다. Akamai는 이전의 SYN-ACK Flood 공격과 다른 2가지 차이점, 즉 영향을 받은

표적의 수와 공격 트래픽으로 인한 부차적인 영향을 집중적으로 살펴보았습니다. 은행이 공격의 표적이었을까요?

아니면 다른 의도가 있는 공격이었을까요?

[인터넷 보안 현황 보고서]

금융 서비스를 둘러싼 공격의 경제학: Executive Summary 2

[인터넷 보안 현황 보고서]

금융 서비스를 둘러싼 공격의 경제학: Executive Summary 3

피싱 공격도 금융기관을 대상으로 자주 발생하는 대표적인 공격 중 하나입니다. Akamai는 2018년 12월 2일부터

2019년 5월 4일까지 197,524개의 피싱 도메인을 탐지했습니다. 이 중에서 소비자를 표적으로 삼은 도메인은 66%

였고 나머지 34%는 기업을 대상으로 했습니다. 소비자를 표적으로 삼은 피싱 도메인 중에서 가장 많은 공격을 받은

업계는 금융기관이었습니다.

18개월 동안 모든 업계에 걸쳐 총 4,460,367,847건의 웹 공격이 기록되었으며 이 중 약 9%(411,409,583건)가 금융

서비스 부문을 대상으로 한 공격이었습니다. 하지만 같은 기간 동안 공격 대상 기업 수를 기준으로 봤을 때, 금융 서비스

업계는 전체의 14%를 차지했습니다. 전체 웹 공격 건수는 증가했지만 금융 서비스 업계를 대상으로 한 공격 건수를

상대적으로 안정적인 추세를 보였습니다.

34.8%45,389

24.4%31,795

9.4%12,202

9.9%12,868

9.9%12,928

5.1%6,587

4.8%6,288

1.7%2,185

10,0000 20,000 30,000 40,000 50,000

50.6%

15.7%

14.5%

8.6%

5.7%

1.8%

1.1%

0.7%

0.6%

0.4%

0.3%

0 5 1 1 5 2

Akamai는 전 세계 주요 기업들에게 안전하고 쾌적한 디지털 경험을 제공합니다. Akamai의 Intelligent Edge Platform은 기업과 클라우드

등 모든 곳으로 확장하고 있고 고객의 비즈니스가 빠르고, 스마트하며, 안전하게 운영될 수 있도록 지원합니다. 대표적인 글로벌 기업들은

Akamai 솔루션을 통해 멀티 클라우드 아키텍처를 강화하고 경쟁 우위를 확보하고 있습니다. Akamai는 가장 가까운 곳에서 사용자에게 의사

결정, 앱, 경험을 제공하고 공격과 위협을 먼 곳에서 차단합니다. Akamai 포트폴리오는 엣지 보안, 웹∙모바일 성능, 엔터프라이즈 접속, 비디오

전송 솔루션으로 구성되어 있고 우수한 고객 서비스, 애널리틱스, 24시간 연중무휴 모니터링 서비스를 제공합니다. 대표적인 기업과 기관에서

Akamai를 신뢰하는 이유를 알아보려면 Akamai 홈페이지(www.akamai.co.kr) 또는 블로그(blogs.akamai.com/kr)를 방문하거나 트위터에서

@Akamai를 팔로우하시기 바랍니다. 전 세계 Akamai 연락처 정보는 www.akamai.com/locations 에서 확인할 수 있습니다. Akamai 코리아는

서울시 강남구 강남대로 382 메리츠타워 21층에 위치해 있으며 대표전화는 02-2193-7200입니다. 2019년 7월 발행.

보다 자세한 내용은 보고서 전문을 다운로드하시기 바랍니다. State of the Internet / Security / Financial Services Attack Economy

[인터넷 보안 현황 보고서]

금융 서비스를 둘러싼 공격의 경제학: Executive Summary 4

이 기간에 금융 서비스 부문을 대상으로 한 공격의 대부분(94%)이 SQL 인젝션(SQLi), 로컬 파일 인클루전(LFI), 크로스

사이트 스크립팅(XSS), OGNL Java 인젝션 공격이었습니다. OGNL Java 인젝션 시도는 18개월 동안 8백만 건 이상

발생했습니다. 이처럼 높은 공격 건수를 봤을 때, 금융 서비스 업계를 공격하는 범죄자들 사이에서 Apache Struts를

이용한 공격이 아직도 광범위하게 발생하고 있다는 것을 알 수 있습니다.

DDoS 공격은 크리덴셜 스터핑 공격을 일으키거나 취약점을 악용하는 범죄자들이 주의를 분산시킬 목적으로 자주

사용합니다. 18개월 간의 데이터 세트를 분석한 결과 금융 서비스 업계를 대상으로 800건이 넘는 DDoS 공격이

관측되었습니다. DDoS 공격 대상 기업 수를 기준으로 살펴보면 금융 서비스 업계는 전체의 40% 이상 차지합니다. 같은

기간 금융 서비스 업계를 대상으로 가장 많이 사용된 DDoS 공격 종류는 SYN Flood, RESET Flood, TFTP Flood, TCP

Fragment Flood였습니다.

범죄자들은 인증 메커니즘을 공격 표적으로 삼는 경우가 많기 때문에 API 또는 로그인 애플리케이션을 악용할 가능성이

높습니다. 금융기관들은 기관 사이에 데이터를 처리하거나 써드파티 애플리케이션으로 데이터를 전달할 때 OFX(Open

Financial Exchange)를 사용합니다. 현재는 OFX 버전 2.2가 표준으로 도입되었으나, 아직도 많은 기관들이 보안이

취약한 이전 버전을 사용하여 데이터를 처리하고 있습니다.