문 앞의 공격자들: 금융 서비스에 대한 공격 분석

금융 서비스는 Zeus 및 기타 뱅킹 트로이 목마의 전성기부터 분산 서비스 거부 (DDoS) 공격, 최신 피싱 공격, 랜섬웨어에 이르기까지 사이버 범죄로 인해 가장 큰 피해를 본 업계 중 하나입니다. 금융 서비스는 사람들의 삶뿐만 아니라 글로벌 경제에서 중요한 역할을 하는 필수한 부문입니다. 

금융 서비스의 중단이나 다운타임은 심각한 영향을 미치게 되며, 이러한 기업이 보유하고 있는 민감한 데이터는 값비싼 상품으로 거래될 수 있습니다. 따라서 공격자들은 금융 서비스를 수익성이 높은 표적으로 보고 새로 발견된 제로데이 취약점부터 효과적인 것으로 판명된 피싱 공격까지 광범위한 공격을 감행합니다. 

급증한 사이버 공격

사이버 공격자들이 금융 서비스 업계를 공격하는 데 관심이 많고 이에 집중하고 있다는 것은 잘 알려진 사실입니다. 기존에는 금융 서비스 인터넷 현황(SOTI) 보고서에서 피싱 또는 사기와 같은 주제를 선정했지만, 이번에는 훨씬 광범위한 접근 방식을 선택해 자주 공격받는 이 업계에 영향을 미치는 여러 가지 문제를 다루었습니다.

이렇게 광범위하게 살펴본 결과 금융 서비스 업계에 대한 사이버 공격 건수가 급증하고 공격자들이 새로 발견된 제로데이 취약점을 놀라운 속도로 활용하고 있다는 사실을 알 수 있었습니다. 

금융 서비스 고객도 공격을 피할 수 없습니다. 대부분의 공격자들이 세계에서 가장 안전한 업계중 하나에 대한 공격을 포기하고 대신 소비자를 대량으로 공격하는 것을 선택했기 때문입니다. 

SOTI 보고서의 핵심 포인트 

금융 서비스 보안 전문가는 이러한 공격자들이 문 앞에 서있는 상황에서 위협 환경이 어떻게 변화하고 있는지 이해하는 것이 중요합니다. 이 보고서는 다음과 같은 핵심 포인트를 포함합니다. 

• 금융 서비스 업계는 웹 애플리케이션 및 API, 제로데이, DDoS 공격의 표적이 되는 3대 업계로 꾸준히 순위에 오릅니다. 

• 금융 서비스 웹 애플리케이션 및 API 공격은 전년 대비 3.5배 급증해 주요 업계 중에서 가장 높은 증가율을 기록했습니다.

• 금융 서비스에 대한 새로 발견된 제로데이를 악용하면 24시간 이내에 시간당 수천 건의 공격을 일으키고 최대 공격 건수까지 빠르게 도달할 수 있으므로 패치와 대응할 시간을 확보하기 어렵습니다.

• 로컬 파일 인클루전(LFI) 및 크로스 사이트 스크립팅(XSS) 공격이 크게 증가함에 따라 공격자가 내부 네트워크 보안에 보다 큰 부담을 주는 원격 코드 실행 시도로 이동하는 방법을 알 수 있습니다.

• 금융 서비스 고객에 대한 공격이 만연하고 있으며, 금융 서비스 공격자의 80% 이상이 직접 또는 피싱 관련 활동을 통해 기업 자체가 아닌 고객 계정에 집중하고 있습니다.

• Kr3pto 등의 피싱 캠페인에는 일회용 암호 토큰이나 푸시 알림을 사용하는 2FA 솔루션을 우회하는 기술을 도입하고 있습니다.

확대되는 공격 표적 이해하기

웹 애플리케이션 및 API 공격은 지난 12개월 동안 257% 증가했습니다. 이러한 공격이 급증한 것은 LFI 및 XSS 등의 공격 기법이 원인일 수 있습니다. 이는 공격자가 이러한 공격 기법을 사용해 네트워크에 발판을 확보하거나 효과적인 정찰 수단으로 사용할 수 있기 때문입니다. 

또한 웹 애플리케이션의 취약점이 표적 기업에 침입하기 위한 진입점으로 사용될 수 있기 때문에 웹 애플리케이션 보안의 중요성도 높아집니다. 또한 보다 효과적으로 네트워크에 모의 해킹을 하고자 하는 팀에게 중요한 결과가 될 수 있습니다.

제로데이 취약점 해결

Akamai의 연구에 따르면 금융 서비스는 새로운 취약점이 발견되었을 때(제로데이) 가장 먼저, 가장 많은 공격을 받은 업계 중 하나입니다. 새롭게 출현한 취약점의 악용은 공개 후 24시간 이내에 시작될 수 있으며, Confluence 취약점(CVE-2022-26134)과 마찬가지로 빠르게 최대 공격 건수까지 도달할 수 있습니다. 따라서 공격자가 이를 악용해 공격을 개시하기 전에 이러한 보안 취약점을 해결하는 것이 시간 싸움이 됩니다. 

또한 Akamai의 연구에 따르면 DDoS는 금융 서비스(전 세계에서 DDoS 공격을 두 번째로 많이 받는 업계)의 지속적인 우려 원인입니다. 효과적인 DDoS 공격은 비즈니스를 나머지 인터넷과 단절된 섬으로 만듭니다. 고객은 계정에 접근할 수 없으며, 다운타임, 비즈니스 중단 및 이러한 공격으로부터의 복구 노력은 기업에 재정적 손실을 가져올 수 있습니다. 

금융 서비스 대상 DDoS 공격 수는 올해 꾸준한 수준을 유지했지만, 미국을 대상으로 한 DDoS 공격 용량이 감소함에 따라 '지역별 변화'가 관측되었습니다. 한편, EMEA 지역에서는 전체 공격 표적 수가 감소했음에도 불구하고 공격 용량은 증가했습니다. 

표적이 된 금융 서비스 고객 

공격자에 대한 한 조사에서 공격자 80% 이상은 직간접적으로 금융기관이 아니라 금융 서비스 고객을 겨냥하고 있는 것으로 나타났습니다. 이는 ATO (Account Takeover)와 웹 스크레이핑 공격 모두에 기인할 수 있습니다. 

계정 탈취 공격은 고객을 직접 겨냥한 반면, 웹 사이트 스크레이핑 공격은 주로 피싱 사기를 만들고 웹 사이트를 모방하는 키트를 만드는 데 사용됩니다. ATO 및 웹 스크레이핑 관련 공격으로 인해 봇넷 활동이 81% 증가한 것이 이 점을 더욱 잘 입증합니다. 

금융 서비스 업계가 표적이 되는 방식, 고객이 공격을 받는 방식, 공격 종류를 파악하면 기업이 데이터, 네트워크, 고객을 보호하는 데 도움이 됩니다. 이 정보를 사용해 프로그램의 리스크를 재평가하거나 위협 인텔리전스 및 훈련 팀에 알릴 수 있는 분야를 검토해 보시기 바랍니다.