최근 연구에서 밝혀진 금융 서비스에 대한 7가지 핵심 내용
Akamai는 약 10년 전에 플랫폼에 사이버 보안 제어 기능을 추가한 이후 인터넷 현황(SOTI) 보고서를 발표하고 있습니다. 이 보고서에서는 기존에 피싱이나 API 공격 등 한 가지 주제를 다루었습니다.
하지만 이번에는 훨씬 더 광범위한 접근 방식을 취해 금융 서비스 업계에 영향을 미치는 여러 가지 문제를 다루었습니다. 심층 주제에는 웹 애플리케이션 및 API 공격, 제로데이 위협, 계정 탈취 (ATO), 피싱 트렌드가 있습니다.
상위 7대 인사이트
이 연구에서 파악한 상위 7대 트렌드는 다음과 같습니다.
- 금융 서비스 업계는 피싱 부문 1위, DDoS 공격 부문 2위, 웹 애플리케이션 및 API 공격 부문 3위를 차지했습니다.
- 금융 기관에 대한 DDoS(Distributed Denial-of-Service) 공격이 매년 꾸준히 지속되고 있으며, EMEA 지역에 대한 공격이 73%까지 증가하는 등 공격 대상 지역이 변화하고 있습니다.
- 금융 서비스 업계는 웹 애플리케이션 및 API 공격이 3.5배 급증하면서 가장 높은 증가율을 보이고 있습니다.
- Atlassian Confluence RCE 취약점(CVE-2022-26134) 같은 새로운 취약점은 공개 후 24시간 이내에 악용되기 시작해 빠르게 최고치를 기록한 것으로 밝혀졌습니다.
- 금융 기관을 표적으로 한 봇 활동이 81% 증가한 것으로 보아 공격자들은 고객 관련 ATO 및 웹 스크레이핑 관련 공격에 주력하고 있습니다.
- 피싱 공격은 비즈니스 계정보다 소비자를 대상(80.7%)으로 합니다. 다크 웹에서는 사기 관련 공격에 사용되는 고객의 감염된 계정에 대한 수요가 매우 많습니다.
- 피싱 캠페인( Kr3pto등)은 일회용 비밀번호 토큰이나 푸시 알림을 사용하는 2단계 인증(2FA) 솔루션을 우회하는 기술을 도입하고 있습니다.
트렌드를 활용하는 방법에 대한 인사이트 확인하기
이제 각 인사이트를 심층적으로 살펴보고 이러한 트렌드에 따라 현재의 위협 환경에 대응하기 위해 취할 수 있는 최선의 조치를 검토해 보겠습니다.
1. 피싱 부문 1위를 차지하는 금융 서비스 업계
경영진에게 업계의 다른 기업과 비교하는 방법을 알립니다. 고위 경영진과 이사회는 종종 다른 기업 및 부문과 비교하는 방법을 알고 싶어합니다. 따라서 공격 스펙트럼에 있어 기업의 순위를 확인할 수 있는 좋은 기회가 됩니다.
2. 금융 기관을 대상으로 하는 꾸준한 DDoS 공격
위협과 유럽 연합의 DORA(Digital Operational Resilience Act) 같은 변화하는 규정을 기반으로 리스크 프로필을 재평가합니다. 위협 요소가 변함에 따라 리스크 성향 및 수용 결정을 검증하는 것이 중요해집니다. 주요 이벤트나 변경 후 또는 적어도 1년에 한 번 검증합니다.
3. 웹 애플리케이션 및 API 공격 부문에서 가장 높은 증가률을 보이고 있는 금융 서비스 업계
공격표면 및 리스크 노출을 파악해 방어 계획을 수립하는 데 도움을 줍니다. 높은 투자 수익을 달성하려면 두 가지가 항상 필요합니다. (1) 상황 인식 제고, (2) 공격표면 최소화. 매트릭스화된 환경이 있다면 이 두 가지 사항을 내부와 외부에서 모두 고려해야 합니다.
지역적으로 사이버 보안 인식을 높이기 위해 직원에 대한 사이버 보안 교육을 수행하는 것을 고려합니다. SOTI 보고서에 따르면 APJ 지역에서 웹 애플리케이션 및 API 공격이 449% 급증했으며 이는 해당 지역의 사이버 공격 건수가 증가하고 있음을 보여줍니다.
최근 설문 조사에 따르면 아시아의 리더 중 50% 이상이 직원들이 필요한 사이버 교육이나 지식이 부족하다고 생각하고 있다고 답했습니다. Akamai는 직원들에게 지식을 제공하는 것이 이러한 공격을 막는 1차 방어선의 중요한 부분이라고 생각합니다.
4. 공개 후 24시간 이내에 악용되기 시작해 빠르게 최고치를 기록하는 새로운 취약점
내부 조직 및 써드파티와 제로데이 공격을 처리할 수 있는 위기 관리 계획을 수립합니다. 계획은 제품, 프로토콜, 위협 또는 하드웨어 취약점 등에 따라 수립해야 합니다. 각 종류의 신종 위협에 대한 플레이북을 마련하고 주기적인 연습을 통해 플레이북을 확인하고 개선해야 합니다. 이렇게 준비하면 제로데이 공격을 받았을 때 노력과 혼란을 최소화하고 수익을 창출할 수 있습니다.
패치 관리가 취약점을 해결할 수 있을 때까지 앱 및 API 보안, 웹 애플리케이션 방화벽, 마이크로세그멘테이션 등의 방어 기술을 평가합니다.
5. 고객 관련 ATO 및 웹 스크레이핑 관련 공격에 주력하는 공격자
공격 운영 속도, 위협 시도 횟수 등의 요소를 기반으로 플레이북을 업데이트하고 위협을 트리거하는 요소와 이를 방어하는 데 필요한 툴에 대한 가정을 테스트합니다. 공격 속도가 빨라지고 리소스가 소모되기 때문에 프로세스를 검토하고 필요한 경우 업데이트하는 것이 중요합니다.
6. 비즈니스 계정보다 소비자를 노리는 피싱 공격
회사뿐만 아니라 고객과 고객의 접속 권한도 보호하고 있다는 점을 이해해야 합니다. 이 내용은 인시던트 대응 프로그램에 명시되어야 합니다. 일반적으로 보안 운영 센터 및 위협 인텔리전스 팀은 내부에 집중합니다.
사기 및 기타 팀과 협력해 직원만이 아니라 고객도 보호해야 합니다. 접속 및 보안을 위해 우수한 고객 경험을 제공하려는 노력을 해야 합니다.
7. 2단계 인증 솔루션을 우회하는 기술을 사용하는 피싱 캠페인
보안 툴 요구사항에 대한 기준으로 FIDO2(Fast Identity Online v2) 표준을 추가하는 것이 좋습니다. 멀티팩터 인증 또는 2단계 인증 솔루션을 보유하고 있는 경우가 많지만 위협 현황을 정기적으로 검토해 기존 솔루션이 여전히 경영진의 리스크 성향을 충족하는지 검증해야 합니다.
Akamai는 항상 그렇듯이 Cyber Kill Chain, MITRE ATT&CK 프레임워크, NIST 800-207 Zero Trust Architecture 같은 업계 모범 사례 및 프로세스의 도입을 지원합니다.
5가지 공격 카테고리
공격 방법을 자세히 살펴보겠습니다. 2022년 웹 애플리케이션 및 API 위협 보고서에서는 세 가지 종류의 캠페인(지속적, 단발성, 빅뱅)에 대해 설명했습니다. 이번에는 Client Reputation을 통해 추적되는 Akamai 시스템 전반의 개별 공격자를 살펴봅니다. 공격은 다음과 같은 5가지 기본 카테고리가 있습니다.
- 42% 계정 탈취(사기 기반 공격)
- 39% 웹 스크레이퍼(정보 수집 공격)
- 7% 스캔 툴
- 6% 웹 공격자
- 6% DoS(Denial of Service)
마지막 세 가지 카테고리는 규모가 작지만 여전히 위험하며 개별 기업에 큰 영향을 미칠 수 있습니다.
이러한 카테고리를 위협 환경 평가 및 분석과 관련된 방법으로 고려하고, 기업이 각 카테고리를 처리할 수 있도록 얼마나 잘 설정되어 있는지 측정합니다 이 형식은 경영진에게 방어 대상에 대해 브리핑할 때 활용하기도 좋습니다.
요약
금융 서비스 사이버 보안 프로그램은 전 세계적으로 가장 성숙도가 높지만, 사이버 범죄자들은 계속해서 오래된 공격 방법을 혁신하고 재활성화할 수 있는 방법을 찾고 있습니다. 위협 스펙트럼을 다루는 이 보고서는 프로그램의 리스크를 재평가하는 모범 사례와 위협 인텔리전스 및 훈련 팀을 이끄는 인사이트를 제공합니다.
Akamai의 보안 허브에서 최신 연구 결과를 확인하시기 바랍니다.
