기사 메일전송
  • 기사등록 2019-08-12 16:30:27
기사수정


▲ 사진=아카미아


[마켓+](분석) 아카마이, “지난 18개월 간 금융 업계 대상 크리덴셜 스터핑 공격 35억 건 발생”


- ‘아카마이 2019 인터넷 보안 현황 보고서: 금융 서비스 공격’ ··· 최대 위협은 크리덴셜 스터핑과 피싱


- 약 5개월 간 피싱 도메인에 영향을 받은 조직의 절반은 금융 업계 기업 


안전하고 원활한 디지털 경험을 위한 인텔리전트 엣지 플랫폼을 제공하는 아카마이코리아(대표 이경준)가 금융 업계를 겨냥한 공격을 분석한 ‘아카마이 2019 인터넷 현황 보고서: 금융 서비스 공격(Akamai’s 2019 State of the Internet / Security Financial Services Attack Economy Report)’을 발표했다. 


보고서는 2017년 11월부터 2019년 4월까지 총 18개월의 분석 기간 동안 금융 업계를 대상으로 일어난 크리덴셜 스터핑 공격이 35억 건에 달해 고객 개인 정보와 금융 정보가 위협에 노출됐다고 밝혔다. 크리덴셜 스터핑 공격은 공격자가 훔친 사용자 정보로 기업 웹사이트의 봇과 같은 자동화 툴을 활용해 로그인 시스템에서 검증을 시도하는 공격을 말한다. 


2018년 12월 2일부터 2019년 5월 4일까지 약 5개월 동안 금융을 포함한 전체 업계에서 발견된 피싱 도메인은 약 20만 개에 달했다. 이 중 66%는 소비자를, 34%는 기업을 공격 표적으로 삼았다. 소비자를 표적으로 한 피싱 도메인의 절반은 금융 업계 기업에서 발견됐다. 


마틴 맥키(Martin McKeay) 아카마이 보안 연구원 겸 인터넷 보안 현황 보고서 수석 편집장은 "지난 1년 동안 소비자를 대상으로 한 피싱 공격의 증가로 크리덴셜 스터핑 공격이 꾸준히 증가했다”라며, "공격자는 기존에 탈취된 인증정보 데이터를 피싱을 통해 보완한 후 계정을 탈취하거나 보완한 인증정보 목록을 되파는 방식으로 수익을 거둔다. 금융 업계와 소비자를 표적으로 한 경제가 생성되고 있다”고 밝혔다. 


공격자가 공격에 성공하면 부당하게 취득한 데이터와 기금을 처리해야 한다. 이를 처리하는 방법 중에는 ‘뱅크 드롭(bank drops)’이 있다. 뱅크 드롭은 특정 금융 기관에서 계좌를 부정한 방식으로 개설하는 데 이용되는 데이터 패키지다. 뱅크 드롭에는 이름, 주소, 생년월일, 주민등록 세부 정보, 운전면허 정보, 신용 점수 등 ‘풀즈(fullz)’라고 불리는 개인 정보가 포함된다. 부정 계좌에 대한 보안 접속은 은행과 풀즈의 위치와 일치하는 곳의 원격 데스크톱 서버를 통해 이루어진다. 


금융 기관은 공격자가 드롭 계좌를 개설하는 방법을 계속해서 조사하고 공격자 보다 한 발 앞서기 위해 많은 노력을 기울이고 있다. 그러나 여전히 대부분의 기업이 공격자가 오래된 공격 기법으로 기업을 공격하고 있다는 것을 인지하지 못하고 있는 실정이다.  


아카마이는 금융 서비스 부문에서 관찰된 공격의 94%가 ▲SQL 인젝션(SQL Injection, SQLi) ▲로컬 파일 인클루전(Local File Inclusion, LFI) ▲크로스 사이트 스크립팅(Cross-Site Scripting, XSS) ▲OGNL 자바 인젝션(OGNL JAVA Injection) 중 하나의 기법을 사용했다고 밝혔다. 그 중 OGNL 자바 인젝션을 활용한 공격은 2017년 11월부터 2019년 4월까지 18개월 동안 800만 건 이상이 발생했다. 아파치 스트럿츠(Apache Struts)의 취약점으로 인해 잘 알려진 OGNL 자바 인젝션은 패치가 배포된 이후에도 수년 동안 계속해서 사용되는 공격 기법이다.


공격자는 금융 서비스 업계를 대상으로 크리덴셜 스터핑 공격을 실행하거나 웹 기반 취약점을 이용하기 위해 주의를 돌리는 용도로 디도스(DDoS) 공격을 감행했다. 아카마이는 18개월 동안 금융 서비스 업계에서만 800건 이상의 디도스 공격을 발견했다.


마틴 맥키 편집장은 “공격자는 금융 서비스 기업의 약점인 소비자, 웹 애플리케이션, 가용성을 표적으로 삼는다”라며, “공격을 감지하고 방어하는 능력 면에서는 기업이 더욱 발전하고 있지만 거점 방어에서는 여전히 실패를 겪고 있다. 기업은 고객을 보호하기 위해 다양한 도구를 사용하는 지능적인 공격자를 감지, 분석, 방어할 수 있어야 한다. 아카마이는 20여년 간 넓은 스펙트럼에 걸친 보안에 대한 가시성을 활용해 계속해서 발전하고 있는 범죄 행위로부터 고객을 보호하고 있다”고 말했다.

0
기사수정

다른 곳에 퍼가실 때는 아래 고유 링크 주소를 출처로 사용해주세요.

http://blocktimestv.com/news/view.php?idx=14407
기자프로필
빗썸
기사본문 하단배너 이미지(채널)_2-1번…
블록체인홍보게시판링크
 ▷ Blockchain Leaders 더보기
블록체인홍보게시판링크
▷ Popular articles더보기
  1. [마켓+](스마트계약) 분산금융에 필요한 스마트컨트랙트란 무엇인가? [마켓+](스마트계약) 분산금융에 필요한 스마트컨트랙트란 무엇인가? 센터코인은 자사 미디엄을 통해 분산금융에 필요한 스마트컨트랙트를 설명하고 회사가 추구하는 De-Fi를 구현할 수 있는 이론적 토대를 설명하였다.스마트컨트랙트는 최초에 Nick Szabo가 최초로 제안했으며, 스마트컨트랙트 인프라가 복제된 자산레지스터와 암호화해시를 ...
  2. [마켓+](상장) 코인원 상장하는 레디..농협은행과 태양광 발전 시설물 IoT를 위한 업무협약 성과 [마켓+](상장) 코인원 상장하는 레디..농협은행과 태양광 발전 시설물 IoT를 위한 업무협약 성과신재생에너지 블록체인 기업 레디는 자체 암호화폐 ‘REDi’(레디)를 12월 5일 국내 3대 암호화폐 거래소 중 하나인 코인원에 상장했다고 5일 밝혔다. 레디는 신재생에너지 중 빠르게 성장하는 태양광 에너지 산업에서 서비스를 제공하며 현대리뉴..
  3. [산업+](게임) 블록체인과 게임 확장은 어디까지..도쿄에 알린 IP의 가치 [산업+](컨퍼런스) 한국모바일게임협회, ‘Game x Blockchain Use Case Meetup’ 행사 참석한국모바일게임협회(회장 황성익), 한국블록체인콘텐츠협회(회장 황성익)는 지난 19일 일본 도쿄에서 진행한 ‘Game x Blockchain Use Case Meetup’ 행사에 참석했다고 밝혔다. 이번 행사는 블록체인 솔루션 기업 ‘카르다노(CARDANO)’의 공식 파트너 이자 사업총괄사 ‘.
  4. [정책+](브라질) 브라질 세무당국, 암호화폐 거래 미신고자에게 벌금형 시행 [정책+](브라질) 브라질 세무당국, 암호화폐 거래 미신고자에게 벌금형 시행브라질의 세무당국인 연방세무부(Department of Federal Revenue ,RFB)는 비트코인을 포함한 암호화폐 거래를 신고하지 않은 국민에 대해 벌금을 부과하는 새로운 세법을 시행한다.거래는 월마다 보고할 필요가 있으며, 보고하는 것은 암호화폐 매매 외에 기부나 예치, 인출 .
  5. [산업+](평가) 헥슬란트, 라이즈, 웁살라시큐리티 ㅡ 3사 공동평가 공시 보고서, 두번째 “무비블록(MBL)” 편 내놓… [산업+](평가) 헥슬란트, 라이즈, 웁살라시큐리티 ㅡ 3사 공동평가 공시 보고서, 두번째 “무비블록(MBL)” 편 내놓아블록체인 기술 연구소 헥슬란트, 빅데이터 분석 플랫폼 라이즈 랩스, 그리고 블록체인 사이버 보안 전문기업 웁살라 시큐리티가 두 번째 3사 공동평가 공시 리포트인 “독립예술영화 산업에서 블록체인 신드롬을 꿈꾸는 무.
  6. [산업+](테크핀) 여행 플랫폼 투어비스,데일리호텔 에도 간편결제 도입..차이(CHAI)로 받는 혜택은? [산업+](테크핀) 여행 플랫폼 투어비스,데일리호텔 에도 간편결제 도입..차이(CHAI)로 받는 혜택은? 간편결제 서비스 ‘차이(CHAI)’는 여행 플랫폼 타이드스퀘어 투어비스(이하 투어비스, 대표 윤민)가 차이를 도입했다고 밝혔다. 투어비스 이용자는 차이 결제 시 최대 10% 할인 혜택을 받을 수 있다. 투어비스에서 항공권 결제 시 차이를 이용하.
  7. [산업+](모빌리티) 최성훈 에임스 대표,"기술이나 통신과 같은 부분, 반드시 국내화를 진행해야" [산업+](모빌리티) 최성훈 에임스 대표,"기술이나 통신과 같은 부분, 반드시 국내화를 진행해야"에임스, 배터리 개발 기술 기반으로 ‘공유 모빌리티’ 시장 선도-모빌리티 서비스의 국내화 위해 국내 대형자동차 업체와 협업하여 국내화 앞장-하드웨어 회로부터 소프트웨어까지 원스텝(One Step)으로 개발이 가능한 토탈 솔루션 스타트업..-...
  8. [마켓+](분석) 이더리움 이스탄불 하드포크, 좋은 점 나쁜 점,이상한 점 [마켓+](분석) 이더리움 이스탄불 하드포크, 좋은 점 나쁜 점,이상한 점블록체인 개발기업 온더는 이더리움 이스탄불 하드포크 평가 보고서를 지난 9일 발표했다. 이더리움의 2019년 마지막 하드포크인 이스탄불이 12월 8일 진행됐다. 이번 이스탄불 하드포크에는 이더리움의 알고리듬과 보안면에서 여러가지 중요한 변경 사항을 담고 있다. 또...
  9. [산업+](테크) 오케이이엑스코리아, 풀스크린 거래 모드 출시 및 PC웹 서비스 최적화 업데이트 [산업+](테크) 오케이이엑스코리아, 풀스크린 거래 모드 출시 및 PC웹 서비스 최적화 업데이트OKEx Korea(오케이이엑스코리아)는 지난 2019년 12월 4일, 투자자들에게 보다 편리한 거래 환경 제공을 위해 풀스크린 거래 모드를 출시하고 차트 그리기 도구, 주문 체결 알림 기능, 투자내역 조회 기능 제공 및 PC웹 서비스 반응 속도 최적화와 같은 대..
  10. [산업+](기술) 세계 최초 전자화폐 이캐시를 만든 데이비드 차움(David Chaum)이 만든 엑스엑스 네트워크 기능은? [산업+](기술) 세계 최초 전자화폐 이캐시를 만든 데이비드 차움(David Chaum)이 만든 엑스엑스 네트워크 기능은?-기존에 발표된 엘릭서 및 프랙시스를 활용한 자체 블록체인 플랫폼 출시 예고-4주간 웨비나를 통해 플랫폼 기능 및 기술 세부 사항 공유 예정 세계 최초 전자화폐 이캐시를 만든 데이비드 차움(David Chaum)이 엑스엑스 네트워크(xx Netwo...
  11. [정책+](우크라이나) 우크라이나, FATF 기반 암호화폐 정책으로 자금 세탁에 관한 법률 통과 [정책+](우크라이나) 우크라이나, FATF 기반 암호화폐 정책으로 자금 세탁에 관한 법률 통과우크라이나 정부는 국제자금세탁방지기구(FATF) 지침에 따라 가상 자산(암호화폐)과 가상 자산 서비스 제공업체(이하 VASP)를 규제하는 자금세탁방지법의 최종안을 승인했다고 코인텔레그래프가 보도했다.12월 6일 우크라이나 입법기관인 라다(Rada)는 자...
  12. [마켓+](분석) 업비트 해킹ㅡ탈취된 이더리움은 어떤 거래소로 흘러 들어 갔나? -웁살라시큐리티 도노반 탄(Donovan … [마켓+](분석) 업비트 해킹ㅡ탈취된 이더리움은 어떤 거래소로 흘러 들어 갔나? -웁살라시큐리티 도노반 탄(Donovan Tan) 사이버 보안 연구원  업비트의 핫 월렛(0x5e032243d507c743b061ef021e2ec7fcc6d3ab89)에서 정체불명의 수상한 지갑(0xa09871aeadf4994ca12f5c0b6056bbd1d343c029)으로 34만 2000 ETH가 이동되었다. 업비트는 공식 홈페이에서 이 거래가 비정상적이고 ...
  13. [산업+](IT개발) 더 샌드박스, SBS아카데미게임학원과 블록체인 게임 개발 교육한다 [산업+](IT개발) 더 샌드박스, SBS아카데미게임학원과 블록체인 게임 개발 교육한다 - 더 샌드박스, SBS아카데미게임학원 수강생들을 위한 블록체인 게임 개발 자료 및 튜토리얼 제공- 더 샌드박스의 게임 제작 툴 활용한 공모전 및 대회도 계획 블록체인 기반 유저 생성 콘텐츠(User Generated Contents, UGC) 게임 ‘더 샌드박스(The Sandbox)’가 코리아교...
  14. [산업+](컨퍼런스) 카이스트 공동연구 블록체인기술연구소(IBCT), 테크핀 아시아 참여 [산업+](컨퍼런스) 카이스트 공동연구 블록체인기술연구소(IBCT), 테크핀 아시아 참여카이스트와 공동연구를 진행하는 (주) 블록체인기술연구소(IBCT)가 지난 12월 5일 부터 오늘까지 이틀 간 일산 킨텍스에서 열리는 ‘테크핀 아시아(Techfin Asia 2019)’에 참여했다.국내 블록체인 업체 체인파트너스가 주최한 이번 테크핀 행사에는 블록체인기술.
  15. [산업+](투자) 젠서 프로젝트, 中 최대 블록체인 캐피탈 ‘LT캐피탈’로부터 투자 유치 [산업+](투자) 젠서 프로젝트, 中 최대 블록체인 캐피탈 ‘LT캐피탈’로부터 투자 유치-LT캐피탈은 벤처, 토큰, 블록체인 기술, 디지털 통화, 암호 자산 등에 주력하는 투자 기업..-LT 캐피탈의 대표적인 포트폴리오에는 바이낸스, 오케이엑스, 코인베네, 이오스 등 포함..-암호화폐 시장 경쟁력 확보의 기반이 될 수 있는 에코시스템 확장과 인프...
모바일 버전 바로가기