Dark background with blue code overlay
블로그

휴일 이커머스 트래픽에서 악성 봇넷이 급증하는 중국과 일본

boaz-gelbord.png

Written by

Boaz Gelbord

March 10, 2022

보아즈 겔보드(Boaz Gelbord)는 Akamai Technologies의 수석 부사장 겸 CSO입니다. 이 회사의 정보 보안 팀을 이끌고 있는 그는 전 세계 135여 개국 4,000개 위치에서 사이버 보안, 정보 보안 규정 준수, Akamai의 시스템, 데이터, 직원 및 세계 최고의 지능형 엣지 플랫폼 보호를 총괄합니다.

Executive Summary:

  • 중국과 일본에서 휴일 중 악성 봇넷 공격이 크게 증가합니다.

  • Akamai의 데이터에 따르면 중국에서 음력 설을 전후로 악성 봇넷 트래픽이 15% 증가합니다.

  • 추가 조사 결과, 양력 설을 전후로 일본에서는 이러한 트래픽이 150% 증가한 것을 알 수 있습니다.

  • 이는 지난해의 다른 데이터, 즉 중국의 광군제 기간 중 공격 트래픽 3배 증가와 함께 공격자들이 휴일을 전후로 증가한 트래픽을 이용하여 리테일 및 이커머스 분야에서 공격을 수행하고 있음을 보여줍니다.

  • 휴일을 전후로 온라인 쇼핑객의 총 트래픽이 증가함에 따라 웹사이트에 트래픽이 폭주할 때 공격자들은 "엄호"(cover)을 통해 공격을 보다 쉽게 숨길 수 있습니다.

  • EMEA와 미국에서도 연말 연휴에 트래픽이 많을 때 비슷한 급증이 발생하지만 중국과 일본에서는 트래픽 양이 엄청나기 때문에 성공적인 사이버 공격을 위한 매력적인 기회가 됩니다. 

  • 또한 고객은 최신 신용 카드 정보와 인증정보로 온라인 쇼핑 프로필을 업데이트할 가능성이 높아 공격자에게 돈벌이 표적이 될 수 있습니다.

  • 공격자는 계정 및 웹사이트 해킹을 통한 인증정보 탈취에 초점을 맞춥니다. 그런 다음 이러한 데이터를 다크 웹에서 판매하거나 추가 공격을 수행하는 데 이용할 수 있습니다.

  • 또한 공격자는 한정판 또는 공급이 제한적인 품목을 구입하여 훨씬 높은 가격에 되팔기 위해 이커머스 웹사이트를 표적으로 삼습니다. 이러한 유형의 공격은 리테일 기업의 평판을 손상시키고 고객을 실망시킵니다.

휴일 전후의 봇넷 활동 패턴을 이해하면 휴일 리스크를 명확하게 파악해 정량화하는 데 도움이 되며, 정확하게 분석할 경우 방어에 통합할 수 있는 실행 가능한 데이터를 보안팀에 제공할 수 있습니다.

 

Lunaryearhero.png

임인년에 들어서면서 이 지역에서는 실제 가족 모임을 다시 갖기 시작함에 따라 팬데믹 이전으로 돌아왔습니다. 그러나 변하지 않은 한 가지 요소는 작년의 매출 28% 증가를 가능하게 만든 2021년의 압도적인 온라인 쇼핑 전환이었습니다. 

온라인 구매의 이러한 증가는 2022년에도 반복되었지만 이에 따라 악성 봇 활동도 크게 증가하였습니다. Akamai의 데이터에 따르면 음력 설날 며칠 전부터 음력 설날까지 중국에서 악성 봇 활동이 전월 대비 15% 증가했습니다. EMEA와 미국에서도 연말 연휴에 트래픽이 많을 때 비슷한 급증이 발생하지만 중국과 일본에서는 트래픽 양이 엄청나기 때문에 성공적인 사이버 공격을 위한 매우 매력적인 기회가 됩니다. 중국과 일본의 리테일 기업과 이커머스는 세계 최대의 인구 중 일부에 서비스를 제공하고 있습니다. 

이는 수십 억 명의 쇼핑객과 여행객이 휴일 구매를 완료하는 과정을 틈타서 악성 봇이 인증정보 도용, DDoS 공격, 가격 스크레이핑, 기프트 카드 사기 등 특별한 목적을 가진 다양한 악성 활동을 수행함을 의미합니다. Juniper Research는 종종 악성 봇과 관련되는 이커머스 사기가 2021년에 18%까지 증가해 전 세계적으로 리테일 기업의 손실이 200억 달러(2021년의 최종 수치는 아직 보고되지 않음)를 넘어설 것으로 추정합니다. 

광군제를 전후로 유사한 급증 후 음력 설날의 봇 활동 발생

Akamai 연구원들은 2021년 말과 2022년 초 연휴 기간 동안 APAC의 악성 봇넷(수백 만 개에 달하는 봇 그룹)을 모니터링하고 분석하여 기본적인 봇넷 공격 데이터를 조사했습니다. 이러한 공격 트렌드를 파악하면 IT 및 사이버보안 팀이 맞서는 공격자를 보다 정확하게 이해할 수 있습니다. 

관찰 결과, 중국 리테일 및 이커머스 부문에서 음력 설날을 전후로 악성 봇넷 활동이 15% 증가한 것을 발견했습니다. 

중국 리테일 - 음력 설 악성 봇 활동_No-Y

이는 이미 많은 수의 봇넷 공격이 광군제에 시작되어 결코 완전히 진정되지는 않았지만 공격 트래픽이 명확하게 증가했음을 의미합니다.

중국 커머스 - 1일 악성 봇 트래픽_No-Y

종합하면 이러한 활동은 중국에서 휴일을 전후로 발생한 공격 패턴을 보여주는 것으로, 2021년 11월 11일에 3배 이상 증가한 봇넷 공격에서 정점에 도달했습니다. 그 후 몇 달 동안 점차 감소했지만 공격 트래픽은 연말까지 상대적으로 높은 수준을 유지하다가 음력 설을 맞아 리테일 트래픽이 증가하면서 다시 한 번 정점에 도달했습니다.

음력 설은 중국의 큰 기념일이므로 공격 트래픽 증가는 놀라운 일이 아닙니다. 많은 상점과 여행. 보안 팀이 대량의 정상 트래픽에서 악성 트래픽을 탐지하기 위한 노력을 강화하고 있는 가운데 활동 증가가 공격자들에게 기회를 제공합니다. 

올해 2022년 베이징 동계 올림픽 개막과 함께 온라인 판매가 급증했습니다. 백만 명 이상의 쇼핑객이 이커머스 플랫폼인 Tmall의 공식 올림픽 매장으로 몰려들었을 뿐 아니라, 겨울 스포츠 장비의 온라인 판매도 전년 대비 180%(스키), 300%(빙상 장비) 증가했으며, 2022년 1월 31일부터 2월 4일까지 Fliggy의 "빙설" 여행 예약도 30% 증가했습니다.

지역 전체에서 급증하고 있는 연휴 봇 공격 

설 연휴에 관찰된 트래픽과 마찬가지로, 휴일은 APAC 전역에서 공격자에게 공격을 수행할 수 있는 엄청난 기회가 됩니다. 중국, 미국 및 영국에 이어 1,412억 6천만 달러 규모의 세계에서 4번째로 큰 이커머스 시장을 가진 일본에서도 매년 휴일을 전후로 악성 봇 활동이 비슷하게 증가하고 있습니다. 

올해 초 Akamai의 연구 결과에 따르면 1월 양력 설을 전후로 일본 리테일 부문에서 악성 봇넷 활동이 2.5배 증가한 것으로 나타났습니다. 공격자들이 인증 크리덴셜 스터핑, 계정 탈취(ATO) 또는 휴일에 맞춰 업데이트되었을 가능성이 높은 개인 정보의 기타 데이터 수집 시도를 계속함에 따라 공격 패턴은 휴일이 지난 후 몇 주 동안 지속됩니다. 

일본 리테일 - 신년 악성 봇 활동_No-Y

이러한 패턴은 광군제 전후로 중국에서 관찰된 공격 트래픽 3배 증가와 매우 유사하며(위 차트 참조), 이는 두 휴일 공격 패턴 간의 일관성을 보여 줍니다. 또한 이러한 패턴은 APAC 지역에서 휴일 동안 리테일 및 이커머스 기업이 경험하는 리스크 증가를 나타냅니다. 

이커머스 기업에 다양한 사이버 공격 리스크를 초래하는 악성 봇 

Akamai는 연중 내내 발생하는 인터넷 트래픽의 비율로 정상 봇과 악성 봇을 추적합니다. 공격자들은 결코 공격을 완전히 중단하지는 않지만, 우리는 휴일을 전후로 한 공격 급증을 통해 이들이 대량의 트래픽을 활동 은폐 수단으로 이용하여 전술을 실행한다는 사실을 알 수 있습니다. 

사이버 범죄자들은 휴일 동안 사람들이 분주하게 쇼핑과 축하를 즐기는 상황을 악용할 뿐 아니라 보안 부서 직원들이 가족과 시간을 보내거나 여행을 떠나기 위해 휴가를 내어 보안 부서가 취약해진다는 사실도 악용합니다. 이를 통해 공격자들은 경계를 침해할 수 있는 더욱 적당한 기회를 얻게 되며, 더 중요한 것은 탐지나 적시 방어 없이 보다 자유롭게 활동할 수 있는 기회를 얻게 된다는 점입니다.

봇넷이 수행하는 사이버 공격의 유형 

크리덴셜 스터핑 공격 시 다크 웹에서 구매했거나 직접 탈취한 도난 인증정보 매칭에 봇을 이용해 여러 계정에서 일치하는 정보를 찾습니다. 사람들은 여전히 여러 플랫폼에서 동일한 암호를 사용하는 경우가 많기 때문에 범죄자들은 로그인 정보(또는 로그인 정보의 변형)를 다른 사이트에서 사용할 수 있는지 확인하려면 한 리테일 사이트에서 작동한 로그인 정보를 시도하기만 하면 된다는 사실을 알고 있습니다. 

이러한 크리덴셜 스터핑 공격은 자동화되고 신속하며 특히 휴일을 전후로 트래픽이 급증하는 동안 수행됩니다. 그런 다음 일치하는 인증정보를 다크 웹에서 판매하거나 ATO에 이용할 수 있습니다.

봇에 의한 계정 탈취(ATO)는 사이버 범죄자들이 정상적인 사용자 계정을 탈취하여 사기를 저지르거나 신용 카드(CC) 정보, 기프트 카드 잔액, 로열티 포인트 또는 현금화할 수 있는 기타 고객 혜택을 훔치는 일종의 ID 도용입니다. 휴일은 완벽한 시기입니다. 크레딧 연장이 획득되었으며 계정 지출을 준비합니다. 

일단 계정이 범죄자의 손에 들어가면 로열티 포인트, CC 정보, 개인 정보 등 모든 관련 정보가 사용되거나 스크레이핑된 후 판매됩니다. 

일부 악성 봇은 정찰 목적으로 사용됩니다. 악성 봇은 웹사이트에 침입하여 코드를 심어 넣고 데이터를 찾아 빼내기 위한 과정을 계획할 수 있는 웹사이트의 취약점을 찾고 있습니다. 

이커머스 사이트에 대규모 트래픽을 유발해 수요가 많고 공급은 제한적인 품목을 신속하게 사들이도록 설계된 봇(서구의 "스니커 봇"과 유사함)도있습니다. 원격 근무용 노트북과 기타 전자 제품의 수요가 급증한 이후 지속되고 있는 전 세계적인 반도체 칩 부족 현상에 힘입어 사이버 범죄자들은 게임 콘솔에서 자동차에 이르는 모든 것을 사들여 아시아의 2차 시장에서 터무니없이 높은 가격으로 판매했습니다. 

사이버 범죄자들이 다양한 로그인 방식으로 수천 번 로그인하여 도난당한 로그인 인증정보를 확인하든 앉아서 기다리면서 랜섬웨어로 데이터에 침투해 암호화하든, 우리는 고객의 활동을 측정하여 그에 따라 다음 공격에 대비할 수 있습니다.

이커머스 방어를 위해 실행 가능한 데이터로 이용할 수 있는 휴일 공격 트렌드

전 세계의 사이버보안 팀은 휴일 트래픽의 리스크를 잘 알고 있습니다. 리테일 및 이커머스 사이트의 데이터와 IP 담당자들에게는 휴일이 훨씬 더 큰 과제입니다. 트래픽이 증가함에 따라 공격자들은 공격의 규모를 늘리고 있으며, 이는 즉시 또는 미래에 데이터 스크레이핑, 고객 계정 유출, 사이트 기능 손상, 암호화 데이터에 대한 랜섬 요구 등의 가능성으로 이어집니다. 이 모두는 기업에 막대한 비용을 초래할 수 있습니다.

휴일 전후의 봇넷 활동 패턴을 이해하면 휴일 리스크를 명확하게 파악해 정량화하는 데 도움이 되며, 정확하게 분석할 경우 방어에 통합할 수 있는 실행 가능한 데이터를 보안팀에 제공할 수 있습니다. 

자세히 보기

브랜드와 고객 충성도를 보호하려면 휴일 및 그 이후의 악성 봇의 공격 패턴과 행동을 고려하는 전략을 개발해야 합니다. Akamai Bot Manager에 대해 자세히 알아보시기 바랍니다.에서 Akamai Technologies를 팔로우하시기 바랍니다.



boaz-gelbord.png

Written by

Boaz Gelbord

March 10, 2022

보아즈 겔보드(Boaz Gelbord)는 Akamai Technologies의 수석 부사장 겸 CSO입니다. 이 회사의 정보 보안 팀을 이끌고 있는 그는 전 세계 135여 개국 4,000개 위치에서 사이버 보안, 정보 보안 규정 준수, Akamai의 시스템, 데이터, 직원 및 세계 최고의 지능형 엣지 플랫폼 보호를 총괄합니다.