Dark background with blue code overlay
블로그

최신 봇넷 추적하기

userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.

botnets.png

글로벌 팬데믹으로 인해 금융 서비스를 대상으로 하는 공격자와 사이버 범죄자의 기회가 증가했다는 것은 비밀이 아닙니다. 2020년 전반에 걸쳐 범죄자들은 코로나19로 인한 경제적 어려움(금융 지원 약속, 재정적 어려움)을 악용해 전 세계 사람들을 피싱 공격 대상으로 삼았습니다

이러한 공격이 진화하고 있는 속도를 따라가는 것은 또 다른 복잡성 계층을 더합니다. 특히 PaaS(Phishing as a Service)는 턴키 비즈니스이기 때문입니다. 예를 들어 범죄자들은 다크 웹에서 구입한 키트를 사용하여 금융 기관의 가짜 SMS 메시지를 사용하여 의심하지 않는 피해자가 자신의 로그인 자격 증명을 공유하도록 유인할 수 있습니다. 이러한 키트 중 하나인 Kr3pto는 미국 및 영국의 주요 은행 고객을 대상으로 한 4,000건 이상의 SMS 피싱 캠페인과 관련이 있습니다

이러한 피싱 공격의 범인이 도난당한 자격 증명을 거래, 판매 및 악용하고, 이는 대규모 보안 침해로 인한 데이터 도난과 함께 크리덴셜 스터핑 공격의 기하급수적인 증가를 부채질했습니다. 팬데믹이 시작된 이후 눈에 띄는 몇 가지 사건과 관련된 수백만 개의 새로운 사용자 이름과 암호가 여러 포럼의 다크 웹에서 유포되기 시작했습니다. 일단 유포되면 주요 금융 기관과 인터넷 전반의 수많은 브랜드에 대해 분류 및 테스트를 거칩니다. 안타깝게도 이 방법은 대부분의 사용자가 둘 이상의 플랫폼에서 동일한 자격 증명을 사용하는 경향이 있다는 사실을 효과적으로 활용합니다.

2021년 Akamai 인터넷 보안 현황 보고서 (SOTI) ‘금융산업을 위협하는 피싱’에 따르면 2020년에 전 세계적으로 1,930억 건에 달하는 크리덴셜 스터핑 공격이 있었습니다. 2020년 5월을 보면 눈에 띄는 날짜 두 개가 있습니다. 5월 9일 인증정보 도용 공격 건수는 전 세계적으로 786,882,475건을 기록했습니다. 5일 후인 5월 14일에는 금융 서비스 부문에서 사상 최고인 47,698,955건의 공격을 기록했습니다. 최신 SOTI 보고서에 공개된 크리덴셜 스터핑 데이터는 2021년 1분기와 2분기에 급감과 급증을 반복하면서 공격 볼륨을 유지했고, 2021년 1월과 5월에 두 건의 대규모 공격이 있었음을 보여줍니다. 당시 크리덴셜 스터핑 공격 트래픽은 하루 동안 10억 건을 넘어섰습니다(아래 표 참조).

botnet1.png

봇넷은 전 세계적으로 엄청난 크리덴셜 스터핑을 발생시킵니다.

금융 서비스 CSO의 경우 고객의 개인 식별 정보(PII)의 보안과 24시간 디지털 서비스의 가용성 등 두 가지 사항에 유의해야 합니다. 두 가지 모두 고객 유지와 규제 기관의 요구 사항을 충족에 필수적입니다. 신용 스터핑 공격은 PII의 보안을 위협하고 있으며 가용성을 저해하는 DDoS 공격으로 진화할 수도 있습니다.

Global 500대 금융 서비스 그룹의 사례를 살펴 보십시오. 이 그룹의 연금 사이트에서는 하루 평균 2만 건의 올바르지 않은 로그인 시도가 발생하는데 어느 날 5분 간격으로 5만 건의 올바르지 않은 로그인 시도가 발생했습니다. 이처럼 공격이 이루어지는 동안 사용자들은 세션 시간 초과를 경험했거나 계정에 로그인하지 못하는 등 회사 인프라에 과부하가 걸렸습니다. 가장 나쁜 점은 고객의 두려움이 사실이라는 것이었습니다. 고객은 누군가가 자신의 계정을 차지하려고 했기 때문에 로그인할 수 없었습니다. 

은행 및 기타 기관은 암호를 정기적으로 변경하도록 고객에게 권장하지만 사람들은 이에 저항하고 여러 온라인 계정(소매, 뱅킹, 공공 서비스)에서 동일한 로그인 자격 증명을 계속 사용합니다. Carnegie Mellon 대학교의 보안 및 개인 정보 보호 연구소(CyLab)가 발표한 2020년 연구에 따르면, 데이터 침해 발표 후에도 사용자 중 3분의 1만이 암호를 변경한다고 합니다. 이런 무관심은 공격자들에게 유리합니다. 기본적으로 훔친 자격 증명의 3분의 2가 다른 사이트에서 작동할 수 있습니다. 특히 원래 조합이 작동하지 않는 경우 범죄자가 다양한 출처로 조합 목록을 구체화하여 새 암호를 생성할 것이라고 생각하는 경우 더욱 그렇습니다. 

은행은 계정 탈취를 위한 이 끊임없는 노력에 특히 매력적인 표적이 됩니다. 그러한 2020년의 공격 중 34억 건 이상이 금융 부문에서 발생했으며, 이는 2019년에 비해 45% 증가한 것입니다. 대규모 크리덴셜 스터핑 공격에서 한 금융 기관에 55,141,782번의 악성 로그인 시도가 집중되었습니다. 이 공격은 Akamai가 추적을 시작한 이후 금융 서비스 기관 대상의 인증정보 도용 중 최대 규모였습니다. 

공격 예방 또는 방어를 위한 봇 관리 솔루션 선택

자동화된 봇넷은 계정 탈취를 위해 작동한 자격 증명을 다시 사용하면서 은행 웹사이트에서 수십만 명의 사용자 자격 증명을 검증하고, 사기 대출을 신청하며, 돈을 빼내려고 합니다. (때로는 3단계로 바로 이동합니다.) 이러한 공격을 차단하는 것은 쉽지 않습니다. 로그인 정보는 합법적이며, 합법적이지 않은 것은 인증을 시도하는 엔티티이기 때문입니다. 

보안 제공업체로서 Akamai는 단일 봇넷에서 시간당 최대 30만 건의 부정 로그인 시도가 발생해 잠재적으로 금전적인 손실, 프라이버시 침해, 소비자 신뢰 손상(가장 심각한 것)이 발생한 것을 목격했습니다. Ponemon Institute의 조사에 따르면 크리덴셜 스터핑으로 인해 발생하는 비용은 사기 관련 손실, 운영 보안, 애플리케이션 다운타임, 고객 손실 비용을 포함하여 연간 6백만에서 5천4백만 달러입니다.

크리덴셜 스터핑 공격을 막을 수 있는 것은 주로 적절한 도구 선택에 좌우됩니다. 대부분의 솔루션은 봇을 정상적인 행위자와 구별하기 위해 설계되었지만, 다음과 같은 두 가지 중요한 문제를 고려해야 합니다. 

  • 봇넷의 진화에 대한 솔루션의 효과적인 대응 
  • 고객 여정 중단 최소화의 효과적인 보장

봇은 얼마나 정교하고 봇이 얼마나 빠르게 변할까요?

상당한 기회를 잡기 위해 가장 정교한 해커들이 크리덴셜 스터핑에 나서고 있으며, 이로 인해 봇이 고도로 정교해집니다. 따라서 업계 내의 현재 봇 환경과 사용 가능한 봇 탐지 기술에 대해 자세히 파악하는 것이 중요합니다. 적합한 솔루션은 가장 정교한 봇을 탐지할 수 있는 솔루션일 것입니다. 

정교한 봇은 변이를 일으킬 수 있습니다. 대부분의 봇 관리 솔루션은 초기에는 대부분의 봇을 탐지할 수 있지만 봇이 더욱 교묘한 형태로 변하면 탐지하지 못합니다. 이 문제는 공격자가 사용자가 봇을 파악했음을 확인하고 소프트웨어를 업데이트하여 사용자의 솔루션을 우회하는 방법을 즉시 알아낸 경우에 발생합니다. 이제 변이된 봇은 원래 탐지를 피하고 다시 배포될 수 있습니다. 따라서 솔루션도 똑같이 정교해야 하며, 봇이 변이해도 효과를 유지하는 사용자 행동 분석과 같은 봇 탐지 기술을 배포해야 합니다. 

보고 기능은 또 다른 중요한 요소입니다. 특정 봇, 봇넷 또는 봇의 특성을 확대하는 기능은 현재 처리 중인 정보를 빠르고 안정적으로 제공합니다. 명확한 인사이트가 없다면 대응은 차선이 될 것입니다. 

고객 로그인에 부정적인 영향을 주지 않고 봇 로그인 차단 

팬데믹 때문에 그 어느 때보다 온라인 및 모바일 거래를 하는 은행 고객이 많습니다. 한 Akamai 금융 서비스 고객의 웹 트래픽 양은 2020년 3월 록다운 이후 급격히 증가했으며, 1년 반 이상 지난 지금 디지털 뱅킹 행동은 업계의 뉴 노멀이 되었습니다. 즉, 고객 여정에서 가능한 한 원활하게 작동하는 보안 솔루션을 선택하는 것이 훨씬 더 중요합니다. 

예를 들어, 번거로운 CAPTCHA 제어는 그러한 여정을 심각하게 방해하여 충성 전환을 미묘하게 시작할 수 있는 좌절을 야기할 수 있습니다. (비행기로 모든 사진을 식별하지 못한 후 모든 횡단보도를 찾아야 하는 루프에 누가 빠지기를 좋아할까요?) 눈에 띄지 않는 봇 관리 도구로 보호되는 환경에서 작동하는 사용자 친화적인(멀티팩터) 인증 솔루션은 사용자를 확실하게 식별하고 악성 봇을 걸러내는 데 잘 작동하며, 사용자의 복잡성은 가중되지 않습니다. 

또한 이처럼 정교한 위협에 대비하기 위해 고급 머신 러닝 기술과 비정상 행동 분석을 사용하면 정확도를 높일 수 있습니다. 알고리즘을 정교하게 튜닝할수록 분석이 정교해지고, 성능 영향을 방지하고 오탐을 제거할 수 있는 능력이 강화됩니다.

Akamai는 사용자의 여정을 방해하지 않고 보안 기반을 강화하기 위한 올바른 도구를 선택하는 더 많은 기준을 제공합니다. 이러한 목표를 함께 달성하면 소중한 고객의 신뢰와 충성도를 유지하고 새로운 고객을 유치하는 데 많은 도움이 될 것입니다. 봇넷은 무자비하지만 여러분은 봇넷을 이길 수 있습니다.

Akamai가 금융 서비스 기업을 지원하는 방법에 대해 자세히 알아보세요.



userpic-420-100x100.png

Written by

Gerhard Giese

December 28, 2021

Gerhard Giese is Industry Strategist at Akamai Technologies. He started at Akamai in 2010 and is now manager in the Financial Sector, responsible for customer advisory, information sharing and consulting. With more than 20 years of experience in the security field, Gerd has accumulated in-depth expertise in network security as well as distributed denial of service (DDoS) mitigation and data theft prevention. He continues to interact directly with clients as a trusted security advisor, to identify the most pressing challenges for online businesses. In addition, he regularly delivers talks at industry conferences and works as an independent consultant for federal state authorities such as The German Ministry of IT Defense. Prior to Akamai, Gerd was a senior network engineer at McAfee. Gerd holds CISSP and CCSP certifications and is a certified ethical hacker.