¾ÆÄ«¸¶ÀÌ(¾ÆÄ«¸¶ÀÌÄÚ¸®¾Æ ´ëÇ¥ ÀÌ°æÁØ, www.akamai.co.kr)°¡ ‘¾ÆÄ«¸¶ÀÌ 2020 ÀÎÅÍ³Ý ÇöȲ º¸°í¼: ±ÝÀ¶ ¼ºñ½º ´ë»ó °ø°Ý(Akamai 2020 State of the Internet / Security: financial Services – Hostile Takeover Attempts)’¸¦ ¹ßÇ¥Çß´Ù.
2019³â 5¿ùºÎÅÍ ¿¬¸»±îÁö ÁøÇàµÈ ¿¬±¸ °á°ú¿¡ µû¸£¸é °ø°ÝÀÚµéÀÌ º¸¾È ÄÁÆ®·ÑÀ» ¿ìȸÇϱâ À§ÇØ API¸¦ Ç¥ÀûÀ¸·Î »ïÀ¸¸é¼ À§Çù ¾ç»ó¿¡ ±Þ°ÝÇÑ º¯È°¡ ¹ß»ýÇß´Ù. ÀÌ ±â°£ µ¿¾È ±ÝÀ¶ ¼ºñ½º ¾÷°è¸¦ ´ë»óÀ¸·Î ÇÑ Å©¸®µ§¼È ¾îºäÁî(credential abuse) °ø°ÝÀÇ ÃÖ´ë 75%°¡ API¸¦ Á÷Á¢ ³ë¸° °ÍÀ¸·Î È®ÀεƴÙ.
¾ÆÄ«¸¶ÀÌ´Â 2017³â 12¿ùºÎÅÍ 2019³â 11¿ù±îÁö ¾à 854¾ï °Ç(85,422,079,109°Ç)¿¡ ´ÞÇÏ´Â Å©¸®µ§¼È ¾îºäÁî °ø°ÝÀ» È®ÀÎÇß´Ù. ÀÌ Áß ¾à 20%¿¡ ÇØ´çÇÏ´Â ¾à 166¾ï °Ç(16,557,875,875°Ç)Àº API ¿£µåÆ÷ÀÎÆ®·Î ¸íÈ®ÇÏ°Ô ½Äº°µÈ È£½ºÆ®³×ÀÓ¿¡ ´ëÇÑ °ø°ÝÀ̾ú°í API °ø°Ý Áß ¾à 5¾ï °Ç(473,518,955°Ç)Àº ±ÝÀ¶ ¼ºñ½º ¾÷°è¿¡¼ ¹ß»ýÇß´Ù.
¸ðµç °ø°ÝÀÌ API¿¡¸¸ ÁýÁßµÈ °ÍÀº ¾Æ´Ï¾ú´Ù. ¾ÆÄ«¸¶ÀÌ´Â 2019³â 8¿ù 7ÀÏ ÇÑ ±ÝÀ¶ ¼ºñ½º ¾÷ü¿¡ ¾ÆÄ«¸¶ÀÌ °üÃø »ç»ó ´ÜÀÏ ±Ô¸ð·Î´Â °¡Àå Å« Å©¸®µ§¼È ½ºÅÍÇÎ(credential stuffing) °ø°ÝÀÌ °¡ÇØÁø °ÍÀ» Æ÷ÂøÇß´Ù. ¾à 5,500¸¸ ȸ(55,141,782ȸ)ÀÇ ¾Ç¼º ·Î±×ÀÎ ½Ãµµ°¡ ÀÖ¾úÀ¸¸ç, ÀÌ °ø°Ý¿¡´Â API °ø°Ý»Ó¸¸ ¾Æ´Ï¶ó ±âŸ ¹æ¹ýÀÌ ¼¯¿© ÀÖ¾ú´Ù. 8¿ù 25ÀÏ¿¡´Â °ø°ÝÀÚµéÀÌ API¸¦ Á÷Á¢ Ç¥ÀûÀ¸·Î »ï¾Æ 1,900¸¸ ȸ ÀÌ»óÀÇ Å©¸®µ§¼È ¾îºäÁî °ø°ÝÀÌ ÀϾ´Ù.
½ºÆ¼ºê ·¹ÀÌ°Ç(Steve Ragan) ¾ÆÄ«¸¶ÀÌ º¸¾È ¿¬±¸¿ø °â ÀÎÅÍ³Ý º¸¾È ÇöȲ º¸°í¼ÀÇ ¼ö¼® ÀúÀÚ´Â “°ø°ÝÀÚµéÀº °ø°Ý¿¡ ÇÊ¿äÇÑ ÀÚ¿ø¿¡ Á¢±ÙÇϱâ À§ÇÑ ¹æ¹ý¿¡ ÁýÁßÇÏ°í ±× ¹æ¹ýÀº ´õ¿í âÀÇÀûÀ¸·Î º¯ÇÏ°í ÀÖ´Ù”¸ç “±ÝÀ¶ ¼ºñ½º »ê¾÷À» ³ë¸®´Â °ø°ÝÀÚµéÀº ±ÝÀ¶¾÷üµéÀÌ »ç¿ëÇÏ´Â ¹æ¾î ü°è¿¡ ´ëÇØ ´õ¿í ÁýÁßÇÏ°í ÀÌ¿¡ µû¸¥ °ø°Ý ÆÐÅÏÀ» Á¶Á¤ÇÑ´Ù”°í ¸»Çß´Ù.
¾ÆÄ«¸¶ÀÌ´Â °ø°Ý ¾ç»óÀÌ ¸Å¿ì À¯µ¿ÀûÀ̶ó´Â Á¡À» ÁöÀûÇÏ¸ç °ø°ÝÀÚµéÀÌ ¼¹ö¿¡¼ ´õ¿í °·ÂÇÑ ±â¹ÝÀ» È®º¸ÇÏ°í ±Ã±ØÀûÀ¸·Î´Â °ø°ÝÀ» ¼º°ø½ÃÅ°±â À§ÇØ ´Ù¾çÇÑ ¹æ¹ýÀ¸·Î µ¥ÀÌÅ͸¦ ³ëÃâ½ÃÅ°·Á°í ÇÑ´Ù°í ¹àÇû´Ù.
24°³¿ùÀÇ Á¶»ç ±â°£ µ¿¾È Àüü ¾÷°è¿¡¼ SQL ÀÎÁ§¼Ç(SQLi)ÀÌ Àüü °ø°ÝÀÇ 72% ÀÌ»óÀ» Â÷ÁöÇß´Ù. ±ÝÀ¶ ¼ºñ½º ¾÷°è¸¸ »ìÆ캸¸é SQL ÀÎÁ§¼Ç °ø°ÝÀÇ ºñÀ²Àº ±× Àý¹ÝÀÎ 36%´Ù. ±ÝÀ¶ ¼ºñ½º ºÐ¾ß¿¡¼ °¡Àå ¸¹ÀÌ ¹ß»ýÇÑ °ø°ÝÀº ÀÌ ºÐ¾ß °ø°Ý Æ®·¡ÇÈÀÇ 47%¸¦ Â÷ÁöÇÑ ·ÎÄà ÆÄÀÏ ÀÎŬ·çÀü(Local File Inclusion, LFI)ÀÌ´Ù.
LFI °ø°ÝÀº ¼¹ö¿¡¼ ÀÛµ¿ÇÏ´Â ´Ù¾çÇÑ ½ºÅ©¸³Æ®¸¦ ÀÌ¿ëÇϱ⠶§¹®¿¡ ¹Î°¨ÇÑ Á¤º¸¸¦ ¹«´ÜÀ¸·Î À¯Ãâ½ÃŲ´Ù. LFI °ø°ÝÀº Ãë¾àÇÑ ÀÚ¹Ù½ºÅ©¸³Æ® ÆÄÀÏ°ú °°Àº Ŭ¶óÀ̾ðÆ® »çÀÌµå ¸í·É ½ÇÇà(client-side command execution)¿¡ »ç¿ëµÇ¾î Å©·Î½º »çÀÌÆ® ½ºÅ©¸³ÆÃ(Cross-Site Scripting, XSS)°ú µµ½º(Denial of Service, DoS) °ø°ÝÀ¸·Î À̾îÁú ¼ö ÀÖ´Ù. XSS´Â ±ÝÀ¶ ¼ºñ½º¿¡ ´ëÇÑ °ø°Ý Æ®·¡ÇÈ Áß 7.7%¸¦ Â÷ÁöÇϸç, 5,070¸¸ °ÇÀÇ °ø°ÝÀ¸·Î ¼¼ ¹ø°·Î ¸¹ÀÌ »ç¿ëµÆ´Ù.
°ø°ÝÀÚµéÀº ±ÝÀ¶ ¼ºñ½º ¾÷°è¸¦ °ø°ÝÇÒ ¶§ ÇÙ½É ¿ä¼Ò·Î¼ µðµµ½º(DDoS) °ø°ÝÀ» Áö¼ÓÀûÀ¸·Î »ç¿ëÇÏ°í ÀÖ´Ù. ¾ÆÄ«¸¶ÀÌ°¡ 2017³â 11¿ùºÎÅÍ 2019³â 10¿ù ±îÁö Á¶»çÇÑ °á°ú, °ÔÀÓ »ê¾÷°ú ÷´Ü ±â¼ú »ê¾÷ÀÌ Â÷·Ê·Î °¡Àå ¸¹Àº µðµµ½º °ø°ÝÀÌ ¹ß»ýÇÑ »ê¾÷À̾ú°í ±ÝÀ¶ ¼ºñ½º »ê¾÷ÀÌ ±× µÚ¸¦ À̾ú´Ù. ÇÏÁö¸¸ µðµµ½º °ø°Ý¿¡ ÇÇÇظ¦ ÀÔÀº ´ë»óÀÇ 40% ÀÌ»óÀÌ ±ÝÀ¶ ¼ºñ½º »ê¾÷¿¡ ÇØ´çÇϱ⠶§¹®¿¡ ÇÇÇØ ´ë»ó ¼ö¸¦ °í·ÁÇÏ¸é ±ÝÀ¶ ¼ºñ½º »ê¾÷ÀÌ °¡Àå ¸¹Àº Ç¥ÀûÀÌ µÇ¾ú´Ù°í º¼ ¼ö ÀÖ´Ù.
·¹ÀÌ°Ç ¿¬±¸¿øÀº “º¸¾ÈÆÀÀº Á¤Ã¥, ÀýÂ÷, ¿öÅ©Ç÷οì, ºñÁî´Ï½º ¿ä±¸»çÇ×À» ²ÙÁØÈ÷ °í·ÁÇÏ¸é¼ Á¶Á÷ÀûÀÌ°í źźÇÑ ÀÚ±ÝÀ» °®°í ÀÖ´Â °ø°ÝÀڵ鿡 ¸Â¼¾ß ÇÑ´Ù”¸ç “¾ÆÄ«¸¶ÀÌ µ¥ÀÌÅÍ¿¡ µû¸£¸é ±ÝÀ¶ ¼ºñ½º Á¶Á÷ÀÌ À¯¿¬ÇÑ º¸¾È ü°è¸¦ äÅÃÇØ º¸¾ÈÀ» °è¼ÓÇؼ °³¼±ÇÏ¸é¼ °ø°ÝÀÚµéÀÌ °ø°Ý Àü·«À» ¹Ù²Ü ¼ö¹Û¿¡ ¾ø´Â »óȲÀÌ µÇ°í ÀÖ´Ù”°í ¸»Çß´Ù. |