Akamai Diversity

Akamai 블로그

리테일 산업을 겨냥한 공격 & API 트래픽

[인터넷 보안 현황 보고서] SOTI Security Vol.5 Iss.2

네트워크 혹은 응용팀과 보안팀 사이의 긴장감은 인터넷 비즈니스 초창기부터 있었습니다. 한쪽은 새로운 기능과 편의를 위해, 다른 한쪽은 뻔히 보이는 보안취약점을 사전에 차단하기 위해, 평행선과 같은 의견충돌을 겪어 왔습니다. 그러다 보니 보안팀은 "항상 안된다고만 하는 팀"이라는 불만 섞인 평가를 들어야만 했고, 당연히 보안팀 입장에서는 억울할 수밖에 없었습니다. 이후 많은 시간과 노력을 통해 보안팀은 경영층과의 커뮤니케이션 방법을 발전시켜 왔으며, 이것은 단순한 위협의 존재 여부를 넘어, 위험관리 방법론을 바탕으로 위험을 정량화하고 적절한 대응 옵션을 제시하는 것이었습니다. 이러한 변화는 매우 효과적이었고 경영층도 조금 더 보안팀의 의견에 귀 기울이게 되었습니다. 

하지만, 보안위협을 실질적인 위험으로 식별하고(Risk Identification) 이를 정량화하여 자사 비즈니스 환경 기준으로 평가하는(Risk Assessment) 것은 정말이지 너무나 어려운 과정입니다. 기술적으로 너무나 명확하고 단순한 취약점이더라도 조금만 변화를 주거나 다른 공격방법과 혼합되어 사용될 경우, 감당하기 힘든 무서운 위험이 될 수도 있기 때문입니다. 그렇다고 모든 가능성을 염두에 두고 최악의 경우만을 들어 경영층이 감당할 수 없는 대책(비용)을 제시하는 것도 결국 또 다른 평행선을 만들게 될 뿐입니다. 이러한 두 모습 사이의 절묘한 균형점을 찾는 것은 가히 예술의 경지라 할 만큼 어려운 일입니다.

이처럼 어려운 숙제를 안고 있는 보안팀에게 가장 절실한 것은 가시성일 것입니다. 하지만, 이 개념은 흔히 좁은 의미로만 해석되곤 합니다. 왜냐하면, 용어 자체가 보안 장비들이 발전하면서 자사 인프라를 오가는 트래픽, 트랜잭션에 대해 기존보다 많은 정보를 제공한다는 측면에서 많이 사용되어 왔기 때문입니다. 그렇지만, 위험관리 측면에서 보면 보안팀은 지금 당장 자사 인프라에서 보이지 않는, 다가올 위험까지 대비해야 하기에, 보다 넓은 시야를 가져야만 합니다. 즉, 자사 밖에서 벌어지는 상황들까지도 살필 수 있는 넓은 의미의 가시성이 필요하며, 이는 아무리 뛰어난 보안 장비를 자사에 설치한다고 해서 얻을 수 있는 것이 아닙니다.

 

올해 두 번째 발간된 이번 SOTI 보고서에서는 보다 넓은 시야를 제공하고자 다음과 같은 세 가지 주제를 다루고 있습니다.

 

"리테일 업계에 대한 대규모 공격에 사용되는 "에서는 크리덴셜 스터핑 공격을 통한 계정탈취(ATO)가 특정 산업군에 더 많이 집중되고 있다는 사실과 재판매 시장과의 연관성에 관해 기술하고 있습니다. 크리덴셜 스터핑 공격은 리테일 산업군, 이 중에서도 상대적으로 규모가 작은 의류 산업군에서 가장 많이 시도되고 있습니다. 공격자는 탈취한 계정을 통해 특별 할인 또는 한정판 제품을 수집하고 이를 재판매 시장을 통해 손쉽게 수익을 올릴 수 있습니다. 이처럼 재판매 시장이 활성화되어 있는 리테일 산업군은 공격자 관점에서 매력적인 공격 대상이며, 올인원(AIO) 봇과 같이 지능화되고 명확한 목적성을 가진 공격 툴이 활용되고 있습니다. 공격자가 특정 목적을 위한 봇 확보에 얼마나 적극적인지는 지난 SOTI 보고서를 통해 확인해 보실 수 있습니다. 이러한 공격자의 움직임은 리테일 산업군에 국한되지는 않을 것이며, 수익을 현실화할 수 있는 길만 열린다면 다른 산업군에도 보다 빠르게 옮겨 갈 것입니다. 

Screen Shot 2019-04-23 at 9.48.43 AM.png

< 2018년 5월 ~12월 : 리테일 산업 기업 유형별 인증정보 도용건>


"API 트래픽의 증가"에서는 최근 몇 년간 API 트래픽이 실제로 얼마나 증가했는지, 이에 따라 IT 및 보안 담당자가 새롭게 관심을 가져야 하는 부분은 어디인지를 다루고 있습니다. 아카마이 플랫폼을 분석한 결과, 2014년부터 2018년 사이에 HTML 트래픽은 1/3 수준으로 감소했지만, JSON 트래픽은 3배 가까이 증가하였습니다. 또한, 2018년 기준으로 JSON 트래픽은 HTML 트래픽의 4배에 이르고 있으며 조사 대상 트래픽의 2/3를 차지하고 있습니다. 그만큼 API 트래픽이 콘텐츠 및 정보 전달의 주류로 부상한 것입니다. API 트래픽은 미디어 산업군에서 가장 활발하게 사용되고 있으며, 단말의 유형도 일반 브라우저에서 스마트폰, 애플리케이션, 임베디드 디바이스로 옮겨 가고 있음을 의미합니다. 서버와 네트워크 관점에서도 콘텐츠가 기존보다 작지만 더 자주 그리고 빨리 전달되어야 한다는 사실을 유념해야 하겠습니다. 당연히 보안 관점에서도 API 트래픽을 주요 관심 대상으로 삼아야 할 것입니다.


"과소 측정되는 IPv6"에서는 IPv6 가 일반적으로 알려진 것보다 더 많이 사용되고 있고 잠재력도 더 크다는 내용을 기술하고 있습니다. 한 조사에 따르면, 상위 1000개 사이트 중 28%, 상위 1백만 사이트 중 17%만이 IPv6를 지원한다고 합니다. 하지만, Akamai의 사용자 트래픽을 기준으로 보면 IPv6 트래픽이 약 45%를 차지하고 있습니다. 추가로 DNS 리졸빙 과정을 분석해 보면, DNS 리졸버(LDNS)의 설정 혹은 선호도와 권한 서버(Authoritative DNS)의 위임 설정으로 인해 IPv6 사용이 제한되고 있는 정황이 파악됩니다. 따라서, DNS 설정 및 환경의 변화가 본격화될 경우, 우리가 생각하는 것보다 더 빠르게 IPv6가 활성화될 가능성이 있습니다. 문득 다가올지 모를 IPv6 시대를 대비할 수 있도록 자사의 보안대책을 살펴 보아야 하겠습니다.   

SOTI Security 5권 2호 전문은 본 링크를 통해 확인하실 수 있습니다.

Leave a comment (코멘트 남기기)