[중앙뉴스= 이광재 기자] 아카마이가 새로운 인터넷 보안 현황 보고서 ‘혁신의 높은 위험성: 금융 서비스 업계를 향한 공격 트렌드(The High Stakes of Innovation: Attack Trends in Financial Services)’를 발표했다. 이 보안 현황 보고서는 아시아 태평양 지역(이하 아태지역)의 금융 서비스 부문이 전세계에서 가장 많은 공격을 받는 업계 중 하나라는 점을 강조했다.

보고서에 따르면 지난해 2분기부터 올 2분기까지 아태지역 금융 서비스에 대한 웹 애플리케이션 및 API 공격이 36% 증가해 총 37억건을 돌파한 것으로 밝혀졌다. 또 LFI(Local File Inclusion)가 여전히 가장 많이 사용되는 공격 기법이며 아태지역 금융 부문에 대한 공격의 92.3%가 은행을 겨냥한 것으로 나타나 금융 기관과 고객 모두에게 큰 위협이 되고 있다고 경고했다.

아태지역 지역의 금융 서비스 기업들이 더 많은 채널과 더 나은 고객 경험을 개발하기 위해 써드파티 스크립트의 사용량을 점차 높여 감에 따라 전체 스크립트의 40%가 써드파티 스크립트인 것으로 나타났다. 이러한 수치는 특히 은행을 비롯한 소비자 중심 기관들이 더 많은 고객에게 도달하고 경쟁 우위를 확보하기 위해 디지털 기반을 확장해가는 과정에서 더 심각한 리스크에 노출된다는 것을 보여준다고 보고서는 설명했다.

아카마이 아태지역 보안 기술 및 전략 디렉터 루벤 코(Reuben Koh)는 “아태지역의 금융 서비스 부문은 세계에서 가장 혁신적이고 경쟁력 있는 분야 중 하나”라며 “금융 기관은 고객을 위한 새로운 상품 및 기능과 인터랙티브 경험을 신속하게 선보이기 위해 점점 더 많은 써드파티 스크립트를 사용하고 있다”고 말했다.

이어 “대부분의 기업들이 이러한 스크립트의 진위 여부와 잠재적 취약점을 모두 파악하지 못하고 있기 때문에 비즈니스에 또 다른 리스크를 초래할 수 있다. 위험한 써드파티 스크립트에 대한 가시성이 제한되어 있는 이러한 상황에서 공격자들은 은행과 고객을 공격할 수 있는 또 다른 경로를 확보하고 있는 것”이라고 경고했다.

아카마이 보고서에 따르면 아태지역의 악성 봇 트래픽은 지난해 대비 128% 증가했으며 이는 금융 서비스 고객과 데이터에 대한 공격이 계속되고 있음을 보여준다. 사이버 범죄자들은 봇을 사용해 공격의 규모, 효율성, 효과를 증폭한다. 아태지역은 금융 서비스에 대한 악성 봇 요청이 세계에서 두 번째로 많이 발생하는 지역으로 이는 전세계 악성 봇 요청의 39.7%를 차지하는 규모다.

사용 사례로는 피싱 사기를 위해 금융 서비스 브랜드의 웹사이트를 사칭하는 웹 사이트 스크레이핑과 훔친 사용자 이름과 비밀번호를 자동 삽입해 계정을 탈취하는 크리덴셜 스터핑 등이 있다. 이는 공격자들이 지속적으로 공격 방식을 발전시키고 있으며 수익을 극대화하기 위해 금융 서비스 소비자들을 집중적으로 공격하기 시작했음을 잘 보여준다.

보고서에 의하면 웹 애플리케이션과 API는 아태지역에서 여전히 가장 많이 선택되는 공격 기법으로 금융 부문이 관련 공격의 50%를 차지했으며 커머스(19.99%)와 소셜 미디어(8.3%)가 그 뒤를 이었다. 호주, 싱가포르, 일본이 아태지역에서 가장 많은 공격의 표적이 된 상위 3개 국가였으며 전체 웹 애플리케이션 및 API 공격의 4분의3 이상을 차지했다.

공격의 63.2%를 차지하는 LFI(Local File Inclusion)가 여전히 가장 널리 악용되는 것으로 나타났으며 XSS(Cross-Site Scripting)가 21.3%로 2위, PHPi(PHP Injection)가 6.32%로 그 뒤를 이었다. LFI 공격은 웹 서버의 안전하지 않은 코딩 관행이나 실제 취약점을 악용해 코드를 원격 실행하거나 로컬에 저장된 민감한 정보에 접속한다.

예를 들어 오래된 PHP 기반의 웹 서버는 입력 필터를 우회하는 방법이 존재하기 때문에 LFI 공격에 더 취약하다.

APJ 금융 서비스 기업들은 추가적인 규제 감독과 새로운 보고 의무에 지속적인 주의를 기울여야 한다. 예를 들어 써드파티 스크립트 사용이 증가함에 따라 금융 기관은 클라이언트 측 스크립트 가시성 및 관리와 관련된 특정 섹션이 포함될 예정인 새로운 PCI DSS(Payment Card Industry Data Security Standard) v4.0의 요구 사항을 충족하기 어려울 수 있다. 새로운 규정이 점점 더 많이 시행될 수 있으며 이러한 새로운 컴플라이언스 요건을 고려하지 않는 기업은 벌금이나 브랜드 이미지 손상 등의 리스크에 처할 수 있다.

루벤 코 디렉터는 “아태지역의 금융 서비스 기업들은 해당 분야의 혁신 속도가 가속화됨에 따라 사이버 범죄자들이 항상 새롭고 더 정교한 사이버 공격 방법을 찾으려고 노력할 것이라는 점을 기억해야 한다”며 “금융 애그리게이터, 특히 오픈 뱅킹 관행을 도입하려는 기업들의 인기가 높아지면서 앞으로 금융 업계는 API와 써드파티 스크립트 사용에 더욱 의존하게 될 것이며 이는 공격표면이 더욱 확대될 것임을 의미한다”고 말했다.

또 “금융 기관은 새로운 디지털 서비스를 보호하고 고객에게 사이버 위생 모범 사례를 지속적으로 교육하고 사용자를 위한 원활한 보안 조치에 투자하는 데 집중해야 한다. 규제 당국이 사이버 보안 표준을 강화하는 정책을 시행함에 따라 금융 서비스 기업은 새로운 컴플라이언스 요건을 이해하고 고려하는 동시에 최신 사이버 위협에 대한 보안 체계와 사이버 안정성을 강화하는 것도 중요하다”고 강조했다.