지난 2년간 금융업권에서 인터넷을 통해 보안 컨트롤을 우회, API를 표적으로 삼은 공격 건수가 5억 건에 달한 것으로 조사됐다. 

인텔리전트 엣지 플랫폼 회사 '아카마이'는 26일 ‘아카마이 2019 인터넷 현황 보고서: 금융 서비스 대상 공격’을 통해 금융 서비스 업계를 대상으로 한 크리덴셜 어뷰즈(credential abuse) 공격의 최대 75%가 API를 직접 노렸다고 밝혔다.

아카마이는 보고서에서 2017년 12월부터 지난해 11월까지 854억2207만 건에 달하는 크리덴셜  어뷰즈 공격을 확인했고, 이 중 약 20%에 해당하는 165억5787만 건은 API 엔드포인트로 식별된 호스트네임에 대한 공격이었다고 설명했다. 

특히 API 공격 중 약 4억7351만 건은 금융 서비스 업계에서 발생했다. 

아카마이 관측 이래 가장 큰 규모 공격은 2019년 8월 7일 '크리덴셜 스터핑(credential stuffing)' 공격이었다.

5514만 회의 악성 로그인 시도가 있었고, 같은 달 25일에는 공격자들이 API를 직접 표적으로 삼아 1900만 회 이상의 크리덴셜 어뷰즈 공격을 일으켰다. 

스티브 레이건 아카마이 보안연구원은 “공격자들이 공격에 필요한 자원에 접근하기 위한 방법에 집중하고 방법은 더욱 창의적으로 변하고 있다”며 “금융 서비스 산업을 노리는 공격자들은 금융업체들이 사용하는 방어 체계에 더욱 집중하고 이에 따른 공격 패턴을 조정한다”고 설명했다.

24개월의 조사 기간 동안 전체 업계에서 SQL 인젝션(SQLi)이 전체 공격의 72% 이상을 차지했다. 금융권만 보면 SQL 인젝션 공격의 비율은 36%였다. 금융권에서 가장 많이 발생한 공격은 로컬 파일 인클루전(Local File Inclusion, LFI)으로 47%에 달했다.

LFI 공격은 서버에서 작동하는 다양한 스크립트를 이용하기 때문에 민감한 정보를 무단으로 유출시킨다. LFI 공격은 취약한 자바스크립트 파일과 같은 클라이언트 사이드 명령 실행(client-side command execution)에 사용돼 크로스 사이트 스크립팅(Cross-Site Scripting, XSS)과 도스(Denial of Service, DoS) 공격으로 이어질 수 있다. 

XSS는 금융 서비스에 대한 공격 트래픽 중 7.7%를 차지하며, 5070만 건의 공격으로 세 번째로 많이 사용됐다.