“지난해 아태지역 API 및 애플리케이션에 대한 웹 공격 65% ↑”

온라인 라이프를 강력하게 지원하고 보호하는 클라우드 기업 아카마이 테크놀로지스(아카마이코리아 대표 이경준)는 새로운 인터넷 현황 보고서 (State of the Internet, 이하 SOTI)를 발표하며 API 및 애플리케이션이 위협 공격자들에게 수익성 높은 공격 타깃이 되었다고 설명했다.

아카마이는 이번 새로운 보고서 ‘위협받는 디지털 요새:최신 애플리케이션 아키텍처를 향한 위협’을 통해 지난 6월에만 전 세계적으로 API 및 애플리케이션에 대한 웹 공격이 260억 건 이상 발생했으며, 특히 금융 서비스 및 커머스 부문의 기업이 취약한 아시아 태평양 및 일본(APJ) 지역의 경우 지난해에 비해 65% 급증한 것으로 나타났다고 밝혔다.

이러한 공격 급증 현상은 고객 경험 향상과 비즈니스 성장을 위해 기업이 서둘러 애플리케이션을 배포한 것에 기인한다. 서둘러 배포하다 보니 공격표면을 확장해 웹 애플리케이션의 잘못된 코딩, 디자인 결함과 같은 취약점이 노출된 것이다. 또한, 급속한 API 경제 성장으로 인해 사이버 범죄자들이 취약점을 악용하고 비즈니스 로직을 남용할 기회도 많아졌다.

■ APJ 지역의 API 및 애플리케이션 보안: 위협, 규제 및 새로운 트렌드 탐색

2023년 1분기부터 2024년 1분기까지 APJ 지역에서는 API 및 애플리케이션에 대한 웹 공격이 급증해 2024년 6월에 48억 건의 공격으로 정점을 찍었다. 업계 중 금융 서비스 및 커머스 부문이 웹 공격을 가장 많이 받았다. 이러한 API 남용 문제는 기능 및 서비스에 대한 액세스를 제공하기 위해 이러한 게이트웨이에 점점 더 의존하는 기업에게 더 큰 문제가 되고 있다. 이번 보고서에 따르면 API 공격이 데이터 유출, 무단 액세스, 분산 서비스 거부(DDoS) 공격 등 다양한 형태로 발생할 수 있는 것으로 밝혀졌다.

■ 새로운 위협: 레이어 7 DDoS 공격과 소셜 미디어를 통해 선거에 미치는 영향

APJ 지역에서는 웹사이트와 온라인 서비스의 애플리케이션 레이어를 표적으로 하는 레이어 7 DDoS 공격이 지난 1년간 5배 증가해 해당 기간 총 5조 1000억 건의 공격이 발생했다. 이러한 공격은 웹사이트와 서비스에 요청을 폭증시켜 과부하를 일으켜 속도를 늦추거나 접속할 수 없게 만드는 것을 목표로 한다.

핵티비스트(Hacktivist)들은 선거 등 주요 정치 행사를 방해하고 소셜 미디어 플랫폼을 통해 유권자 여론을 조작하기 위해 DDoS 공격을 자주 사용한다. 이들은 주요 소셜 미디어 플랫폼에 정상적으로 보이는 대량의 웹 요청을 보내 서버에 과부하를 일으켜 후보자 정보, 유권자 등록 포털, 심지어 선거 결과 업데이트에 대한 액세스를 저지한다. 이는 투표율이나 선거 과정에 대한 대중의 인식에 직접적인 영향을 미친다.

올해 APJ 지역에 여러 선거 일정이 예정되어 있는 만큼 선거 관련 소셜 미디어 플랫폼과 웹사이트는 핵티비스트의 주요 표적이 될 수 있다. 따라서 정부와 기업은 강력한 DDoS 방어 체계를 수립하고 중요 인프라 보안을 강화하고 잠재적인 사이버 위협에 대해 대중을 교육하는 등 선제적인 조치를 취함으로써 사이버 보안 태세를 강화해야 한다.

보고서의 주요 내용은 다음과 같다.

▶2023년 1분기부터 2024년 1분기까지 웹 공격은 65% 증가했으며, 그 증가세는 다음 분기까지 계속됐다. APJ 지역에서는 호주(146억 건), 인도(120억 건), 싱가포르(107억 건)가 동기간 API 및 웹 애플리케이션 공격을 가장 많이 받았으며, 중국(43억 건), 일본(40억 건), 뉴질랜드(21억 건), 한국(16억 건), 홍콩(15억 건)이 그 뒤를 이었다.

▶2023년 4월부터 2024년 2월까지 소셜 미디어 업계는 레이어 7 DDoS 공격이 지속적으로 증가했다. APJ 지역은 웹 애플리케이션에 대한 위협 환경 측면에서 북미에 이어 2위를 차지했다. 싱가포르가 2조 9천억 건으로 가장 많은 공격을 받았으며, 인도(9천590억 건), 한국(5천440억 건), 인도네시아(2천600억 건), 중국(1천880억 건), 일본(830억 건), 호주(740억 건), 대만(500억 건)이 그 뒤를 이었다.

▶아카마이 연구원들은 하이테크, 커머스, 소셜 미디어를 레이어 7 DDoS 공격의 3대 표적 업계로 꼽았다. 2023년 4월부터 2024년 2월 동안 전 세계 기준 11조 건 이상, APJ 지역 기준 총 5조 1000억 건(5배 증가)에 달했다.

▶DDoS 공격은 인프라 및 애플리케이션 레이어의 모든 포트와 프로토콜을 통해 트래픽을 공격한다. 여기에는 DNS(Domain Name System)가 포함되며, 약 60%의 DDoS 공격에 DNS가 사용되는 것으로 나타났다.

▶커머스 업계는 API 및 웹 애플리케이션 공격을 가장 많이 받았으며, 다른 어떤 분야보다 두 배 이상 공격을 받았다. 커머스 다음으로 공격을 가장 많은 받은 분야는 하이테크 업계이다. APJ 지역에서도 금융 서비스 및 커머스 부문이 가장 많은 웹 공격을 받은 것으로 확인되어 이전 보고와 일치하는 추세가 이어진 것임을 알 수 있다.

▶LFI(Local File Inclusion), XSS(Cross-Site Scripting), SQLi (SQL injection), CMDi(Command injection), SSRF(Server-Side Request Forgery) 공격은 여전히 비즈니스 애플리케이션과 API를 표적으로 삼는 가장 널리 퍼진 공격 기법으로 확인되다.

루벤 코(Reuben Koh) 아카마이 APJ 지역 보안 기술 및 전략 디렉터는 “APJ 지역은 API와 애플리케이션을 노리는 웹 공격이 빈번하게 발생하고 있으며, 경제가 빠르게 디지털화되면서 이러한 트렌드는 더 심해지고 있다. 기업들이 시장 출시 기간에 대한 압박에 대응하기 위해 더 빠르게 온라인 운영 체제로 전환함에 따라 개발 및 보안 리소스가 더 압박을 받고 있으며, 이로 인해 보안 프로세스가 간과되는 경우가 발생한다. 따라서 특히 웹 공격이 집중되는 환경을 고려해 보안과 안정성을 강화하기 위해 강력한 모범 사례를 구축해야 한다”고 말했다.

루페시 초크시(Rupesh Chokshi) 아카마이 애플리케이션 보안 담당 수석 부사장 겸 총괄 매니저는 “애플리케이션과 API에 대한 공격이 점점 더 일반화되고 있으며 기업의 매출과 평판에 영향을 미칠 수 있다”며 “이번 보고서는 공격자가 애플리케이션과 API를 표적으로 삼는 방식에 대한 심층 분석과 관련 공격 방어 전략을 함께 제공한다”고 말했다.

이번 보고서에는 모바일 애플리케이션 사용자 동의에 대한 조언을 제공하는 보안 분석 내용을 포함해 유럽, 중동 및 아프리카(EMEA)와 아시아 태평양 및 일본(APJ) 지역에 특화된 데이터와 사례 연구를 제공한다.

한편, 올해는 아카마이 인터넷 현황 보고서(SOTI)가 발행된 지 10주년이 되는 해이다. SOTI 시리즈는 Akamai Connected Cloud에서 수집한 데이터를 기반으로 사이버 보안 및 웹 성능 환경에 대한 전문적인 인사이트를 제공한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★