[디지털데일리 이종현기자] 아카마이는 29일 ‘2020년 인터넷 현황 보고서: 리테일 및 호텔 업계의 로열티 프로그램을 겨냥한 사기 범죄’를 발표했다. 2018년 7월부터 2020년 6월까지 리테일·여행·호텔 업계를 대상으로 한 크리덴셜 스터핑 공격은 약 630억건에 달한다.
스티브 레이건 아카마이 보안 연구원은 “공격자는 접근할 수 있는 정보라면 어떤 식으로든 이용한다. 이는 지난 몇 년간 크리덴셜 스터핑 공격이 많이 발생하는 이유”라며 “리테일 및 로열티 프로필은 많은 양의 개인정보와 재무정보를 포함한다. 이 데이터는 수집, 판매, 거래되거나 추후 신원 도용과 같은 범죄에 사용되는 대규모 프로필 정보로 저장될 수 있다”고 말했다.
공격자들은 2020년 1분기 코로나19로 인한 봉쇄기간 동안 전 세계적인 이례적 상황과 유출된 비밀번호 조합 목록을 이용해 커머스 업계를 공격 대상으로 삼았다.
이 기간 동안 공격자는 새로운 취약 계정을 알아내기 위해 오래된 인증정보 목록을 재활용하며 로열티 프로그램과 관련된 범죄 인벤토리 및 판매가 크게 증가했다.
아카마이는 2018년 7월부터 2020년 6월까지 모든 업계에 걸쳐 1천억 건 이상의 크리덴셜 스터핑 공격을 관측했다. 이중 리테일·여행·호텔 업계를 포함한 커머스 부문에서는 638억2864만2449건의 크리덴셜 스터핑을 확인했다. 커머스 부문에서 발생한 공격 중 90% 이상이 리테일 업계를 대상으로 한 공격이다.
공격자는 SQL 인젝션, 로컬 파일 인클루전(LFI) 공격도 감행했다. 동기간 커머스 부문에 43억7571만1860건의 웹 공격이 이뤄졌다. 이 공격은 전체 웹 공격의 41%를 차지했고 이중 83%가 리테일 업계를 집중 겨냥했다.
로열티 프로그램에 필요한 요소와 프로그램 활용을 위해 사람들이 제공하는 정보를 고려하면 공격자는 계정 탈취부터 직접적인 신원 도용에 이르기까지 수많은 범죄 사업에 필요한 모든 정보를 얻을 수 있는 셈이다. 상품 판매자, 항공사, 호텔 체인에 대한 개인의 충성도는 판매할 수 없겠지만 충성도를 높이기 위한 프로그램 관련 계정 정보는 실제로 판매될 가능성이 높다.
레이건 연구원은 “모든 기업은 팬데믹, 경쟁사, 활동적이고 지능적인 공격자 등 외부 요소에 빠르게 적응해야 한다”며 “대표적인 로열티 프로그램 중 휴대폰 번호와 숫자로 된 비밀번호만 요구하는 경우도 있고 쉽게 얻을 수 있는 정보를 인증 수단으로 사용하는 프로그램도 있다. API 및 서버 리소스를 겨냥한 공격을 막기 위해 신원 정보 관리 개선과 대책 마련이 시급하다”고 강조했다.