악의적인 행위자가 공격을 통해 애플리케이션을 악용하는 방법
오늘날 많은 애플리케이션은 작은 컨테이너 클러스터로 구축되어 여러 다른 위치에 배포됩니다. 이러한 분산형 접근 방식은 성능과 복원력을 모두 향상시킵니다. 하지만 이로 인해 앱을 보호하는 것이 어렵고 복잡해집니다.
그 사이, 애플리케이션과 그 생태계에 대한 공격은 더욱 만연하고 정교해졌습니다.
사이버범죄자들은 애플리케이션 취약점을 정기적으로 악용하여 많은 보안 제어를 쉽게 우회합니다. 조직들이 더욱 경계하고 진화하는 위협에 대한 회복력을 키우려고 함에 따라, 사이버 범죄자들이 앱을 어떻게 생각하고 운영하고 악용하는지 이해하는 것이 필요합니다.
사이버 범죄자들은 돈을 따라간다
공격자 자신들이 기술적으로 능숙할 필요는 없습니다. 그들이 사용하고 일상적으로 서로 공유하는 무료 도구와 서비스가 많이 있기 때문입니다.
그들의 심리는 대개 돈을 따르는 것입니다. 디지털 경제에서 이는 웹 및 모바일 애플리케이션을 표적으로 삼아 취약점을 악용하고 앱 로직을 남용해 액세스 권한을 얻는 것을 의미합니다.
사이버범죄자들은 지속적으로 애플리케이션의 취약점을 스캔하고 열려 있거나 취약한 애플리케이션 게이트웨이를 찾습니다. 다음은 세 가지 일반적인 공격 유형입니다(대상의 정교함과 잠재적 가치에 따라 오름차순으로 정렬):
- 일반적인 공격은 OWASP Top 10 에 명시된 것과 같은 알려진 취약점을 노립니다.
- 제로데이 공격은 알려지지 않았거나 예상되지 않은 취약점을 표적으로 삼습니다.
- 최첨단 지속 공격은 국가가 지원하는 정교한 캠페인일 수도 있습니다.
사이버 공격은 웹과 모바일 애플리케이션뿐만 아니라 서버 인프라, 데이터, 장치도 타깃으로 한다는 점도 주목할 만합니다. 이 블로그에서는 애플리케이션에 초점을 맞추고, 이제 좀 더 일반적인 공격에 대해 좀 더 자세히 살펴보겠습니다.
응용 프로그램은 타겟이 풍부합니다
공격자는 애플리케이션을 악용합니다. 애플리케이션은 사이버범죄자들이 무기화하고 이익을 얻기 위해 사용할 수 있는 엄청난 양의 귀중한 데이터에 대한 진입점이기 때문입니다.
해커가 노리는 영역에는 애플리케이션 코드 자체, 앱이 있는 서버 인프라, 앱에 추가 기능을 제공하는 애드온(예: 코드 라이브러리나 플러그인)이 포함됩니다.
F5 Labs의 2022년 애플리케이션 보호 보고서 에 따르면 피싱, 자격 증명 스터핑, 주입 공격을 포함한 액세스 관련 침해가 주요 공격 벡터로, 모든 웹앱 침해의 약 25%를 차지합니다. 그 다음으로는 웹 앱 침해의 24%를 차지하는 악성 소프트웨어입니다. 앞서 언급했듯이, 이러한 앱 공격의 목적은 가능한 가장 쉬운 방법으로 사용자의 가장 귀중한 데이터에 접근하는 것입니다.
애플리케이션 공격의 파괴적인 영향
기본적인 주입 공격의 일반적인 시나리오를 빠르게 살펴보겠습니다. 공격자는 자동화된 정찰 스캔 세트를 시작하여 봇을 활용하여 규모를 확보하고 취약점을 찾는 것으로 시작됩니다.
- 공격자는 애플리케이션에서 보안되지 않은 게이트나 액세스 포인트 등의 개방형 부분을 식별합니다.
- 그런 다음 해당 취약점을 악용하여 악성 코드(맬웨어)를 삽입하여 원격으로 명령을 실행할 수 있는 환경을 구축합니다.
- 악성 코드가 실행되면 공격자는 더 깊은 침투, 지휘 및 제어, 정찰 또는 간첩 활동, 도난을 목적으로 추가 접근 권한을 얻는 방법을 찾을 가능성이 높습니다.
- 앱과 기본 데이터가 손상되었습니다.
위의 시나리오는 놀라울 정도로 간단합니다. 주입 공격은 훨씬 더 정교하고 위협적인 경우가 많습니다. 공격자가 앱의 모든 데이터를 삭제하는 명령을 주입해 디지털 제품이나 서비스가 완전히 중단되는 상황을 상상해 보세요. 혹은 신용카드 데이터베이스 테이블을 노출시키는 명령이 있다고 상상해보세요.
이런 종류의 공격은 파괴적인 결과를 초래할 수 있습니다. 앱 중단은 수익과 평판 손실을 초래할 수 있으며, 복구 비용으로 수백만 달러의 비용이 듭니다. 소비자 입장에서는 나쁜 사용자 경험을 겪을 수도 있고, 더 나쁜 경우 개인 정보가 도용될 수도 있습니다.
다른 일반적인 공격 유형 이해
공격자가 애플리케이션에 침투한 후에는 웹 앱을 통해 브라우저의 취약점을 악용하는 경우가 많습니다. 목표는 후속 계정 인수를 위해 사용자의 자격 증명을 훔치는 것일 수도 있고, 실시간으로 사용자의 세션을 직접 인수하는 것일 수도 있습니다.
또한 피해자의 브라우저에서 악성 코드를 실행하여(종종 폼재킹이라고 함) 진짜 사용자에게서 온 것처럼 보이는 거짓 요청을 제출할 수도 있습니다. 이는 개인(사기성 계좌 개설이나 신용 신청에 신원이 사용됨)과 조직(손실을 흡수해야 하는 경우가 많음) 모두에게 심각한 영향을 미칠 수 있습니다. 따라서 모든 사람이 피싱 시도로부터 자신을 보호하고 개인적인 용도든 업무적인 용도든 비밀번호를 절대로 재사용하지 않는 것이 중요합니다.
널리 사용되는 또 다른 공격은 자동화되고 봇이 전달하는 요청으로 애플리케이션에 과부하를 유발하고 애플리케이션을 느리게 하거나, 더 나쁜 경우 비효율적으로 만드는 서비스 거부(DoS) 입니다. 여러 대의 컴퓨터에서 발생하는 분산 서비스 거부(DDoS) 공격(봇넷이라고 함)은 일반적으로 더욱 효과적입니다. 봇넷의 노드(또는 컴퓨터)는 악성 소프트웨어에 감염된 소비자 기기인 경우가 많습니다. 이는 악성 소프트웨어 및 기타 사이버 공격으로부터 장치를 보호하는 것이 얼마나 중요한지를 보여줍니다.
사이버 범죄자의 동기와 공격 접근 방식은 다양하지만 이러한 일반적인 공격 유형과 예방 방법에 대한 기본적인 이해가 도움이 될 수 있습니다.
사이버 방어에는 모든 사람이 각자의 역할을 해야 합니다. 아래 영상에서는 악의적인 행위자들이 애플리케이션을 악용하는 데 일반적으로 사용하는 피싱, 스미싱 및 일반적인 사회 공학적 전술로부터 보호하는 방법에 대한 몇 가지 중요한 사항을 공유합니다.
사이버보안 인식의 달을 기념하는 4부작 시리즈의 다음 편에서는 F5가 어떻게 귀하의 계정을 사기로부터 보호하는지 자세히 살펴보겠습니다.
1부: 현대적 애플리케이션이 어떻게 구축되고 배포되는지
2부: (현재 보고 있는 중)