끊임없이 증가하는 맬웨어 위협에 대한 웹 사기 솔루션
소개
인터넷은 전 세계를 혁신하고 있습니다. 아시아 태평양 지역의 인터넷 보급률은 평균 36%이고, 뉴질랜드는 91%, 싱가포르는 81% 수준입니다. 은행 부문도 이러한 추세에서 벗어나지 않고 디지털화되고 있습니다. 맥킨지 조사에 따르면 디지털 뱅킹 소비자는 아시아 전역에서 7억 명이 넘는 고객을 보유하고 있습니다.
아래 차트는 맥킨지앤컴퍼니가 등록한 아시아 지역 디지털 뱅킹의 침투율을 보여줍니다.
디지털 뱅킹이 널리 도입되면서 사기꾼들은 돈을 따라갔고 금융 기관은 사이버 공격의 주요 표적이 되었습니다. Websense Security Lab의 보고서에 따르면, 금융 서비스 기관에 대한 평균 공격 수는 다른 산업의 회사보다 4배 더 높습니다. 또한 공격은 어떤 특정 지역에만 국한되지 않고 전 세계로 퍼져나갑니다. 아래 차트는 카스퍼스키 2015 보고서에 따라 공격을 받은 사용자 비율을 기준으로 상위 10개국을 나열한 것으로, 아시아 태평양 지역이 활동이 가장 활발한 지역임을 명확히 보여줍니다.
보안 위협에도 불구하고 디지털 뱅킹 시대는 계속될 것입니다. 이 글에서는 은행 채널을 표적으로 삼는 공격을 방해하기 위해 사용할 수 있는 완화 전략과 옵션에 대해 논의합니다.
위협에 대한 심층 분석
모든 금융 기관은 자사의 디지털 자산을 보호하기 위해 상당한 노력을 기울이고 있으며, 사내 또는 클라우드에 있는 데이터 센터를 보호하기 위해 기술에 상당한 투자를 하고 있습니다. 철저한 방어 체계를 갖추고 있어 왕관에 씌운 보석은 여러 겹의 보안 장치로 보호되어 침입이 어렵습니다. 크래커는 방어선을 돌파하기 위해 제로데이를 발견하고 더욱 정교한 기술을 개발해야 합니다. 반면, 이러한 디지털 서비스에 접속하는 데 사용되는 엔드포인트는 보호가 거의 없거나 전혀 없습니다. 사용자 기기의 보안은 오래된 운영 체제, 바이러스 백신 부족, 드라이브바이 다운로드 감염 등으로 인해 취약할 수 있습니다. 이를 통해 해커들은 디지털 시대의 앱 중심 세계에서 시스템을 감염시키고 보안을 약화시킬 수 있는 다양한 옵션을 얻게 됩니다. 사이버범죄자들은 이러한 피해를 입히려면 컴퓨터 전문가가 될 필요가 없습니다. 감염시키고 훔치는 솔루션은 지하시장의 소프트웨어로 제공됩니다.
최신 맬웨어가 활용하는 도구 세트
벡터 |
설명 |
폼 그래빙 및 키 로거 |
폼 그래버는 사용자가 요청을 제출하기 전에 HTML 폼 요소에서 민감한 데이터를 캡처합니다.
키로거는 키 입력을 수신하고 도난을 방지하기 위해 데이터를 기록합니다.
|
RAT & 백 커넥트 |
이는 시스템에 대한 원격 운영자 제어 기능을 제공하는 원격 관리 도구입니다. 악성 RAT는 트로이 목마로 사용자 장치에 침투하여 장치의 보안 소프트웨어에서 자신을 숨깁니다. |
중간의 남자 |
MITM에서 공격자는 브라우저와 서버 간에 메시지를 전송하여 그 사이를 변경하여 기밀 정보를 훔치거나 세션을 하이재킹합니다. |
브라우저 속의 남자 |
MITB 공격은 사용자와 호스트 서버 모두에게 보이지 않는 웹 페이지와 거래 내용을 은밀하게 수정합니다. |
모바일 맬웨어 |
SMS(일회용 비밀번호 사용 불가능)를 훔치고, 기기의 DNS를 손상시켜 기밀 정보가 유출되는 것을 방지하기 위해 배포된 트로이 목마입니다. |
맬웨어 이해
최신 맬웨어는 도난을 목적으로 작성됩니다. 정교한 맬웨어 중 하나인 Dyre의 작동 방식을 살펴보겠습니다.
- 피해자의 컴퓨터는 스팸 캠페인으로 인해 감염되었습니다.
- 일단 악성 프로그램이 활성화되면 브라우저에 연결되어 사용자가 금융 사이트에 접속하려고 시도하고 로그인 자격 증명을 캡처합니다. 2차 인증 및 추가적인 위험 기반 인증을 방해하기 위해 맬웨어는 추가 정보가 필요한 HTML 콘텐츠를 표시합니다.
- 캡처된 모든 콘텐츠는 공격자가 자격 증명을 사용할 수 있는 드롭 존으로 전송됩니다.
위협보다 앞서 나가기
최신 맬웨어의 위협을 완화하고 통제하기 위해 기업에서는 이를 탐지하고 차단할 수 있는 기술을 도입해야 합니다. 다음 표는 몇 가지 일반적인 원칙을 보여줍니다.
원칙 |
정의 |
맬웨어 사기 감지
|
머신에서 실행 중인 맬웨어 감지 |
피싱 보호
|
원본 웹사이트에서 복사한 사기성 웹사이트의 복사 및 삭제를 보호합니다. |
애플리케이션 수준 암호화
|
사용자가 조직에 전송하는 중요 정보가 브라우저에 있는 동안 가로채는 것을 방지합니다.
|
거래 보호
|
다층 거래 확인 및 위험 평가를 통해 사기 거래 및 의심스러운 활동으로부터 보호하세요.
|
장치 및 행동 분석
|
사기성 지불 및 이체를 방지하기 위해 스크립트 및 봇이 시작한 자동 거래와 실제 사용자를 구별합니다.
|
모바일 앱 보안
|
맬웨어 및 탈옥된 장치를 감지하고 MiTM, 키로거 및 사기성 애플리케이션으로부터 보호하며 공격자에게 정보가 쓸모없게 처리되도록 보장합니다.
|
선과 악 사이에서 끊임없이 쫓고 쫓기고 있습니다. 기술은 최신 맬웨어를 물리치기 위해 끊임없이 변화하고 있습니다. 이 기술은 대체로 에이전트 기반 솔루션과 에이전트 없는 솔루션으로 분류될 수 있습니다.
|
에이전트 기반 |
에이전트 없는 솔루션 |
하이브리드 솔루션 |
정의 |
솔루션은 공격 시그니처를 찾는 데스크톱에서 실행되는 에이전트와 함께 제공됩니다. |
솔루션은 JavaScript를 사용하여 공격 시그니처를 감지하는 웹 기술을 통해 제공됩니다. |
데스크톱에서 실행되는 에이전트와 JavaScript의 조합이 애플리케이션과 함께 제공됩니다. |
힘 |
에이전트는 데스크톱에서 권한으로 실행되며 공격을 감지하고 완화할 수 있는 기능을 갖추고 있습니다. |
클라이언트가 없는 배포로 더 넓은 범위를 커버할 수 있습니다. 보호 커버는 켜지는 순간 제공되므로 사용자가 활성화/설치할 필요가 없습니다. |
에이전트 솔루션과 에이전트리스 솔루션의 장점을 모두 제공하는 조합 |
배포 |
대량 출시가 필요합니다 |
클라이언트 측에 배포가 필요하지 않습니다. |
에이전트 솔루션에 대한 롤아웃이 필요합니다. |
적용 범위 |
적용 범위는 에이전트가 설치된 데스크톱에 액세스하는 사용자에게만 적용됩니다. |
모든 기계에서 오는 사용자를 포함합니다 |
모든 기계에서 오는 사용자를 포함합니다 |
도전 과제 |
배포와 대량 출시에는 도입 문제가 있습니다.
다양한 운영 체제 지원도 문제를 더욱 심화시킵니다.
|
문제 완화/맬웨어 제거가 불가능합니다. |
일반적으로 에이전트 없는 배포에서 제공하는 보호 기능은 탐지 및 경고와 관련된 대부분의 시나리오를 포함하므로 비용이 더 많이 듭니다.
|
결론
금융 분야를 공격하여 큰 이익을 얻는 시대에, 각 기관은 위협을 인식하고 악성 소프트웨어가 재정적, 브랜드 이미지를 손상시키는 것을 막기 위해 최선을 다해야 합니다.
리소스
- F5 사기 방지 솔루션
- 아시아의 디지털 뱅킹: 소비자가 정말 원하는 것은 무엇인가
- 2015년 1분기 기준 아시아 태평양 지역의 인터넷 보급률