신원 위협의 정량화: 인증 요청의 5분의 1이 악의적인 경우

F5 Labs의 연구에 따르면 인증 요청의 19.4%가 크리덴셜 스터핑 공격에 의한 것일 가능성이 높습니다;

완화 조치는 유행을 3분의 2 이상 감소시키지만 후속 공격의 정교함을 증가시킵니다;

도난된 인증정보의 75%는 출처를 알 수 없는 출처에서 발생합니다.

시애틀 - 인증 요청의 5분의 1이 악의적인 자동화 시스템에서 발생하는 등 디지털 ID가 사이버 보안의 전쟁터가 되고 있다는 F5 Labs의 새로운 연구 결과가 발표되었습니다.

그리고 2023 신원 위협 보고서: 패치 불가능 은 2022년 3월부터 2023년 4월까지 159개 조직의 시스템에서 발생한 3,200억 건의 데이터 트랜잭션을 분석했습니다. 

완화 조치를 취하지 않은 경우, 인증정보 스터핑의 강력한 지표인 자동화 비율은 평균 19.4%였습니다. 악성 트래픽을 선제적으로 완화했을 때 악성 트래픽은 3분의 2 이상 감소하여 6%까지 감소했습니다.  

크리덴셜 스터핑 공격은 공격자가 한 시스템에서 훔친 사용자 이름과 비밀번호를 활용하여 다른 시스템을 침해하는 것을 의미합니다. 자동화된 도구는 공격자가 공격 시도 횟수를 극대화할 수 있게 해주는 핵심 요소입니다.

"디지털 신원은 오랫동안 공격자들의 우선 순위였으며, 인간이 아닌 신원의 보급이 증가함에 따라 위협이 증가하고 있습니다."라고 F5 Labs의 위협 연구 에반젤리스트인 샌더 빈버그는 말합니다. "저희의 연구는 디지털 신원이 공격받고 있는 정도와 효과적인 방어의 중요성을 보여줍니다. 중요한 것은 보호 장치가 마련되면 악성 자동화 사용이 즉시 낮은 수준으로 감소하고 공격자가 더 쉬운 표적을 찾아 포기하는 경향이 있다는 일관된 패턴을 발견했다는 것입니다."

완화: 이전과 이후

이 연구의 핵심 부분은 인증정보 스터핑 공격에 대한 완화 조치의 영향을 조사하는 것이었습니다. 이로 인해 공격자의 행동이 바뀌고 악의적인 자동화 사용이 감소하는 경향이 있었습니다. 

F5 Labs는 방어 기능이 없는 경우 웹보다 모바일 엔드포인트에 대한 공격이 더 많이 발생한다는 사실을 발견했습니다. 완화 조치가 도입된 후 모바일 공격의 감소폭이 더 컸으며, 이후 더 많은 공격이 웹 엔드포인트를 통해 발생했습니다.

완화 조치는 공격의 정교함에도 영향을 미쳤습니다.

보호되지 않은 인증 엔드포인트에 대한 악성 트래픽의 64.5%는 사람의 행동을 모방하거나 봇 보호에 대응하려는 시도가 없는 '기본' 공격으로 분류되었습니다. 이러한 공격의 비율은 완화 조치가 시행된 후 44%로 크게 감소했습니다.

반면, 안티봇 솔루션을 변조하려는 '중간 단계' 공격은 방어 솔루션 배포 후 12%에서 27%로 증가했습니다. 마우스 움직임, 키 입력, 화면 크기 등 인간 사용자의 브라우징을 면밀히 모방할 수 있는 도구를 사용하는 지능형 공격이 20%에서 23%로 증가했습니다. 

"우리의 분석에 따르면 많은 공격자들이 보호 기능이 구현되면 그냥 넘어가는 것으로 나타났습니다."라고 빈버그는 말합니다. "완화 조치가 적용된 시스템을 지속적으로 표적으로 삼는 공격자들은 인간의 행동을 면밀히 모방하거나 자신의 활동을 감추기 위해 더 열심히 노력하는 도구를 활용하면서 더 단호하고 정교해졌습니다. 

"예를 들어, 516,000건의 요청에서 513,000건의 고유한 사용자 상호작용을 에뮬레이트한 공격이 관찰되었는데, 이는 1% 미만의 인스턴스에서 식별 가능한 기능을 재활용한 것이었습니다. 가장 정교한 공격의 경우 악성 행위를 식별하고 새로운 시그니처를 생성하기 위해 수동 관찰이 필요한 경우도 있습니다."

수비수를 위한 도전 과제

F5 랩은 또한 손상된 인증정보의 공급망도 조사했습니다. 걱정스럽게도 수비수들의 가시성이 생각보다 훨씬 떨어지는 것으로 나타났습니다. 공격 중에 제출된 인증정보의 75%는 이전에 유출된 적이 없는 것으로 밝혀졌습니다.

또한, 방어자들은 완화 조치를 극복하기 위해 고안된 신원 위협에 대응해야 합니다. 예를 들어, 조직은 인증 요청의 성공률이 비정상적으로 낮은 경우 크리덴셜 스터핑 공격을 모니터링하려고 할 수 있습니다. 연구 결과, 공격자들은 '카나리아' 계정을 통해 이에 적응한 것으로 나타났습니다. 이러한 기능에 지속적으로 액세스하여 전체 성공률을 인위적으로 높일 수 있습니다. 한 예로, 크리덴셜 스터핑 캠페인은 이러한 목적으로 같은 주에 동일한 카나리아 계정에 3,700만 번 로그인했습니다.

F5 Labs의 또 다른 주요 분석 분야인 피싱 공격의 경우, 대응책 마련을 위한 노력이 강화되고 있다는 증거가 다시 한 번 분명하게 나타났습니다. 특히, 멀티팩터 인증의 사용이 증가하면서 공격자가 가짜 로그인 페이지를 만들어 사용자의 자격 증명을 입력하도록 유도하는 리버스 프록시 피싱이 증가하고 있습니다. 

또한 공격자들은 안티레드와 같은 탐지 회피 기능을 점점 더 많이 사용하고 있습니다. 이는 잠재적으로 안전하지 않은 사이트를 발견하면 사용자에게 위험 신호 메시지를 표시하는 Google 세이프 브라우징과 같은 브라우저 기반 피싱 분석을 극복하기 위해 고안된 JavaScript 도구입니다.

새로운 위협의 등장

F5 랩은 지속적으로 진화하는 환경을 배경으로 새로운 세대의 위협이 어떻게 등장하고 있는지 관찰했습니다. 

일례로, 2022년 8월 다크웹에서 인공지능을 사용하여 피싱 전화를 자동화하는 보이스피싱 시스템을 홍보하는 광고가 발견되었습니다. AI의 정교함이 높아지고 비용이 감소함에 따라 이러한 접근 방식은 시간이 지남에 따라 더욱 보편화되고 효과적이 될 것입니다.

"앞으로 ID 공급업체는 크리덴셜 스터핑과 같은 악의적인 자동화를 완화하기 위해 안티봇 솔루션을 도입해야 합니다. 간단한 봇 방지 솔루션으로도 정교하지 않은 크리덴셜 스터핑을 상당 부분 완화할 수 있습니다."라고 빈버그는 덧붙였습니다.

"조직은 WebAuthn 또는 FIDO2 프로토콜 기반 솔루션과 같은 암호화 기반 MFA 솔루션을 사용하여 방어를 더욱 강화할 수 있습니다. 궁극적으로 ID 기반 공격에 대응할 수 있는 해결책은 없습니다. 방어자는 공격을 모니터링 및 탐지하고, 탐지 오류율을 정량화하며, 그에 따라 적절히 대응해야 합니다. 이러한 공격과 끊임없이 변화하는 공격의 특성을 더 많이 연구할수록 사용자가 액세스하기 위해 신원을 증명해야 하는 모든 시스템에 내재된 취약점의 위험을 더 잘 관리할 수 있습니다."