웹과 앱을 노린 디도스, 제로데이 취약점, 쿠키 동의 위험, API에 대한 보안 위협 증가
[보안뉴스 김경애 기자] 웹과 앱을 노린 디도스 공격이 기승을 부린 것으로 나타났다. 또한 제로데이 취약점 공격과 쿠키 및 API에 대한 보안 위협이 갈수록 커지고 있다.
▲클라우드플레어에서 파악한 연도별 최대 HTTP DDoS 공격[자료=클라우드플레어]
클라우드플레어(Cloudflare)에서 발표한 보고서에 따르면 2023년 4월 1일부터 2024년 3월 31일까지 12개월 동안 공격 유형을 살펴본 결과 디도스 공격, 제로데이 취약점 공격, 쿠키 동의 위험, API 보안 위협이 두드러졌다.
1. HTTP 디도스 공격 기승
지난 2월과 3월에는 볼류메트릭 공격이 크게 증가했다. 앞서 2023년에는 초당 최대 요청 수(rps)가 2억 100만 건에 달한 대규모 볼류메트릭 디도스 공격이 발생했다. 이는 이전에 관찰된 그 어떤 공격보다도 3배 더 큰 규모다.
특히 ‘HTTP/2 Rapid Reset’ 공격에서 공격자는 인터넷과 모든 웹사이트의 작동 방식에 중요한 HTTP/2 프로토콜의 제로데이 취약점을 악용했다. HTTP/2를 지원하는 거의 모든 서버나 앱을 무력화시킬 수 있는 취약점 악용의 가능성은 보호되지 않은 조직에 디도스 취약점이 얼마나 위협적인지 보여주는 사례다.
HTTP/2 Rapid Reset과 기타 대규모 디도스 공격은 디도스 공격이 봇넷에 의해 더 효율적으로 시작되고 있는지 잘 보여준다. 예를 들어 다크웹 상의 사이버 범죄 그룹은 저렴한 가격으로 서비스형 DDoS를 제공하며, ‘구독 및 저장’ 번들과 지원 등급까지 제공한다.
특히, 앱 계층 HTTP 디도스 공격이 전년 대비 93%, 전 분기 대비 51% 증가했다. 2024년 3월 7일 NATO 동맹에 가입한 후, 스웨덴에 대한 디도스 공격이 466% 증가했다. 이는 2023년 핀란드의 NATO에 가입하는 동안 관찰된 디도스 패턴과 유사하다. 디도스 공격 자체의 규모도 증가 추세다.
서비스형 디도스 제공 사이트에서는 2023년 현재 한 시간 동안 지속되는 디도스 공격에 대해 10달러, 봇넷을 하루 종일 사용하는 데 35~170달러의 비용을 부과한다.
클라우드플레어에 따르면 전체 인터넷 트래픽에서의 점유율 중 L7 DDoS 공격을 경험한 산업 1위는 게임 및 도박으로 집계됐다. 2위는 IT 및 인터넷, 3위는 암호화폐, 4위는 컴퓨터 소프트웨어, 5위는 마케팅 및 광고, 6위는 통신, 7위는 리테일, 8위는 성인용 엔터테인먼트, 9위는 은행, 금융 서비스, 보험, 10위는 제조 분야로 조사됐다.
2. 제로데이 공격, CVE의 무기화
공개된 CVE의 무기화 속도와 함께 제로데이(zero-day) 익스플로잇(zero-day 위협이라고도 함)이 증가하고 있다. 2023년에는 97개의 제로데이가 외부 환경에서 익스플로잇됐다. 2022년에서 2023년 사이에 공개된 CVE의 수는 15% 증가했다. 2023년에는 5,000여 건의 취약점이 공개됐지만, 심각도가 매우 높은 웹 앱 취약점에 대한 패치를 릴리스하는 데 걸린 평균 시간은 35일이다.
CVE 악용 시도를 살펴보면, 스캐닝 활동을 가장 많이 관찰하고 명령 삽입이 그 뒤를 이었다. 온라인에서 PoC를 이용할 수 있는 Apache, Coldfusion, MobileIron의 취약점을 악용한 공격 시도를 일부 관찰됐다.
이러한 CVE 악용 시도 활동의 추세는 공격자들이 가장 쉬운 표적을 먼저 겨냥하고, 오래된 취약점에 대한 활동이 지속되고 있음을 고려할 때 일부 사례에서 성공할 가능성이 있음을 나타낸다.
공개된 CVE의 악용 속도는 사람이 WAF 규칙을 생성하거나 패치를 생성해 공격을 완화하는 속도보다 빠른 경우가 많다. 예를 들어, 클라우드플레어에서 3월 4일 19:45(UTC)에 CVE-2024-27198의 악용 시도를 관찰했을 때, 개념 증명 코드가 게시된 지 불과 22분이 지나서 공격이 시작됐다.
▲봇 트래픽 일일 점유율 중앙값이 가장 높은 산업[자료=클라우드플레어]
3. 봇 트래픽 동향
클라우드플레어에 따르면 봇은 평균적으로 전체 앱 트래픽의 1/3(31.2%)을 차지한다. 이 비율은 지난 3년간 상대적으로 일정하다(약 30% 선에서 유지됨).
봇의 대다수(93%)는 잠재적으로 악의적인 봇으로 파악됐다. 검증되지 않은 봇은 재고 사재기를 하거나 디도스 공격을 시작하거나 무차별 대입 또는 자격증명 스터핑을 통한 계정 탈취 시도와 같은 파괴적이고 유해한 목적으로 생성되는 경우가 많다.
봇 트래픽이 과도하게 몰리면 웹 서버에 큰 부하가 걸려 합법적인 사용자에 대한 서비스가 느려지거나 거부될 수 있다. 또한 웹사이트에서 콘텐츠를 스크래핑하거나 다운로드, 빠르게 스팸 콘텐츠를 퍼뜨리거나 온라인 재고 사재기를 할 수 있다. 뿐만 아니라 신용카드 데이터, 로그인 자격 증명 등을 훔치고 계정을 탈취할 수 있다.
봇을 이용하는 공격자는 높은 금전적 이득을 얻을 수 있는 산업에 주로 집중한다. 봇 트래픽이 많은 산업 1위는 제조·소비재 68.5%, 2위는 암호화폐 64.8%, 3위는 보안 및 조사 52.2%, 4위는 컴퓨터 및 네트워크 보안 48.2%, 5위는 미국 연방정부 45.9%, 이어 제약 43.4%, 연구 41.2%, 음악 39.1%, 원유 및 에너지 36.9%, 여가/여행/관광 35.7% 순으로 나타났다.
4. 클라이언트 측 위험
조직의 웹과 앱은 대부분 타사 공급자의 별도 프로그램이나 코드(일반적으로 JavaScript)에 의존한다. 타사 스크립트를 사용하면 최신 웹, 앱 개발이 가속화되고 조직에서는 사내에 새로운 앱 기능을 모두 구축하지 않고도 시장에 기능을 더 빠르게 제공할 수 있다.
하지만, 타사 소프트웨어 종속성은 최종 사용자의 브라우저에서 직접 로드되는 경우가 많아(즉, 클라이언트 측에서 로드됨) 조직에서 보안 조치를 직접 제어할 수 없다는 점을 고려할 때 조직과 기업이 위험에 처할 수 있다. 예를 들어, Verizon의 2024년 데이터 유출 조사 보고서에 따르면, 리테일 분야에서 모든 데이터 유출의 18%가 Magecart 유형 공격에서 비롯된다.
평균적으로 각 웹사이트에는 JavaScript 함수 및 해당 대상에 대한 연결이 49.6개 있고, 중앙값은 15다. 이러한 각 연결은 잠재적인 클라이언트 측 보안 위험도 초래한다.
주로 사용하는 주요 타사 연결은 Google(Analytics, Ads), Microsoft(Clarity, Bing, LinkedIn), Meta(Facebook Pixel), Hotjar, Kaspersky, Sentry, Criteo, tawk.to, OneTrust, New Relic, PayPal 등이다.
5. 쿠키 동의 위험
쿠키 사용 역시 보안 위험을 초래할 수 있다. 클라우드플레어가 조사한 바에 따르면 기업 웹 사이트에서는 11.5개의 쿠키를 사용했고 중앙값은 5개의 쿠키를 사용했다. 한 조직에서만 131개의 쿠키를 사용했다.
하지만 HTTP 쿠키 때문에 최종 사용자는 개인정보 위험에 노출될 수 있다. 쿠키는 웹사이트 방문자를 쿠키 변조와 같은 보안 위험에 노출시킬 수 있기 때문이다. 공격자는 계정 탈취와 사기를 목적으로 세션 하이재킹과 같은 공격 수행을 위해 클라이언트 측 쿠키를 수정한다. 이에 따라 웹과 앱의 소유자는 규제 준수와 법적 책임에 대한 영향은 물론 스크립트로 인해 최종 사용자가 노출될 수 있는 위험에 대한 책임이 커지고 있다.
6. 섀도우 API 위험
API 보안 위협도 거세지는 추세다. 인터넷 트래픽 절반 이상(58%)을 차지하는 API는 외부 이용자에게 앱에 대한 액세스 권한을 부여해 새로운 위험을 초래한다. 봇 운영자는 계정 생성, 양식 채우기, 결제 등의 워크플로우 뒤에 있는 API를 직접 공격해 자격 증명 등을 훔칠 수 있다. AI 모델의 API는 공격에 취약하다.
클라우드플레어는 “머신러닝 기반 검색을 통해 감지된 API 엔드포인트 수와 고객이 제공한 세션 식별자를 비교해 계산한 결과. API의 거의 1/3이 ‘섀도우 API’이며, 제대로 인벤토리화되고 보호되지 않을 수 있음을 시사한다”고 밝혔다.
클라우드플레어는 “증가하는 공격면을 보호하면서 복잡성을 줄이기 위해서는 사용자, 앱, API, 네트워크 전반에 대한 보호 기능을 클라우드 연결성을 통해 통합해야 한다”며 “클라우드 연결성은 웹과 앱, API 앞에 하나의 통합 보안 네트워크 배치로 규칙 집합, 노출된 자격 증명 확인, 기타 보안 조치를 이용해 광범위한 공격을 실시간으로 차단해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애 기자] 웹과 앱을 노린 디도스 공격이 기승을 부린 것으로 나타났다. 또한 제로데이 취약점 공격과 쿠키 및 API에 대한 보안 위협이 갈수록 커지고 있다.
▲클라우드플레어에서 파악한 연도별 최대 HTTP DDoS 공격[자료=클라우드플레어]
클라우드플레어(Cloudflare)에서 발표한 보고서에 따르면 2023년 4월 1일부터 2024년 3월 31일까지 12개월 동안 공격 유형을 살펴본 결과 디도스 공격, 제로데이 취약점 공격, 쿠키 동의 위험, API 보안 위협이 두드러졌다.
1. HTTP 디도스 공격 기승
지난 2월과 3월에는 볼류메트릭 공격이 크게 증가했다. 앞서 2023년에는 초당 최대 요청 수(rps)가 2억 100만 건에 달한 대규모 볼류메트릭 디도스 공격이 발생했다. 이는 이전에 관찰된 그 어떤 공격보다도 3배 더 큰 규모다.
특히 ‘HTTP/2 Rapid Reset’ 공격에서 공격자는 인터넷과 모든 웹사이트의 작동 방식에 중요한 HTTP/2 프로토콜의 제로데이 취약점을 악용했다. HTTP/2를 지원하는 거의 모든 서버나 앱을 무력화시킬 수 있는 취약점 악용의 가능성은 보호되지 않은 조직에 디도스 취약점이 얼마나 위협적인지 보여주는 사례다.
HTTP/2 Rapid Reset과 기타 대규모 디도스 공격은 디도스 공격이 봇넷에 의해 더 효율적으로 시작되고 있는지 잘 보여준다. 예를 들어 다크웹 상의 사이버 범죄 그룹은 저렴한 가격으로 서비스형 DDoS를 제공하며, ‘구독 및 저장’ 번들과 지원 등급까지 제공한다.
특히, 앱 계층 HTTP 디도스 공격이 전년 대비 93%, 전 분기 대비 51% 증가했다. 2024년 3월 7일 NATO 동맹에 가입한 후, 스웨덴에 대한 디도스 공격이 466% 증가했다. 이는 2023년 핀란드의 NATO에 가입하는 동안 관찰된 디도스 패턴과 유사하다. 디도스 공격 자체의 규모도 증가 추세다.
서비스형 디도스 제공 사이트에서는 2023년 현재 한 시간 동안 지속되는 디도스 공격에 대해 10달러, 봇넷을 하루 종일 사용하는 데 35~170달러의 비용을 부과한다.
클라우드플레어에 따르면 전체 인터넷 트래픽에서의 점유율 중 L7 DDoS 공격을 경험한 산업 1위는 게임 및 도박으로 집계됐다. 2위는 IT 및 인터넷, 3위는 암호화폐, 4위는 컴퓨터 소프트웨어, 5위는 마케팅 및 광고, 6위는 통신, 7위는 리테일, 8위는 성인용 엔터테인먼트, 9위는 은행, 금융 서비스, 보험, 10위는 제조 분야로 조사됐다.
2. 제로데이 공격, CVE의 무기화
공개된 CVE의 무기화 속도와 함께 제로데이(zero-day) 익스플로잇(zero-day 위협이라고도 함)이 증가하고 있다. 2023년에는 97개의 제로데이가 외부 환경에서 익스플로잇됐다. 2022년에서 2023년 사이에 공개된 CVE의 수는 15% 증가했다. 2023년에는 5,000여 건의 취약점이 공개됐지만, 심각도가 매우 높은 웹 앱 취약점에 대한 패치를 릴리스하는 데 걸린 평균 시간은 35일이다.
CVE 악용 시도를 살펴보면, 스캐닝 활동을 가장 많이 관찰하고 명령 삽입이 그 뒤를 이었다. 온라인에서 PoC를 이용할 수 있는 Apache, Coldfusion, MobileIron의 취약점을 악용한 공격 시도를 일부 관찰됐다.
이러한 CVE 악용 시도 활동의 추세는 공격자들이 가장 쉬운 표적을 먼저 겨냥하고, 오래된 취약점에 대한 활동이 지속되고 있음을 고려할 때 일부 사례에서 성공할 가능성이 있음을 나타낸다.
공개된 CVE의 악용 속도는 사람이 WAF 규칙을 생성하거나 패치를 생성해 공격을 완화하는 속도보다 빠른 경우가 많다. 예를 들어, 클라우드플레어에서 3월 4일 19:45(UTC)에 CVE-2024-27198의 악용 시도를 관찰했을 때, 개념 증명 코드가 게시된 지 불과 22분이 지나서 공격이 시작됐다.
▲봇 트래픽 일일 점유율 중앙값이 가장 높은 산업[자료=클라우드플레어]
3. 봇 트래픽 동향
클라우드플레어에 따르면 봇은 평균적으로 전체 앱 트래픽의 1/3(31.2%)을 차지한다. 이 비율은 지난 3년간 상대적으로 일정하다(약 30% 선에서 유지됨).
봇의 대다수(93%)는 잠재적으로 악의적인 봇으로 파악됐다. 검증되지 않은 봇은 재고 사재기를 하거나 디도스 공격을 시작하거나 무차별 대입 또는 자격증명 스터핑을 통한 계정 탈취 시도와 같은 파괴적이고 유해한 목적으로 생성되는 경우가 많다.
봇 트래픽이 과도하게 몰리면 웹 서버에 큰 부하가 걸려 합법적인 사용자에 대한 서비스가 느려지거나 거부될 수 있다. 또한 웹사이트에서 콘텐츠를 스크래핑하거나 다운로드, 빠르게 스팸 콘텐츠를 퍼뜨리거나 온라인 재고 사재기를 할 수 있다. 뿐만 아니라 신용카드 데이터, 로그인 자격 증명 등을 훔치고 계정을 탈취할 수 있다.
봇을 이용하는 공격자는 높은 금전적 이득을 얻을 수 있는 산업에 주로 집중한다. 봇 트래픽이 많은 산업 1위는 제조·소비재 68.5%, 2위는 암호화폐 64.8%, 3위는 보안 및 조사 52.2%, 4위는 컴퓨터 및 네트워크 보안 48.2%, 5위는 미국 연방정부 45.9%, 이어 제약 43.4%, 연구 41.2%, 음악 39.1%, 원유 및 에너지 36.9%, 여가/여행/관광 35.7% 순으로 나타났다.
4. 클라이언트 측 위험
조직의 웹과 앱은 대부분 타사 공급자의 별도 프로그램이나 코드(일반적으로 JavaScript)에 의존한다. 타사 스크립트를 사용하면 최신 웹, 앱 개발이 가속화되고 조직에서는 사내에 새로운 앱 기능을 모두 구축하지 않고도 시장에 기능을 더 빠르게 제공할 수 있다.
하지만, 타사 소프트웨어 종속성은 최종 사용자의 브라우저에서 직접 로드되는 경우가 많아(즉, 클라이언트 측에서 로드됨) 조직에서 보안 조치를 직접 제어할 수 없다는 점을 고려할 때 조직과 기업이 위험에 처할 수 있다. 예를 들어, Verizon의 2024년 데이터 유출 조사 보고서에 따르면, 리테일 분야에서 모든 데이터 유출의 18%가 Magecart 유형 공격에서 비롯된다.
평균적으로 각 웹사이트에는 JavaScript 함수 및 해당 대상에 대한 연결이 49.6개 있고, 중앙값은 15다. 이러한 각 연결은 잠재적인 클라이언트 측 보안 위험도 초래한다.
주로 사용하는 주요 타사 연결은 Google(Analytics, Ads), Microsoft(Clarity, Bing, LinkedIn), Meta(Facebook Pixel), Hotjar, Kaspersky, Sentry, Criteo, tawk.to, OneTrust, New Relic, PayPal 등이다.
5. 쿠키 동의 위험
쿠키 사용 역시 보안 위험을 초래할 수 있다. 클라우드플레어가 조사한 바에 따르면 기업 웹 사이트에서는 11.5개의 쿠키를 사용했고 중앙값은 5개의 쿠키를 사용했다. 한 조직에서만 131개의 쿠키를 사용했다.
하지만 HTTP 쿠키 때문에 최종 사용자는 개인정보 위험에 노출될 수 있다. 쿠키는 웹사이트 방문자를 쿠키 변조와 같은 보안 위험에 노출시킬 수 있기 때문이다. 공격자는 계정 탈취와 사기를 목적으로 세션 하이재킹과 같은 공격 수행을 위해 클라이언트 측 쿠키를 수정한다. 이에 따라 웹과 앱의 소유자는 규제 준수와 법적 책임에 대한 영향은 물론 스크립트로 인해 최종 사용자가 노출될 수 있는 위험에 대한 책임이 커지고 있다.
6. 섀도우 API 위험
API 보안 위협도 거세지는 추세다. 인터넷 트래픽 절반 이상(58%)을 차지하는 API는 외부 이용자에게 앱에 대한 액세스 권한을 부여해 새로운 위험을 초래한다. 봇 운영자는 계정 생성, 양식 채우기, 결제 등의 워크플로우 뒤에 있는 API를 직접 공격해 자격 증명 등을 훔칠 수 있다. AI 모델의 API는 공격에 취약하다.
클라우드플레어는 “머신러닝 기반 검색을 통해 감지된 API 엔드포인트 수와 고객이 제공한 세션 식별자를 비교해 계산한 결과. API의 거의 1/3이 ‘섀도우 API’이며, 제대로 인벤토리화되고 보호되지 않을 수 있음을 시사한다”고 밝혔다.
클라우드플레어는 “증가하는 공격면을 보호하면서 복잡성을 줄이기 위해서는 사용자, 앱, API, 네트워크 전반에 대한 보호 기능을 클라우드 연결성을 통해 통합해야 한다”며 “클라우드 연결성은 웹과 앱, API 앞에 하나의 통합 보안 네트워크 배치로 규칙 집합, 노출된 자격 증명 확인, 기타 보안 조치를 이용해 광범위한 공격을 실시간으로 차단해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
