글로벌 보안 기업 아카마이가 ‘2020년 인터넷 보안 현황 보고서: 리테일 및 호텔 업계의 로열티 프로그램을 겨냥한 사기 범죄’를 통해, 2018년 7월부터 2020년 6월 사이 리테일·여행·호텔 업계를 대상으로 약 630억 건의 크리덴셜 스터핑 공격이 발생했다고 밝혔다.
크리덴셜 스터핑 공격은 해커가 이전에 훔쳐 확보한 개인 정보를 다른 웹사이트의 로그인 시스템에 자동화 툴을 활용, 마구 대입하는 것을 뜻한다. 아카마이는 2018년 7월부터 2020년 6월까지 모든 업계에 걸쳐 1천억 건 이상의 크리덴셜 스터핑 공격을 관측했다.
보고서에 따르면, 공격자들은 2020년 1분기 코로나19로 인한 봉쇄 기간 동안 전 세계적인 이례적 상황과 유출된 비밀번호 조합 목록을 이용해 커머스(commerce) 업계를 공격한 것으로 나타났다.
이 기간 동안 공격자가 새로운 취약 계정을 알아내기 위해 오래된 인증정보 목록을 재활용하기 시작하면서 로열티 프로그램과 관련된 범죄 인벤토리 및 판매가 크게 증가했다는 설명이다.
리테일·여행·호텔 업계를 포함하는 커머스 부문에서는 638억 2864만 2449건의 크리덴셜 스터핑을 확인했다. 커머스 부문에서 발생한 공격 중 90% 이상이 리테일 업계를 대상으로 발생했다.
리테일, 여행, 호텔 업계 공격에 크리덴셜 스터핑 방식만 사용되는 것은 아니다. 공격자는 SQL 인젝션(SQL injection, SQLi)과 로컬 파일 인클루전(Local File Inclusion, LFI) 공격도 이용한다. 아카마이는 2018년 7월에서 2020년 6월 사이 리테일·여행·호텔 업계에서 약 43억 7571만 1860건의 웹 공격이 발생한 것을 확인했다.
이 공격은 전체 웹 공격의 41%를 차지했으며, 이 중 83%는 리테일 업계만 집중 겨냥했다. SQLi 공격은 공격자가 선호하는 공격 방법 중 하나로 리테일·여행·호텔 업계에 대한 전체 웹 애플리케이션 공격 중 약 79%를 차지했다.
