F5는 최근 발표된 “2023 개인정보 위협 보고서”를 통해서 디지털 개인정보 (Digital Identity)에 대한 위협이 지속적으로 발생하고 있으며 진화 속도도 매우 빠르다고 밝혔다. 해당 보고서는 특히 디지털 개인정보에 가장 영향을 미치는 위협인 크리덴셜 스터핑 (credential stuffing), 피싱, 멀티팩터 인증 (multifactor authentication, MFA) 우회 등 3가지를 중점적으로 다루고 있다.

보고서에 따르면 모든 분야에 걸쳐 표본으로 선정된 기업의 보호 대상 트래픽에서 크리덴셜 스터핑이 차지하는 평균 비율은 19.4%였으며, 방어 조치가 취해진 이후에는 크리덴셜 스터핑이 6%로 급감했다고 밝혔다. 모바일 엔드포인트 (Mobile endpoints)는 일반적으로 웹 엔드포인트 (web endpoints) 대비 자동화를 통한 사전 완화 비율이 더 높은 것으로 나타났으며 특히 여행, 통신, 기술 등의 분야 기업들이 다른 분야 대비 크리덴셜 스터핑 비율이 더 높은 것으로 나타났다.

피싱 툴 및 서비스 등의 증가로 피싱 산업이 성숙하면서 피싱을 위해 필요한 기술 지식 및 비용이 감소하는 상황이 초래되었다. 특히 피싱 공격은 금융기업과 마이크로소프트, 페이스북, 구글, 애플 등과 같은 대규모 통합 로그인을 지원하는 기업들을 대상으로 하고 있는 것으로 나타났다. 실시간 피싱 프록시 또는 중간자 (man-in-the-middle, MITM) 피싱 등으로도 알려진 리버스 피싱 프록시 (Reverse phishing proxies)는 이제는 표준적인 접근방식으로 자리매김했으며 이런 프록시는 세션 쿠키를 수집하여 대부분의 멀티팩터 인증을 무력화할 수 있다.

멀티팩터 우회 기술은 이제 더욱 일반적으로 사용되고 있으며, 이는 멀웨어, 피싱, 기타 소셜 엔지니어링 벡터 기반 전략이 성과를 내면서 그 경향이 더욱 짙어 지고 있다. FIDO2 제품군 (the FIDO2 suite) 과 같은 공개 키 암호화(public key cryptography)를 기반으로 한 기술은 멀티팩터 우회 기술에 대한 좀 더 강력한 대응력을 보여주고 있다.

F5 Labs가 발간한 “2023 개인정보 위협 보고서”는 지난 2022년 3월에서 2023년 4월까지 159개의 기업 및 조직의 3,200억 데이터 트랜잭션을 분석한 내용을 기반으로 디지털 개인정보 위협을 완화할 수 있는 일반기업에 중립적인 권고 사항을 제공한다. 여기에서 보고서 전문을 확인할 수 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★