디지털 개인정보(Digital Identity)에 대한 위협이 꾸준히, 매우 빠른 속도로 진화하고 있는 것으로 나타났다.

F5 랩스(F5 Labs)는 최근 발표된 ‘2023 개인정보 위협 보고서’를 통해서 이같이 밝혔다. 이번 보고서에서는 디지털 개인정보에 가장 영향을 미치는 위협인 크리덴셜 스터핑(credential stuffing), 피싱, 다단계 인증(multifactor authentication, MFA) 우회 등 3가지를 중점적으로 다루고 있다.

보고서에 따르면 크리덴셜 스터핑이 차지하는 평균 비율은 19.4%였으며, 방어 조치가 취해진 이후에는 크리덴셜 스터핑이 6%로 급감했다. 모바일 엔드포인트(Mobile endpoints)는 일반적으로 웹 엔드포인트(web endpoints) 대비 자동화를 통한 사전 완화 비율이 더 높은 것으로 나타났으며 특히 여행, 통신, 기술 등의 분야 기업들이 다른 분야 대비 크리덴셜 스터핑 비율이 더 높은 것으로 나타났다.

피싱 툴과 서비스 등이 증가하면서 피싱을 위해 필요한 기술 지식과 비용이 감소하고 있다. 특히 피싱 공격은 금융 기업과 마이크로소프트, 페이스북, 구글, 애플 등과 같은 대규모 통합 로그인을 지원하는 기업들을 대상으로 하고 있는 것으로 분석됐다. 실시간 피싱 프록시 또는 중간자(man-in-the-middle, MITM) 피싱 등으로도 알려진 리버스 피싱 프록시(Reverse phishing proxies)는 이제 표준적인 접근 방식으로 자리매김했으며 이런 프록시는 세션 쿠키를 수집해 대부분의 다단계 인증을 무력화할 수 있다.

맬웨어, 피싱, 기타 소셜 엔지니어링 벡터 기반 전략이 성과를 내면서 다단계 우회 기술은 이제 더욱 일반적으로 사용되고 있다. FIDO2 제품군(FIDO2 suite)과 같은 공개 키 암호화(public key cryptography)를 기반으로 한 기술은 다단계 우회 기술에 대해 좀 더 강력한 대응을 보여주고 있다.

이 보고서는 2022년 3월에서 2023년 4월까지 159개의 기업 및 조직의 3200억 데이터 트랜잭션을 분석한 내용을 기반으로 작성됐다.