2019년 상반기는 EC사이트에서 신용카드 정보가 유출되는 사건이 다발했습니다. 그 대표적인 사이버공격 수법이 'Web스키밍'이다. EC사이트의 신뢰를 위협하는 원리와 대책을 설명합니다.
Web스키밍이란?
Web스키밍은 EC사이트(인터넷 상거래 사이트)에 악성코드를 삽입하여 입력된 결제정보를 절취하는 공격입니다. 해외에서는 스포츠용품 메이커 FILA UK사와 잡지 Forbes 가입사이트, 미국과 캐나다의 대학이 운영하는 201의 EC사이트 등이 공격을 받았으며, 그 외 국가에서도 여러 EC사이트가 이 공격을 받은 모양입니다.
Web스키밍의 공격 기법
보안기업 RiskIQ사의 보고서에 설명되어 있는 Web스키밍 한 수법을 설명합니다.
1. 관리화면 등에 무차별대입 공격을 하여 ID/PW를 추측하고, 취약성 검사를 실시하여 조작 가능한 취약점을 파악한다.
2. 획득한 정보를 이용하여 무단 로그인하거나 Web컨텐츠를 조작하여 결제화면 등에 Web스키밍용 악성코드를 삽입한다.
3. 사용자가 EC사이트에서 결제정보를 입력하면 공격자의 서버에 결제정보가 전송된다.
새롭게 2019년 1월에 확인된 공격은 종래와 같이 직접 EC사이트를 변조하여 Web스키밍용 악성코드를 삽입하는 방법이 아니라, 소프트웨어 공급망을 이용하여 변조된 JavaScript 라이브러리를 배포하여 다수의 EC사이트에 간접적으로 Web스키밍용 악성코드를 삽입하는 방법이었습니다.
1. 공격자는 광고게재 서비스공급자의 환경에 침입한다.
2. 공격자는 광고게재에 사용하는 JavaScript 라이브러리를 조작하여 Web스키밍용 악성코드를 삽입한다. 변조된 JavaScript 라이브러리가 EC사이트에 전달된다. 이 라이브러리를 사용하는 EC사이트에 악성코드가 설치된다.
3. 사용자가 EC사이트에서 결제할 때, 악성코드에 의해 결제정보가 Web스키밍된다.
4. 절취된 결제정보가 공격자의 서버로 전송된다.
2019년 4월에 확인된 공격은 대학을 위한 EC사이트 구축플랫폼에서 사용되는 JavaScript 라이브러리를 조작하여 이 플랫폼을 이용하는 다수의 EC사이트에 간접적으로 Web스키밍용 악성코드를 삽입하는 방법이었습니다.
1. 공격자가 EC사이트 구축플랫폼 환경에 침입한다
2. 공격자는 플랫폼의 JavaScript 라이브러리를 조작하여 Web스키밍용 악성코드를 삽입한다. 플랫폼으로 구축된 EC사이트에 악성코드가 설치된다.
3. 사용자가 EC사이트에서 결제할 때 악성코드에 의해 결제정보가 Web스키밍된다.
4. 절취된 결제정보가 공격자의 서버로 전송된다.
2019년 9월에 확인된 공격은 Web사이트 구축제공사의 모듈을 수정하여 해당 업체가 구축한 여러 호텔체인의 예약사이트에 간접적으로 Web스키밍에 대한 악성코드를 삽입하는 방법이었습니다. 이 수법은 PC에서의 사용은 무해하지만 모바일기기에서의 액세스는 Web스키밍이 이루어지는 것이 특징이었습니다.
1. 공격자는 EC사이트 구축업체의 환경에 침입한다
2. 공격자는 EC사이트 구축에 사용되는 모듈을 수정하여 Web스키밍용 악성코드를 삽입한다. 모듈을 사용하여 구축된 EC사이트에 악성코드가 포함된다.
3. 사용자가 EC사이트에서 결제할 때 악성코드에 의해 결제정보가 Web스키밍된다.
4. 절취된 결제정보가 공격자의 서버로 전송된다.
이 외에도 부적절한 설정의 Amazon S3를 찾아 버킷상의 JavaScript 파일에 악성코드를 삽입하여 Web스키밍 실현하는 방법도 확인되었습니다.
이러한 사례처럼 공격자가 EC사이트 구축용 플랫폼과 라이브러리 컴포넌트를 공격하고 소프트웨어 공급망을 이용한 공격을 실시했을 경우, 한 번에 여러 EC사이트에 영향을 미쳐 큰 피해로 이어집니다 .
대책
표적이 되는 EC사이트 구축용 플랫폼도 증가하고 있으며, 2019년에는 Web스키밍 공격이 활발하게 이루어져 직접 EC사이트를 변조하여 Web스키밍용 악성코드를 삽입하는 방법과 소프트웨어 공급망을 이용한 간접적인 방법 모두에서 많은 EC사이트가 결제정보를 절취당했습니다.
Web스키밍 피해를 당하지 않기 위해서는 EC사이트 제공자가 미들웨어 및 플랫폼을 적절하게 업데이트하여 취약점을 해결하여야 하고 동시에 인증메커니즘과 보안설정을 검토하여 EC사이트를 견고하게 하는 것이 바람직합니다. 특히 관리화면이나 불필요한 디렉토리 파일에 대한 액세스 제어 및 관리자 계정의 암호 강화나 2요소인증의 도입, 로그 모니터링을 권장합니다.
또한 간접적인 방법에 의한 피해를 방지하기 위해 신뢰할 수 있는 라이브러리와 플러그인만을 이용할 것, 그리고 조금이라도 빨리 조작된 라이브러리에 대처하기 위해 정기적인 보안진단 및 Web변조 탐지솔루션의 도입도 고려하십시오.
출처 참조 번역
Paganini, “Payment data of thousands of customers of UK and US online stores could have been compromised,”
https://securityaffairs.co/wordpress/82403/cyber-crime/payment-data-security-breach.html
Payment data of thousands of customers of UK and US online stores could have been compromised
Group-IB, an international company that specializes in preventing cyberattacks, has uncovered a malicious code designed to steal customers’ payment data on seven online stores in the UK and the US. The injected code has been identified as a new JavaS
securityaffairs.co
atlan, “Hackers Inject Magecart Card Skimmer in Forbes’ Subscription Site,”
https://www.bleepingcomputer.com/news/security/hackers-inject-magecart-card-skimmer-in-forbes-subscription-site/
Hackers Inject Magecart Card Skimmer in Forbes’ Subscription Site
Forbes' subscription website got injected by hackers with a Magecart card skimming script designed to exfiltrate customer payment data to a server controlled by the cybercriminals behind the attack.
www.bleepingcomputer.com
RiskIQ, Inc, “Inside Magecart,” 13 11 2018.
https://cdn.riskiq.com/wp-content/uploads/2018/11/RiskIQ-Flashpoint-Inside-MageCart-Report.pdf
'IT' 카테고리의 다른 글
| 경찰은 iPhone의 암호를 돌파하지 않고도 손쉽게 침입할 수 있다? (0) | 2020.12.24 |
|---|---|
| 정보이론의 아버지로 불리는 클로드 섀넌의 업적 (0) | 2020.12.24 |
| VR은 어떻게 인간의 뇌를 속여 현실로 착각하게 만들까? (0) | 2020.12.24 |
| 스마트폰의 '급속충전'이란? (0) | 2020.12.23 |
| 세계 3위 규모의 암호화 자산을 전개하는 리플을 미국의 증권거래위원회가 제소 (0) | 2020.12.23 |
| 사이버 범죄자가 애용하는 VPN이 유로폴의 'Operation Nova'에 의해 일거에 차단 (0) | 2020.12.23 |
| Google이 YouTube · Gmail · Google 캘린더 등에 영향을 미친 대규모 장애에 대한 자세한 보고서를 공개 (0) | 2020.12.21 |
| iPhone의 iMessage에 내재된 '제로클릭의 취약점'에 의해 기자가 정부로부터 해킹을 당하다 (0) | 2020.12.21 |
