요즘 사용되는 웹사이트 치고 서드파티 스크립트가 없는 것이 없다. 그리고 이 서드파티 요소들을 통해 각종 악성 공격이 가능하다는 사실을 해커들은 잘 알고 있다. 웹사이트 운영에 서드파티 요소 관리라는 것도 포함되어야 할 상황이다.
[보안뉴스 문가용 기자] 서드파티 자바스크립트 때문에 여러 기업들이 위험에 노출되어 있다는 건 그리 새로운 소식이 아니다. 하지만 그 정도가 예상보다 훨씬 더하다는 경고가 나왔다. IT 및 보안 업체 소스디펜스(Source Defense)가 새롭게 분석한 바에 따르면 현존하는 거의 모든 웹사이트들은 서드파티 요소들과 심지어 포스파티 요소들로 가득하다고 하는데, 바로 이 요소들을 통해 악성 코드를 주입하는 것이 매우 간단한 일이며, 따라서 우려되는 점이 많다는 것이다.
[이미지 = utoimage]
보통 웹 페이지에서 서드파티 스크립트가 호출될 때는 무슨 일이 일어날까? 소스디펜스의 설명에 따르면 다음과 같다. “서드파티가 소유하고 있는 외부 서버에 있는 스크립트가 사용자의 브라우저에 곧바로 로딩됩니다. 즉 웹 애플리케이션 방화벽이나 네트워크 감시 도구들을 무사히 통과한다는 뜻입니다. 위협 행위자들도 이를 잘 이해하고 있고, 이런 원리로 자신들의 악성 코드를 주입합니다. 이런 상황에서 웹사이트 개발이나 프로그램 개발 모두 서드파티 요소들을 적극 활용하는 분위기이기 때문에 공격자들로서는 더욱 이상적인 환경이 되고 있습니다.”
실제로 대부분의 조직들에서는 웹사이트를 만들고 운영하는 데에 쇼핑카트나 다이내믹 폼, 주문 처리, 지불 처리, 소셜미디어 버튼, 방문자 추적 등 다양한 서드파티 요소들을 아무렇지도 않게 사용한다. 서드파티 요소들이 있어 손쉽게 풍부한 기능들을 웹사이트에 삽입할 수 있게 된다. 이런 서드파티 스크립트들은 구하기도 쉽고 저렴하기 때문에(대부분 무료) 사실 사용하지 않는 게 더 어리석어 보일 정도다. 그러니 서드파티가 이렇게 위험한데 왜 사용하는가, 라고 물을 수 없다는 게 소스디펜스가 말하는 요즘 분위기다.
소스디펜스가 서드파티 요소들이 활용되는 현황을 조사하기 위해 세계에서 가장 큰 웹사이트 4300개를 분석했을 때 다음과 같은 사실을 알아낼 수 있었다고 한다.
- 모든 사이트는 외부에서 발동되는 스크립트를 평균 15개 내포하고 있었다.
- 그러한 스크립트 중 12개가 ‘민감하다’고 분류 가능한 페이지(사용자 정보 수집, 지불 정보 처리 페이지 등)에 있었다.
- 사용자가 정보를 입력할 수 있게 해 주는 기능과, 사용자의 마우스 클릭을 모니터링 하는 기능을 구현하기 위해 외부 코드가 사용되는 사례는 49%였다.
- 양식을 수정하는 데에 있어 외부 코드를 사용하는 사례는 20% 이상이었다.
- 거의 모든 사이트의 페이지들에 다양한 스크립트가 사용되고 있었다.
산업별로 웹사이트 운영에 사용하는 스크립트의 평균 개수가 조금씩 다른 추이를 보이고 있다는 것도 이번 조사를 통해 밝혀졌다. 예를 들어 금융 산업의 경우 평균 19개의 스크립트가 민감한 페이지에 적용되어 있었는데, 이는 평균보다 60% 이상 높은 수치다. 의료 분야의 경우 평균 개수가 15개인 것으로 기록됐다.
공격자들이 노리기에 안성맞춤
소드디펜스의 CTO인 하다 블루트리흐(Hadar Blutrich)는 “공격자들은 어떻게 해서든 웹사이트로부터 데이터를 훔치기 위해 혈안이 되어 있는 자들”이라고 설명한다. “왜냐하면 웹사이트를 통해 금전 거래가 이뤄지는 등 다양한 활동이 벌어진다는 걸 알기 때문입니다. 그리고 그 다양한 활동을 뒷받침하는 기능들이 서드파티 스크립트를 통해 구현된다는 것도 그들이 잘 이해하고 있는 내용이죠.”
최근 서드파티 스크립트를 악용하거나 활용함으로써 사용자들의 민감한 정보를 훔친 사례들이 계속해서 증가하고 있다. 뿐만 아니라 사용자들을 악성 사이트로 우회시키거나, 사용자들의 키스트로크를 기록하거나, 그 외 다양한 악성 행위를 하는 데에도 서드파티 스크립트가 사용되고 있다. 이런 행위를 가장 잘 하는 것으로 알려진 공격 단체는 메이지카트(Magecart)라고 볼 수 있다. 이들은 각종 해킹 단체들이 모여 결성한 컬렉티브의 일종으로, 현재까지 수천 만 건의 지불 데이터를 웹사이트 스키밍이라는 기법을 통해 훔쳐낸 전적을 가지고 있다.
이런 공격 행위들은 기업들에 큰 악영향을 미칠 수 있다. 예를 들어 2018년 메이지카트 공격자들이 영국항공의 웹 페이지 하나에 자신들의 코드 몇 줄을 삽입하는 사건이 발생했었는데, 이 때문에 38만 명 이상의 항공사 고객들의 개인정보가 노출됐었다. 이 사건으로 영국항공은 소송에 걸려 2억 달러를 벌금과 보상금으로 지불해야만 했다. “영국항공이니까 그 정도 금액을 내도 살아있는 것이죠. 어지간한 기업들이라면 도산했을 겁니다.”
서드파티 코드들을 감염시키는 방법에는 여러 가지가 있다. 하지만 요즘 가장 인기 있는 전략은 공공 코드 리포지터리에 악성 코드를 주입하는 것이다. 예를 들어 파이선 환경의 유명 리포지터리인 PyPI의 경우 이번 달에만 세 번의 악성 코드가 인기 높은 패키지에서 발견되었다. 그 외에도 공격자들은 고객의 수가 많은 기업이 사용하는 서드파티 스크립트를 노리고 감염시키기도 한다. 예를 들어 올해 초 부동산 업계의 웹사이트 100여 개에 멀웨어가 심겨져 있는 것이 발견되고 했었다.
외부 스크립트 리스크에 맞서기
블루트리흐는 “서드파티 스크립트를 통해 발생하는 위협들을 관리하는 방법은 상황과 기업에 따라 달라진다”고 설명한다. “예를 들어 의외로 중앙에서의 관리가 안 되는 사이트들이 있습니다. 어떤 대기업들에서는 마케팅과 영업 팀들이 별도의 웹사이트를 별도로 운영하며, 알아서 기능들을 덧붙이기도 합니다. 보안 팀이 관여하지 않은 채 운영되는 사이트들이 꽤나 많다는 건데, 이 부분을 먼저 해결하는 게 급선무인 기업들이 있을 겁니다.”
만약 중앙 관리의 측면에서 수정할 것이 별로 없는 회사라면 서드파티 요소들을 관리하는 체계를 마련해야 할 수도 있다. “개발자마다 알아서 서드파티를 가져다 쓰는 게 아니라 조직적으로 검사하고 확인한 스크립트만 사용하게 한다든지 하는 정책을 마련하고, 자동으로 서드파티 요소를 검사해 주는 도구를 도입하는 것 등이 좋은 방법”이라고 블루트리흐는 설명한다.
“어떤 절차를 거쳤든 결국 서드파티 스크립트가 한 번 웹사이트에 장착이 되었다면, 그 순간부터 그 요소는 철저한 관리의 대상이 되어야 합니다. 해당 서드파티 요소에서 새로운 취약점이 발견되었다는 소식이 있는지, 혹시 개발자가 새로운 버전을 업데이트 하지는 않았는지, 꾸준히 모니터링을 하면서 늘 최신화시켜야 합니다. 그렇지 않으면 공격자들의 표적이 될 것입니다.”
3줄 요약
1. 서드파티 스크립트가 웹사이트에서 차지하는 비율이 이미 심각하게 큰 상태.
2. 서드파티 스크립트는 웹사이트를 감염시키려는 자들이 호시탐탐 노리는 존재.
3. 그렇기 때문에 서드파티 스크립트와 관련된 보안 정책과 도구들이 꼭 필요함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 서드파티 자바스크립트 때문에 여러 기업들이 위험에 노출되어 있다는 건 그리 새로운 소식이 아니다. 하지만 그 정도가 예상보다 훨씬 더하다는 경고가 나왔다. IT 및 보안 업체 소스디펜스(Source Defense)가 새롭게 분석한 바에 따르면 현존하는 거의 모든 웹사이트들은 서드파티 요소들과 심지어 포스파티 요소들로 가득하다고 하는데, 바로 이 요소들을 통해 악성 코드를 주입하는 것이 매우 간단한 일이며, 따라서 우려되는 점이 많다는 것이다.
[이미지 = utoimage]
보통 웹 페이지에서 서드파티 스크립트가 호출될 때는 무슨 일이 일어날까? 소스디펜스의 설명에 따르면 다음과 같다. “서드파티가 소유하고 있는 외부 서버에 있는 스크립트가 사용자의 브라우저에 곧바로 로딩됩니다. 즉 웹 애플리케이션 방화벽이나 네트워크 감시 도구들을 무사히 통과한다는 뜻입니다. 위협 행위자들도 이를 잘 이해하고 있고, 이런 원리로 자신들의 악성 코드를 주입합니다. 이런 상황에서 웹사이트 개발이나 프로그램 개발 모두 서드파티 요소들을 적극 활용하는 분위기이기 때문에 공격자들로서는 더욱 이상적인 환경이 되고 있습니다.”
실제로 대부분의 조직들에서는 웹사이트를 만들고 운영하는 데에 쇼핑카트나 다이내믹 폼, 주문 처리, 지불 처리, 소셜미디어 버튼, 방문자 추적 등 다양한 서드파티 요소들을 아무렇지도 않게 사용한다. 서드파티 요소들이 있어 손쉽게 풍부한 기능들을 웹사이트에 삽입할 수 있게 된다. 이런 서드파티 스크립트들은 구하기도 쉽고 저렴하기 때문에(대부분 무료) 사실 사용하지 않는 게 더 어리석어 보일 정도다. 그러니 서드파티가 이렇게 위험한데 왜 사용하는가, 라고 물을 수 없다는 게 소스디펜스가 말하는 요즘 분위기다.
소스디펜스가 서드파티 요소들이 활용되는 현황을 조사하기 위해 세계에서 가장 큰 웹사이트 4300개를 분석했을 때 다음과 같은 사실을 알아낼 수 있었다고 한다.
- 모든 사이트는 외부에서 발동되는 스크립트를 평균 15개 내포하고 있었다.
- 그러한 스크립트 중 12개가 ‘민감하다’고 분류 가능한 페이지(사용자 정보 수집, 지불 정보 처리 페이지 등)에 있었다.
- 사용자가 정보를 입력할 수 있게 해 주는 기능과, 사용자의 마우스 클릭을 모니터링 하는 기능을 구현하기 위해 외부 코드가 사용되는 사례는 49%였다.
- 양식을 수정하는 데에 있어 외부 코드를 사용하는 사례는 20% 이상이었다.
- 거의 모든 사이트의 페이지들에 다양한 스크립트가 사용되고 있었다.
산업별로 웹사이트 운영에 사용하는 스크립트의 평균 개수가 조금씩 다른 추이를 보이고 있다는 것도 이번 조사를 통해 밝혀졌다. 예를 들어 금융 산업의 경우 평균 19개의 스크립트가 민감한 페이지에 적용되어 있었는데, 이는 평균보다 60% 이상 높은 수치다. 의료 분야의 경우 평균 개수가 15개인 것으로 기록됐다.
공격자들이 노리기에 안성맞춤
소드디펜스의 CTO인 하다 블루트리흐(Hadar Blutrich)는 “공격자들은 어떻게 해서든 웹사이트로부터 데이터를 훔치기 위해 혈안이 되어 있는 자들”이라고 설명한다. “왜냐하면 웹사이트를 통해 금전 거래가 이뤄지는 등 다양한 활동이 벌어진다는 걸 알기 때문입니다. 그리고 그 다양한 활동을 뒷받침하는 기능들이 서드파티 스크립트를 통해 구현된다는 것도 그들이 잘 이해하고 있는 내용이죠.”
최근 서드파티 스크립트를 악용하거나 활용함으로써 사용자들의 민감한 정보를 훔친 사례들이 계속해서 증가하고 있다. 뿐만 아니라 사용자들을 악성 사이트로 우회시키거나, 사용자들의 키스트로크를 기록하거나, 그 외 다양한 악성 행위를 하는 데에도 서드파티 스크립트가 사용되고 있다. 이런 행위를 가장 잘 하는 것으로 알려진 공격 단체는 메이지카트(Magecart)라고 볼 수 있다. 이들은 각종 해킹 단체들이 모여 결성한 컬렉티브의 일종으로, 현재까지 수천 만 건의 지불 데이터를 웹사이트 스키밍이라는 기법을 통해 훔쳐낸 전적을 가지고 있다.
이런 공격 행위들은 기업들에 큰 악영향을 미칠 수 있다. 예를 들어 2018년 메이지카트 공격자들이 영국항공의 웹 페이지 하나에 자신들의 코드 몇 줄을 삽입하는 사건이 발생했었는데, 이 때문에 38만 명 이상의 항공사 고객들의 개인정보가 노출됐었다. 이 사건으로 영국항공은 소송에 걸려 2억 달러를 벌금과 보상금으로 지불해야만 했다. “영국항공이니까 그 정도 금액을 내도 살아있는 것이죠. 어지간한 기업들이라면 도산했을 겁니다.”
서드파티 코드들을 감염시키는 방법에는 여러 가지가 있다. 하지만 요즘 가장 인기 있는 전략은 공공 코드 리포지터리에 악성 코드를 주입하는 것이다. 예를 들어 파이선 환경의 유명 리포지터리인 PyPI의 경우 이번 달에만 세 번의 악성 코드가 인기 높은 패키지에서 발견되었다. 그 외에도 공격자들은 고객의 수가 많은 기업이 사용하는 서드파티 스크립트를 노리고 감염시키기도 한다. 예를 들어 올해 초 부동산 업계의 웹사이트 100여 개에 멀웨어가 심겨져 있는 것이 발견되고 했었다.
외부 스크립트 리스크에 맞서기
블루트리흐는 “서드파티 스크립트를 통해 발생하는 위협들을 관리하는 방법은 상황과 기업에 따라 달라진다”고 설명한다. “예를 들어 의외로 중앙에서의 관리가 안 되는 사이트들이 있습니다. 어떤 대기업들에서는 마케팅과 영업 팀들이 별도의 웹사이트를 별도로 운영하며, 알아서 기능들을 덧붙이기도 합니다. 보안 팀이 관여하지 않은 채 운영되는 사이트들이 꽤나 많다는 건데, 이 부분을 먼저 해결하는 게 급선무인 기업들이 있을 겁니다.”
만약 중앙 관리의 측면에서 수정할 것이 별로 없는 회사라면 서드파티 요소들을 관리하는 체계를 마련해야 할 수도 있다. “개발자마다 알아서 서드파티를 가져다 쓰는 게 아니라 조직적으로 검사하고 확인한 스크립트만 사용하게 한다든지 하는 정책을 마련하고, 자동으로 서드파티 요소를 검사해 주는 도구를 도입하는 것 등이 좋은 방법”이라고 블루트리흐는 설명한다.
“어떤 절차를 거쳤든 결국 서드파티 스크립트가 한 번 웹사이트에 장착이 되었다면, 그 순간부터 그 요소는 철저한 관리의 대상이 되어야 합니다. 해당 서드파티 요소에서 새로운 취약점이 발견되었다는 소식이 있는지, 혹시 개발자가 새로운 버전을 업데이트 하지는 않았는지, 꾸준히 모니터링을 하면서 늘 최신화시켜야 합니다. 그렇지 않으면 공격자들의 표적이 될 것입니다.”
3줄 요약
1. 서드파티 스크립트가 웹사이트에서 차지하는 비율이 이미 심각하게 큰 상태.
2. 서드파티 스크립트는 웹사이트를 감염시키려는 자들이 호시탐탐 노리는 존재.
3. 그렇기 때문에 서드파티 스크립트와 관련된 보안 정책과 도구들이 꼭 필요함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
