국내 온라인 쇼핑몰 웹사이트 50여개 결제창 위장해 이용자 정보 유출
유출된 정보는 카드 정보, 카드 비밀번호, 주민등록번호, 휴대폰 번호 등 금융정보
공격조직 목적은 쇼핑몰 이용자 정보 탈취해 부정결제 후 현금 편취
[보안뉴스 김경애 기자] 국내 카드정보와 개인정보 유출을 목적으로 사이버 공격과 함께 부정결제 사기 행위를 저지르고, 이를 현금화한 새로운 위협 그룹 EvilQueen이 발견됐다. 이들은 의심을 피하기 위해 온라인 쇼핑몰 결제창에 피싱창을 넣어 이용자의 신용정보를 가로챘다. 이렇듯 보다 정교한 신종 위협이 등장할 것으로 예상되어 이용자들의 각별한 주의가 요구된다.
▲PoisonedApple 오퍼레이션 개요도[자료=금융보안원]
국내를 대상으로 수행한 해당 오퍼레이션을 ‘PoisonedApple’로 명명한 금융보안원은 “위협 그룹은 탈취한 신용카드 정보를 부정 사용하기 위해 중고거래 플랫폼에 Apple 전자기기 새상품을 저렴한 가격으로 판매하며 구매자들을 현혹하는 등의 사기 수법이 관찰됐다”며 “2021년 6월부터 최근까지 국내 온라인 쇼핑몰 웹사이트 50여개에 결제페이지로 위장한 피싱페이지가 삽입되어 쇼핑몰 이용자 정보를 대량 유출했다”고 밝혔다.
유출된 정보는 카드 정보(카드번호, CVC, 유효기간), 카드 비밀번호, 주민등록번호, 휴대폰 번호 등으로 다양한 개인정보 및 금융정보다.
공격 조직은 국내에서 중소규모 온라인 쇼핑몰 구축 시 많이 이용되는 플랫폼의 취약점과 여러 웹 취약점들을 이용해 쇼핑몰 웹사이트에 침투한 뒤, 정상 결제 과정에 피싱 페이지를 삽입했다. 이후, 공격 조직은 탈취한 카드정보를 현금화 하기 위해 국내 유명 중고거래 플랫폼을 활용하는 등 다양한 형태로 사기 행각을 벌였다.
해킹된 쇼핑몰 웹사이트에서 확인된 주요 취약점은 관리자 페이지가 2차 인증 없이 인터넷에 노출되어 있거나, FTP 서비스가 외부에 열려 있는 등 취약하게 운영되고 있는 것이 확인되었다. 특히 이미 많은 취약점과 공격코드가 공개된 구버전의 PHP를 사용하는 곳이 상당수 발견됐다. 대부분의 영세한 쇼핑몰들은 판매 및 매출에 초점을 맞추고 있어 웹사이트 관리가 소홀했다. 이는 국내 온라인 쇼핑몰들이 보안 사각지대에서 외부 공격에 노출된 채로 취약하게 운영되고 있는 실태가 여실히 드러난 셈이다.
전략(Tactics)
공격 조직의 최종 목적은 쇼핑몰 이용자들의 유효한 정보를 탈취하고, 이를 이용해 부정결제 후 현금을 편취하는 것이다. 이를 위한 첫번째 전략으로 개인정보 및 카드정보를 탈취하기 위해 국내 중소규모 온라인 쇼핑몰을 해킹해 피싱 결제페이지를 삽입했고, 쇼핑몰 이용자가 입력한 정보는 실시간으로 공격 조직 서버로 저장되도록 했다.
두번째로 쇼핑몰 사이트 관리자와 이용자가 피싱 결제페이지의 존재를 알아차리지 못하도록 정교한 피싱페이지를 개발했고, 다양한 은닉 기법을 활용해 공격을 지속했다. 마지막으로 탈취한 정보를 이용해 오픈마켓 등에서 부정결제를 수행했는데, 이 때 중고거래 플랫폼과 공식 애플스토어를 악용하는 등 기존에 알려지지 않은 방식으로 사기 행각을 벌였다.
기술(Techniques)
공격 조직은 쇼핑몰 웹사이트에 침투하기 위해 SQL 인젝션과 같은 웹 공격을 주로 수행했다. 이를 통해 침투에 성공한 후에는 미리 준비한 피싱 관련 악성 파일들을 생성하고, 쇼핑몰의 정상 결제페이지를 공격 조직의 피싱 페이지로 연결되도록 변조했다. 또한, 웹쉘을 업로드해 원격에서 지속적으로 피해시스템을 조작할 수 있는 환경을 구축했다.
공격 조직의 피싱페이지는 다양한 방어 기술을 활용해 탐지를 회피하도록 설계됐다. 예를 들어, 피싱페이지의 노출 시간을 야간 및 주말로만 제한하고, 최초 접속 시에만 노출되도록 해 쇼핑몰 관리자와 이용자가 해당 페이지의 존재를 인지하지 못하도록 했다. 더불어, 인터넷에 노출된 공격 조직의 서버를 분석한 결과, 탈취한 정보를 관리하기 위해 데이터베이스 관리 프로그램인 Adminer를 사용하고 알려진 익스플로잇 및 도구들을 활용해 공격을 수행했다.
절차(Procedures)
공격 조직은 먼저 쇼핑몰 플랫폼의 취약점을 사전에 파악한 다음, 다수의 쇼핑몰 웹사이트에 침투해 피싱 결제페이지를 삽입한다. 해당 피싱 결제페이지를 통해 쇼핑몰 이용자들의 카드정보와 개인정보 등을 탈취한다. 이후, 국내 유명 중고거래 플랫폼에 시세보다 저렴한 가격으로 전자기기 새상품을 판매하는 글을 게시하고 구매자들의 연락을 기다린다. 거래를 희망하는 구매자가 나타나면, 공격 조직은 구매자로부터 물품 금액을 현금으로 입금받은 후, 미리 탈취한 카드정보를 이용해 국내 오픈마켓에서 해당 물품을 부정 결제한다.
3가지 수법 통해 현금화
물품을 주문할 때, 배송지는 구매자의 주소를 입력해 구매자에게 직접 배송되도록 해 공격 조직의 정보는 일체 드러나지 않고 현금화를 완료했다. 현금화는 3가지 유형의 수법을 통해 수행했다.
첫째, 중고거래 플랫폼에 등록된 중고물품을 탈취한 카드정보로 부정결제 후 판매자에게 현금으로 환불을 요청했다. 둘째, 중고거래 플랫폼에 물품 판매글을 게시하고 구매자가 나타나면 오픈마켓에서 해당 상품을 부정결제 후 구매자에게 배송, 물품금액은 사기 계좌로 입금 받았다. 셋째, 중고거래 플랫폼에 ‘애플’ 제품 판매글을 게시하고 구매자가 나타나면 온라인 애플스토어에서 해당 제품을 부정결제하는데, 이 때 매장에서 대리인이 수령하는 방식을 선택해 구매자가 직접 방문·수령하도록 했다. 물품 금액은 사기 계좌로 입금 받았다.
공격 조직은 이외에도 끊임없이 새로운 공격들을 시도했다. 가상화폐 관련 피싱사이트를 생성하거나 과거 자신들이 해킹한 사이트를 복제해 피싱사이트를 만드는 등 다양한 공격을 시도했다. 이들의 최종 목적은 모두 금전 편취다.
가상화폐, 면세점 등도 노리고 피싱 사이트 구축 및 활용
2022년 7월경, 공격 조직이 MetaMask와 관련한 피싱 공격을 시도한 사실이 확인됐다. MetaMask는 이더리움과 같은 가상화폐를 보관, 송금, 관리할 수 있는 디지털 지갑 서비스로, 브라우저 확장 프로그램과 모바일 앱 형태로 제공된다. MetaMask의 개인키를 알면 지갑 내의 가상화폐를 탈취할 수 있기 때문에 많은 공격자들이 이 서비스와 관련한 피싱 공격을 시도하고 있다. 금융보안원은 EvilQueen 공격 조직이 생성한 도메인들을 분석하는 과정에서 여러 개의 MetaMask 피싱 도메인을 생성한 이력을 확인했다.
2023년 2월경, 공격 조직이 과거에 해킹해 피싱 결제페이지를 삽입한 특정 온라인 쇼핑몰과 동일한 소스코드를 사용해 피싱사이트를 구축한 사례가 발견되었다. 해당 피싱사이트는 실제 온라인 쇼핑몰 도메인인 [REDACTED].com에서 최상위 도메인만 [REDACTED].co.kr로 변경되어 타이포스쿼팅 공격의 일종으로 보여졌다. 이용자들이 실수로 피싱사이트에 접속하도록 유도하고, 상품 결제시 개인정보나 결제정보를 탈취하기 위한 목적으로 추정됐다. 흥미로운 점은 공격 조직은 해당 도메인을 등록할 때 메가존의 도메인 등록서비스를 이용했는데, 도메인 등록을 위한 소액의 비용까지도 자신들이 피싱페이지에서 탈취한 카드정보를 이용해 부정 결제한 사실이 추후 확인됐다.
공격 조직에 의해 해킹된 특정 온라인 쇼핑몰에서 휴대폰 본인확인 인증 피싱페이지가 발견됐다. 해당 페이지의 소스코드 확인 결과, 이용자 이름, 주민번호 앞 6자리, 성별 1자리, 통신사, 전화번호, 인증번호 6자리를 수집해 공격 조직의 서버로 전송하는 것이 확인됐다.
2023년 5월에는 앞서 설명한 공격 조직이 구축한 쇼핑몰 피싱사이트 도메인(*******mall.co.kr)이 온라인 면세점을 사칭한 피싱사이트 도메인으로 활용됐다. 해당 피싱사이트는 국내에 실존하는 백화점 브랜드 이름을 도용해 면세점인 것처럼 위장했다. 중국에서 주로 이용되는 AmazeUI 플랫폼을 기반으로 구축됐으며, 게시판 이름과 상품명 등은 한국어로 표출되지만 가격은 일본화폐로 표출됐다.
경찰청의 수사를 통해 EvilQueen 그룹이 7,089건의 피해자 신용카드 정보를 탈취한 사실이 확인됐다. 금융보안원은 탈취된 신용카드 정보를 카드사별로 분류한 후 해당 카드사에 신속히 공유했으며, 카드사는 해당 카드를 재발급 조치하는 등의 대응 활동으로 부정결제를 최소화했다.
경찰통계연보에 따르면 피싱으로 인해 발생할 수 있는 건당 피해 평균 금액은 8,452천원으로, 관계 기관 공동 대응을 통해 탈취된 카드정보로 발생할 수 있었던 금융소비자 피해를 차단한 금액은 599억원으로 추산된다.
금융감독원은 소비자 경보를 발령하고, 신종 사기방식을 금융 소비자에게 알리고 온라인 쇼핑몰에서 전체 카드정보, 개인정보 입력 주의를 당부했다.
[김경애 기자(boan3@boannews.com)]
유출된 정보는 카드 정보, 카드 비밀번호, 주민등록번호, 휴대폰 번호 등 금융정보
공격조직 목적은 쇼핑몰 이용자 정보 탈취해 부정결제 후 현금 편취
[보안뉴스 김경애 기자] 국내 카드정보와 개인정보 유출을 목적으로 사이버 공격과 함께 부정결제 사기 행위를 저지르고, 이를 현금화한 새로운 위협 그룹 EvilQueen이 발견됐다. 이들은 의심을 피하기 위해 온라인 쇼핑몰 결제창에 피싱창을 넣어 이용자의 신용정보를 가로챘다. 이렇듯 보다 정교한 신종 위협이 등장할 것으로 예상되어 이용자들의 각별한 주의가 요구된다.
▲PoisonedApple 오퍼레이션 개요도[자료=금융보안원]
국내를 대상으로 수행한 해당 오퍼레이션을 ‘PoisonedApple’로 명명한 금융보안원은 “위협 그룹은 탈취한 신용카드 정보를 부정 사용하기 위해 중고거래 플랫폼에 Apple 전자기기 새상품을 저렴한 가격으로 판매하며 구매자들을 현혹하는 등의 사기 수법이 관찰됐다”며 “2021년 6월부터 최근까지 국내 온라인 쇼핑몰 웹사이트 50여개에 결제페이지로 위장한 피싱페이지가 삽입되어 쇼핑몰 이용자 정보를 대량 유출했다”고 밝혔다.
유출된 정보는 카드 정보(카드번호, CVC, 유효기간), 카드 비밀번호, 주민등록번호, 휴대폰 번호 등으로 다양한 개인정보 및 금융정보다.
공격 조직은 국내에서 중소규모 온라인 쇼핑몰 구축 시 많이 이용되는 플랫폼의 취약점과 여러 웹 취약점들을 이용해 쇼핑몰 웹사이트에 침투한 뒤, 정상 결제 과정에 피싱 페이지를 삽입했다. 이후, 공격 조직은 탈취한 카드정보를 현금화 하기 위해 국내 유명 중고거래 플랫폼을 활용하는 등 다양한 형태로 사기 행각을 벌였다.
해킹된 쇼핑몰 웹사이트에서 확인된 주요 취약점은 관리자 페이지가 2차 인증 없이 인터넷에 노출되어 있거나, FTP 서비스가 외부에 열려 있는 등 취약하게 운영되고 있는 것이 확인되었다. 특히 이미 많은 취약점과 공격코드가 공개된 구버전의 PHP를 사용하는 곳이 상당수 발견됐다. 대부분의 영세한 쇼핑몰들은 판매 및 매출에 초점을 맞추고 있어 웹사이트 관리가 소홀했다. 이는 국내 온라인 쇼핑몰들이 보안 사각지대에서 외부 공격에 노출된 채로 취약하게 운영되고 있는 실태가 여실히 드러난 셈이다.
전략(Tactics)
공격 조직의 최종 목적은 쇼핑몰 이용자들의 유효한 정보를 탈취하고, 이를 이용해 부정결제 후 현금을 편취하는 것이다. 이를 위한 첫번째 전략으로 개인정보 및 카드정보를 탈취하기 위해 국내 중소규모 온라인 쇼핑몰을 해킹해 피싱 결제페이지를 삽입했고, 쇼핑몰 이용자가 입력한 정보는 실시간으로 공격 조직 서버로 저장되도록 했다.
두번째로 쇼핑몰 사이트 관리자와 이용자가 피싱 결제페이지의 존재를 알아차리지 못하도록 정교한 피싱페이지를 개발했고, 다양한 은닉 기법을 활용해 공격을 지속했다. 마지막으로 탈취한 정보를 이용해 오픈마켓 등에서 부정결제를 수행했는데, 이 때 중고거래 플랫폼과 공식 애플스토어를 악용하는 등 기존에 알려지지 않은 방식으로 사기 행각을 벌였다.
기술(Techniques)
공격 조직은 쇼핑몰 웹사이트에 침투하기 위해 SQL 인젝션과 같은 웹 공격을 주로 수행했다. 이를 통해 침투에 성공한 후에는 미리 준비한 피싱 관련 악성 파일들을 생성하고, 쇼핑몰의 정상 결제페이지를 공격 조직의 피싱 페이지로 연결되도록 변조했다. 또한, 웹쉘을 업로드해 원격에서 지속적으로 피해시스템을 조작할 수 있는 환경을 구축했다.
공격 조직의 피싱페이지는 다양한 방어 기술을 활용해 탐지를 회피하도록 설계됐다. 예를 들어, 피싱페이지의 노출 시간을 야간 및 주말로만 제한하고, 최초 접속 시에만 노출되도록 해 쇼핑몰 관리자와 이용자가 해당 페이지의 존재를 인지하지 못하도록 했다. 더불어, 인터넷에 노출된 공격 조직의 서버를 분석한 결과, 탈취한 정보를 관리하기 위해 데이터베이스 관리 프로그램인 Adminer를 사용하고 알려진 익스플로잇 및 도구들을 활용해 공격을 수행했다.
절차(Procedures)
공격 조직은 먼저 쇼핑몰 플랫폼의 취약점을 사전에 파악한 다음, 다수의 쇼핑몰 웹사이트에 침투해 피싱 결제페이지를 삽입한다. 해당 피싱 결제페이지를 통해 쇼핑몰 이용자들의 카드정보와 개인정보 등을 탈취한다. 이후, 국내 유명 중고거래 플랫폼에 시세보다 저렴한 가격으로 전자기기 새상품을 판매하는 글을 게시하고 구매자들의 연락을 기다린다. 거래를 희망하는 구매자가 나타나면, 공격 조직은 구매자로부터 물품 금액을 현금으로 입금받은 후, 미리 탈취한 카드정보를 이용해 국내 오픈마켓에서 해당 물품을 부정 결제한다.
3가지 수법 통해 현금화
물품을 주문할 때, 배송지는 구매자의 주소를 입력해 구매자에게 직접 배송되도록 해 공격 조직의 정보는 일체 드러나지 않고 현금화를 완료했다. 현금화는 3가지 유형의 수법을 통해 수행했다.
첫째, 중고거래 플랫폼에 등록된 중고물품을 탈취한 카드정보로 부정결제 후 판매자에게 현금으로 환불을 요청했다. 둘째, 중고거래 플랫폼에 물품 판매글을 게시하고 구매자가 나타나면 오픈마켓에서 해당 상품을 부정결제 후 구매자에게 배송, 물품금액은 사기 계좌로 입금 받았다. 셋째, 중고거래 플랫폼에 ‘애플’ 제품 판매글을 게시하고 구매자가 나타나면 온라인 애플스토어에서 해당 제품을 부정결제하는데, 이 때 매장에서 대리인이 수령하는 방식을 선택해 구매자가 직접 방문·수령하도록 했다. 물품 금액은 사기 계좌로 입금 받았다.
공격 조직은 이외에도 끊임없이 새로운 공격들을 시도했다. 가상화폐 관련 피싱사이트를 생성하거나 과거 자신들이 해킹한 사이트를 복제해 피싱사이트를 만드는 등 다양한 공격을 시도했다. 이들의 최종 목적은 모두 금전 편취다.
가상화폐, 면세점 등도 노리고 피싱 사이트 구축 및 활용
2022년 7월경, 공격 조직이 MetaMask와 관련한 피싱 공격을 시도한 사실이 확인됐다. MetaMask는 이더리움과 같은 가상화폐를 보관, 송금, 관리할 수 있는 디지털 지갑 서비스로, 브라우저 확장 프로그램과 모바일 앱 형태로 제공된다. MetaMask의 개인키를 알면 지갑 내의 가상화폐를 탈취할 수 있기 때문에 많은 공격자들이 이 서비스와 관련한 피싱 공격을 시도하고 있다. 금융보안원은 EvilQueen 공격 조직이 생성한 도메인들을 분석하는 과정에서 여러 개의 MetaMask 피싱 도메인을 생성한 이력을 확인했다.
2023년 2월경, 공격 조직이 과거에 해킹해 피싱 결제페이지를 삽입한 특정 온라인 쇼핑몰과 동일한 소스코드를 사용해 피싱사이트를 구축한 사례가 발견되었다. 해당 피싱사이트는 실제 온라인 쇼핑몰 도메인인 [REDACTED].com에서 최상위 도메인만 [REDACTED].co.kr로 변경되어 타이포스쿼팅 공격의 일종으로 보여졌다. 이용자들이 실수로 피싱사이트에 접속하도록 유도하고, 상품 결제시 개인정보나 결제정보를 탈취하기 위한 목적으로 추정됐다. 흥미로운 점은 공격 조직은 해당 도메인을 등록할 때 메가존의 도메인 등록서비스를 이용했는데, 도메인 등록을 위한 소액의 비용까지도 자신들이 피싱페이지에서 탈취한 카드정보를 이용해 부정 결제한 사실이 추후 확인됐다.
공격 조직에 의해 해킹된 특정 온라인 쇼핑몰에서 휴대폰 본인확인 인증 피싱페이지가 발견됐다. 해당 페이지의 소스코드 확인 결과, 이용자 이름, 주민번호 앞 6자리, 성별 1자리, 통신사, 전화번호, 인증번호 6자리를 수집해 공격 조직의 서버로 전송하는 것이 확인됐다.
2023년 5월에는 앞서 설명한 공격 조직이 구축한 쇼핑몰 피싱사이트 도메인(*******mall.co.kr)이 온라인 면세점을 사칭한 피싱사이트 도메인으로 활용됐다. 해당 피싱사이트는 국내에 실존하는 백화점 브랜드 이름을 도용해 면세점인 것처럼 위장했다. 중국에서 주로 이용되는 AmazeUI 플랫폼을 기반으로 구축됐으며, 게시판 이름과 상품명 등은 한국어로 표출되지만 가격은 일본화폐로 표출됐다.
경찰청의 수사를 통해 EvilQueen 그룹이 7,089건의 피해자 신용카드 정보를 탈취한 사실이 확인됐다. 금융보안원은 탈취된 신용카드 정보를 카드사별로 분류한 후 해당 카드사에 신속히 공유했으며, 카드사는 해당 카드를 재발급 조치하는 등의 대응 활동으로 부정결제를 최소화했다.
경찰통계연보에 따르면 피싱으로 인해 발생할 수 있는 건당 피해 평균 금액은 8,452천원으로, 관계 기관 공동 대응을 통해 탈취된 카드정보로 발생할 수 있었던 금융소비자 피해를 차단한 금액은 599억원으로 추산된다.
금융감독원은 소비자 경보를 발령하고, 신종 사기방식을 금융 소비자에게 알리고 온라인 쇼핑몰에서 전체 카드정보, 개인정보 입력 주의를 당부했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
