[보안뉴스 문가용 기자] 일반 소비자들이 기다려온 쇼핑 시즌이 다가오고 있다. ‘블랙프라이데이’라고 불리는 이 기간, 많은 사람들이 평소보다 유리한 조건으로 물건을 구매할 수 있기를 고대하고 있는데, 이런 심리를 파고들려고 해커들 역시 미리부터 준비하고 있다. 보안 업체 일렉트릭아이큐(ElectricIQ)의 분석가들이 블랙프라이데이를 노리려는 공격자들의 움직임을 포착해 알렸다.
[이미지 = gettyimagesbank]
일렉트릭아이큐에 의하면 자신들이 발견한 캠페인의 배후에는 실크스펙터(SilkSpecter)라는 중국향 해킹 단체가 있을 가능성이 높다고 한다. 이들은 가짜 상품과 가짜 할인 조건을 미끼로 삼아 피해자들을 속인 뒤 신용카드 데이터나 각종 인증 데이터, 개인 식별 정보를 바삐 훔쳐내는 중이다. “실크스펙터는 구글 번역기를 사용해 피해자의 IP 위치에 따라 웹사이트 언어를 동적으로 바꾸기까지 했습니다. 그러므로 여러 나라에 걸쳐 피해를 입히는 중입니다.”
이런 실크스펙터를 추적했을 때 중국의 Oemapps라는 SaaS 플랫폼이 나왔다. “아무래도 Oemapps가 손쉽게 가짜 온라인 쇼핑몰 사이트를 구축하는 데 도움을 주고 있는 것으로 보입니다. 그게 아니더라도 최소한 방관하고 있을 가능성이 높습니다. 실크스펙터가 이들의 주요 고객일 수 있습니다. 이렇게 해서 나온 가짜 사이트들 대부분 .top, .shop, .store, .vip와 같은 최상위 도메인을 가지고 있고, 그렇기 때문에 피해자들을 속이기 쉽습니다.”
실크스펙터의 피싱 키트
실크스펙터가 블랙프라이데이 때 쇼핑을 하고자 하는 사람들을 노릴 때 가장 많이 사용한 표현은 ‘80% 할인’ 혹은 ‘독점 할인’ 등이었다. 이런 문구에 속아 접속하면 실크스펙터가 미리 만들어 둔 가짜 사이트에 입장하게 되는데, 이 사이트에는 피싱 키트가 호스팅되어 있었다. 접속하는 피해자의 활동 로그와 IP 주소, 지리적 위치, 브라우저 유형, 운영 체제 등의 메타데이터를 수집했고, 이를 기반으로 구글 번역기를 통해 피해자가 사용할 법한 언어로 자동 번역해 사이트를 즉시 바꾸기도 했다.
피해자가 여기에 속아 상품을 구매하려고 결제를 진행하려고 하면 다양한 정보를 입력해야 하는데, 실크스펙터는 이 과정에서 개인정보와 금융 정보(카드 정보 및 은행 정보)를 수집했다. “피해자가 직접 입력한 이 정보들은 합법적인 결제 서비스인 스트라이프(Stripe)를 통해 전송됐고, 따라서 공격자들은 결제 요청도 처리되고 정보도 가져가는, 일거양득의 혜택을 누릴 수 있게 됐습니다.”
일부 피해자들에게 전화번호 입력을 요구하기도 했는데, 따라서 앞으로 전화번호를 활용한 추가 공격도 있을 수 있다고 일렉트릭아이큐 측은 경고했다. “전화번호를 통해 음성 피싱(비싱, vishing)이나 문자 피싱 공격을 이어갈 수 있겠죠. 이를 통해 추가 민감 정보를 가져가거나, 다중인증 코드, 크리덴셜 등을 빼앗아 갈 수도 있습니다. 최근 과도하게 좋은 조건으로 물건을 구매하고 결제했다면 주의해야 합니다.”
또한 스펙터는 스트라이프의 API를 통해 결제 요청이 시작되면 피해자의 세션 전체를 몰래 기록하고, 해당 은행 정보를 외부 서버로 전송하기도 한다. “공격자는 카드 세부 정보 등의 민감 정보를 별도의 서버로 전송하고 있었습니다. 합법적인 API를 남용하는 한편 중요한 금융 정보까지 수집하는 전략적인 모습이 나타나고 있는 거라고 볼 수 있습니다.”
왜 실크스펙터인가?
이번 캠페인에 중국의 실크스펙터가 연루되어 있을 거라고 보는 데에는 몇 가지 이유가 있다고 일렉트릭아이큐는 밝히기도 했다. “각 피싱 페이지에 중국어 주석이 포함된 자바스크립트 코드가 있었는데, 중국어를 사용하는 개발자가 공격자들 중에 있다는 의미가 됩니다. 또 HTML 코드에 포함된 언어 태그가 zh-CN이었습니다. 언어 지표만으로도 중국 공격자를 강력히 의심하게 합니다.”
또 실크스펙터가 블랙프라이데이를 테마로 만든 웹사이트나 도메인들을 역추적했을 때 중국의 호스팅 업체가 나오기도 했다. 위에서 언급한 Oemapps다. “중국의 SaaS 플랫폼으로, 실크스펙터는 이 호스팅 서비스를 통해 콘텐츠를 전송하고 사이트를 구축하는 등 여러 가지 기반을 마련했습니다. 89개 이상의 IP주소와 4000개 이상의 도메인이 이 Oemapps와 연결되어 있었습니다.”
도메인 등록자 역시 중국에 있는 조직이었다. “실크스펙터의 이번 캠페인에서 가장 빈번하게 사용된 도메인 등록자는 웨스트263인터내셔널리미티드(West263 International Limited)라는 중국 조직이었습니다. 그 다음으로는 홍콩에 있는 홍콩쿠밍인터내셔널리미티드(Hong Kong Kouming International Limited)와 클라우드유쿠(Cloud Yuqu LLC)가 사용되기도 했고요. 알리바바클라우드(Alibaba Cloud) 역시 활용됐습니다. 전부 중국 업체임을 알 수 있습니다.”
안전한 블랙프라이데이 쇼핑을 위해서
블랙프라이데이를 노리는 조직은 실크스펙터만이 아닐 것이다. 또 올해만 이런 공격자들이 드글드글한 것도 아닐 것이다. 그러므로 블랙프라이데이에 쇼핑을 하려 한다면 상당히 주의해야 하는데, 일렉트릭아이큐는 “가상 카드를 사용하라”고 권한다. “많은 은행에서 온라인 구매를 위한 가상 카드를 제공하며, 이런 카드 역시 사용 제한이나 지출 한도 설정이 가능합니다. 가상 카드는 진짜 카드와 다르며, 유출 시 쉽게 취소할 수도 있습니다.”
진짜 카드를 계속 써야 한다면 “지출 한도와 사용 제한 조건을 꼼꼼하게 설정하라”고 권하기도 한다. “은행에 연락해 거래 한도를 설정하는 게 좋습니다. 사는 곳에 따라 해외 구매를 제한해도 괜찮고요. 온라인 거래 시 추가 인증을 요구하도록 조건을 변경하는 것도 권장할 만합니다. 많은 은행들도 사기에 골치 아픈 상황이라 이런 조건들을 충분히 충족시켜 줄 수 있습니다.”
3줄 요약
1. 블랙프라이데이 노리는 해커들, 이미 활동 시작.
2. 특히 중국의 실크스펙터는 가짜 사이트를 4천 개나 마련하여 피해자들 낚고 있음.
3. 너무 후한 조건에 혹하지 말고, 결제 시 사용하는 카드에 제한 조건을 걸어두는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>