워드프레스 플러그인을 공격자들이 직접 만들었다. 그리고 이 플러그인을 통해 꽤나 정교하고 고차원적인 피싱 공격을 실행하는 중이다. 그것도 전 세계적으로.
3줄 요약
1. 사이버 공격자들이 직접 워드프레스 플러그인 만들어 배포.
2. 이 플러그인의 주요 기능은 피싱 공격.
3. 플러그인 설치할 때 상당한 주의가 요구됨
[보안뉴스 문가용 기자] 정상적인 웹사이트를 피싱 사이트로 둔갑시키는 워드프레스 플러그인이 등장했다. 평상시대로 온라인 쇼핑 사이트에서 살 물건을 고르고, 익숙한 결제 서비스인 스트라입(Stripe)을 통해 돈을 지불했을 뿐인데 어느 새 사용자들은 구매자가 아니라 피해자가 되어 있는 상황이 여기 저기서 벌어지고 있다. 이 플러그인의 이름은 피시WP(PhishWP)다.
[이미지 = gettyimagesbank]
보안 업체 슬래시넥스트(SlashNext)가 조사한 바에 따르면 피시WP는 사이버 범죄자들이 만든 워드프레스 플러그인이라고 하며, 스트라입을 비롯해 사용자가 많은 지불 대행 서비스 및 각종 금융 서비스에서 제공하는 것과 똑같아 보이는 결제 페이지를 생성하는 기능을 가지고 있다고 한다. 너무 똑같아서 온라인 구매자들은 별다른 의심 없이 신용카드 번호, 만료일, CVV 번호, 청구지 주소를 입력하게 되며, 휴대폰으로 쇼핑을 할 경우 일회용 비밀번호 정보까지도 입력한다. 당연하지만 이 정보들은 전부 공격자들이 텔레그램에 마련한 채널로 넘어간다.
피시WP의 기능
공격자들은 신뢰도가 높은 워드프레스 웹사이트를 해킹하거나, 아니면 처음부터 피싱을 목적으로 한 웹사이트를 만들어 피시WP를 설치한다. 플러그인을 결제 게이트웨이로 설정하기만 하면 작업은 끝난다. 그러면 사용자들이 이 사이트들로 접속해 결제를 진행하고, 그러면서 정보 탈취가 자연스럽게 발생하게 된다.
단지 결제 서비스를 흉내 내는 것만이 전부는 아니다. “고급 기술도 사용합니다. 사용자 인증 과정 중에 발송되는 일회용 비밀번호를 가로채는 것도 이런 고급 기술에 포함되죠. 이것만 있으면 피시WP는 사실상 피해자 자신이 되어 가짜 거래를 진행하거나 가짜 거래를 진짜처럼 보이게 만들 수 있게 됩니다. 피해자 입장에서는 눈 깜짝할 사이에 피해가 일어나는 것으로, 알아채기가 힘듭니다.”
피시WP에 탑재된 주요 기능은 다음과 같다고 슬래시넥스트가 정리한다.
1) 맞춤형 결제 페이지 : 유명 결제 대행 서비스의 인터페이스를 흉내 내 가짜 인터페이스를 만든다.
2) 인증 코드 수집 : 팝업 창을 통해 피해자들이 일회용 인증번호를 입력하게 만들며, 이 정보를 가지고 이중인증 절차를 우회한다.
3) 텔레그램과의 연동 : 훔친 데이터를 즉시 공격자에게 전송함으로써 실시간 악용이 가능하다.
4) 브라우저 프로파일링 : IP 주소, 화면 해상도, 사용자 에이전트 같은 세부 정보를 수집하여 추가 공격을 준비한다.
5) 자동 응답 이메일 : 피해자에게 가짜 주문 확인 이메일을 보내 의심을 조금이라도 덜 받도록 시간을 끈다.
6) 다국어 지원 : 여러 언어를 지원하며, 실제 전 세계적으로 피싱 캠페인을 진행한다.
7) 난독화 : 추적과 탐지, 분석을 최대한 방해한다.
피시WP의 실제 공격 시나리오
피시WP를 이용한 실제 공격은 어떤 식으로 이뤄질까? 슬래시넥스트는 다음과 같은 일례를 든다.
1) 인기 상품을 할인된 가격으로 판매하는 가짜 쇼핑몰 사이트를 만든다.
2) 이 사이트에 피시WP 플러그인을 설치하고, 이를 통해 결제 페이지를 복제하여 삽입한다.
3) 이제 사용자를 유인할 차례다. 이 단계에서는 여러 가지 전략들이 사용된다. 악성 광고를 올리기도 하고, 검색 최적화 조작 기법을 쓰기도 하며, 소셜엔지니어링 공격이 시도되기도 한다. 유입된 피해자들은 가짜 결제 페이지로 접속되고, 여기서 결제 정보와 개인정보를 입력한다.
4) 이어서 추가 인증 팝업 창이 뜨고 일회용 비밀번호를 요구한다. 사용자는 별 다른 의심없이 여기에 응한다.
5) 그러는 동안 피시WP는 뒤에서 수집된 모든 정보를 실시간으로 공격자의 텔레그램 계정으로 전송한다.
6) 공격자는 이 데이터를 다크웹에 판매하거나, 사기 구매를 진행하는 등 추가 공격을 이어간다.
7) 동시에 피시WP는 가짜 결제 확인 메일을 생성해 피해자에게 보낸다. 이로써 피해자는 자신이 여태까지 한 게 실제 구매라고 착각하게 된다.
그래서?
워드프레스 생태계는 플러그인이 다 망친다. 사실 워드프레스만이 아니라 모든 ‘메이저’ 브라우저들도 마찬가지다. 작은 애플리케이션들인 플러그인은 누구나 쉽고 빠르게 구하고 설치할 수 있지만, 의외로 보안 검사 시스템이나 기술이 발달되어 있지 않으며, 빠르게 구하고 쉽게 설치한 만큼 한 번 사용하고 잊어버리는 경우가 많다. 그래서 공격 통로가 될 지도 모르는 것들이 사방팔방 널려 있는 경우가 대단히 많다.
크롬 브라우저도 여러 플러그인을 조합해 사용할 수 있고, 실제 그런 사용자들이 대다수다. 광고 차단기(애드블로커)도 플러그인 형태로 배포된다. 워드프레스 생태계도 플러그인이 활성화 되어 있고, 대다수 사용자가 최소 하나 이상의 플러그인을 설치해 사용한다. 앞으로도 플러그인은 계속해서 사용될 것이고, 더 많은 플러그인들이 나와 인기를 끌다 사라질 것이다. 그러므로 플러그인 관리 습관을 키우는 게 중요하다.
플러그인을 찾아 설치하기 전에 개발사 정보를 먼저 확인하고, 사용자 후기도 꼼꼼하게 읽어보는 게 좋다. 그런 후 안전하다는 판단이 서면 설치하되, 그렇지 않다면 비슷한 기능을 가진 다른 플러그인을 검색하는 게 안전하다. 또한 다 사용한 플러그인이고 자주 쓸 것 같지 않다면 제거하는 것도 현명하다. 어떤 애플리케이션이든 공격 통로로서 활용될 수 있는데, 그러한 가능성을 조금이라도 줄이자는 의미다. 그리고 주기적으로 플러그인 업데이트 소식을 확인하거나, 그게 싫다면 자동 업데이트 기능을 활성화 하는 것도 안전을 위해 권장할 만하다.
하지만 이번 피시WP 사태는 악성 플러그인을 ‘설치해서’ 문제가 된다기보다 악성 플러그인이 설치되어 있는 사이트에서 결제를 했기 때문에 피해가 발생했다고 할 수 있다. 인터넷의 어느 공간에서든 결제를 진행하기 전에는 반드시 ‘내가 지금 결제를 하려 하고 있는 이 플랫폼에 이상은 없는가?’를 확인하는 습관이 필요하다. 특히 가격 등 구매 조건이 너무 좋다면 피싱 공격에 당하고 있을 가능성이 높으니 실제 매장에 전화를 걸어본다거나 사용자 후기를 정독하는 것이 안전하다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 사이버 공격자들이 직접 워드프레스 플러그인 만들어 배포.
2. 이 플러그인의 주요 기능은 피싱 공격.
3. 플러그인 설치할 때 상당한 주의가 요구됨
[보안뉴스 문가용 기자] 정상적인 웹사이트를 피싱 사이트로 둔갑시키는 워드프레스 플러그인이 등장했다. 평상시대로 온라인 쇼핑 사이트에서 살 물건을 고르고, 익숙한 결제 서비스인 스트라입(Stripe)을 통해 돈을 지불했을 뿐인데 어느 새 사용자들은 구매자가 아니라 피해자가 되어 있는 상황이 여기 저기서 벌어지고 있다. 이 플러그인의 이름은 피시WP(PhishWP)다.
[이미지 = gettyimagesbank]
보안 업체 슬래시넥스트(SlashNext)가 조사한 바에 따르면 피시WP는 사이버 범죄자들이 만든 워드프레스 플러그인이라고 하며, 스트라입을 비롯해 사용자가 많은 지불 대행 서비스 및 각종 금융 서비스에서 제공하는 것과 똑같아 보이는 결제 페이지를 생성하는 기능을 가지고 있다고 한다. 너무 똑같아서 온라인 구매자들은 별다른 의심 없이 신용카드 번호, 만료일, CVV 번호, 청구지 주소를 입력하게 되며, 휴대폰으로 쇼핑을 할 경우 일회용 비밀번호 정보까지도 입력한다. 당연하지만 이 정보들은 전부 공격자들이 텔레그램에 마련한 채널로 넘어간다.
피시WP의 기능
공격자들은 신뢰도가 높은 워드프레스 웹사이트를 해킹하거나, 아니면 처음부터 피싱을 목적으로 한 웹사이트를 만들어 피시WP를 설치한다. 플러그인을 결제 게이트웨이로 설정하기만 하면 작업은 끝난다. 그러면 사용자들이 이 사이트들로 접속해 결제를 진행하고, 그러면서 정보 탈취가 자연스럽게 발생하게 된다.
단지 결제 서비스를 흉내 내는 것만이 전부는 아니다. “고급 기술도 사용합니다. 사용자 인증 과정 중에 발송되는 일회용 비밀번호를 가로채는 것도 이런 고급 기술에 포함되죠. 이것만 있으면 피시WP는 사실상 피해자 자신이 되어 가짜 거래를 진행하거나 가짜 거래를 진짜처럼 보이게 만들 수 있게 됩니다. 피해자 입장에서는 눈 깜짝할 사이에 피해가 일어나는 것으로, 알아채기가 힘듭니다.”
피시WP에 탑재된 주요 기능은 다음과 같다고 슬래시넥스트가 정리한다.
1) 맞춤형 결제 페이지 : 유명 결제 대행 서비스의 인터페이스를 흉내 내 가짜 인터페이스를 만든다.
2) 인증 코드 수집 : 팝업 창을 통해 피해자들이 일회용 인증번호를 입력하게 만들며, 이 정보를 가지고 이중인증 절차를 우회한다.
3) 텔레그램과의 연동 : 훔친 데이터를 즉시 공격자에게 전송함으로써 실시간 악용이 가능하다.
4) 브라우저 프로파일링 : IP 주소, 화면 해상도, 사용자 에이전트 같은 세부 정보를 수집하여 추가 공격을 준비한다.
5) 자동 응답 이메일 : 피해자에게 가짜 주문 확인 이메일을 보내 의심을 조금이라도 덜 받도록 시간을 끈다.
6) 다국어 지원 : 여러 언어를 지원하며, 실제 전 세계적으로 피싱 캠페인을 진행한다.
7) 난독화 : 추적과 탐지, 분석을 최대한 방해한다.
피시WP의 실제 공격 시나리오
피시WP를 이용한 실제 공격은 어떤 식으로 이뤄질까? 슬래시넥스트는 다음과 같은 일례를 든다.
1) 인기 상품을 할인된 가격으로 판매하는 가짜 쇼핑몰 사이트를 만든다.
2) 이 사이트에 피시WP 플러그인을 설치하고, 이를 통해 결제 페이지를 복제하여 삽입한다.
3) 이제 사용자를 유인할 차례다. 이 단계에서는 여러 가지 전략들이 사용된다. 악성 광고를 올리기도 하고, 검색 최적화 조작 기법을 쓰기도 하며, 소셜엔지니어링 공격이 시도되기도 한다. 유입된 피해자들은 가짜 결제 페이지로 접속되고, 여기서 결제 정보와 개인정보를 입력한다.
4) 이어서 추가 인증 팝업 창이 뜨고 일회용 비밀번호를 요구한다. 사용자는 별 다른 의심없이 여기에 응한다.
5) 그러는 동안 피시WP는 뒤에서 수집된 모든 정보를 실시간으로 공격자의 텔레그램 계정으로 전송한다.
6) 공격자는 이 데이터를 다크웹에 판매하거나, 사기 구매를 진행하는 등 추가 공격을 이어간다.
7) 동시에 피시WP는 가짜 결제 확인 메일을 생성해 피해자에게 보낸다. 이로써 피해자는 자신이 여태까지 한 게 실제 구매라고 착각하게 된다.
그래서?
워드프레스 생태계는 플러그인이 다 망친다. 사실 워드프레스만이 아니라 모든 ‘메이저’ 브라우저들도 마찬가지다. 작은 애플리케이션들인 플러그인은 누구나 쉽고 빠르게 구하고 설치할 수 있지만, 의외로 보안 검사 시스템이나 기술이 발달되어 있지 않으며, 빠르게 구하고 쉽게 설치한 만큼 한 번 사용하고 잊어버리는 경우가 많다. 그래서 공격 통로가 될 지도 모르는 것들이 사방팔방 널려 있는 경우가 대단히 많다.
크롬 브라우저도 여러 플러그인을 조합해 사용할 수 있고, 실제 그런 사용자들이 대다수다. 광고 차단기(애드블로커)도 플러그인 형태로 배포된다. 워드프레스 생태계도 플러그인이 활성화 되어 있고, 대다수 사용자가 최소 하나 이상의 플러그인을 설치해 사용한다. 앞으로도 플러그인은 계속해서 사용될 것이고, 더 많은 플러그인들이 나와 인기를 끌다 사라질 것이다. 그러므로 플러그인 관리 습관을 키우는 게 중요하다.
플러그인을 찾아 설치하기 전에 개발사 정보를 먼저 확인하고, 사용자 후기도 꼼꼼하게 읽어보는 게 좋다. 그런 후 안전하다는 판단이 서면 설치하되, 그렇지 않다면 비슷한 기능을 가진 다른 플러그인을 검색하는 게 안전하다. 또한 다 사용한 플러그인이고 자주 쓸 것 같지 않다면 제거하는 것도 현명하다. 어떤 애플리케이션이든 공격 통로로서 활용될 수 있는데, 그러한 가능성을 조금이라도 줄이자는 의미다. 그리고 주기적으로 플러그인 업데이트 소식을 확인하거나, 그게 싫다면 자동 업데이트 기능을 활성화 하는 것도 안전을 위해 권장할 만하다.
하지만 이번 피시WP 사태는 악성 플러그인을 ‘설치해서’ 문제가 된다기보다 악성 플러그인이 설치되어 있는 사이트에서 결제를 했기 때문에 피해가 발생했다고 할 수 있다. 인터넷의 어느 공간에서든 결제를 진행하기 전에는 반드시 ‘내가 지금 결제를 하려 하고 있는 이 플랫폼에 이상은 없는가?’를 확인하는 습관이 필요하다. 특히 가격 등 구매 조건이 너무 좋다면 피싱 공격에 당하고 있을 가능성이 높으니 실제 매장에 전화를 걸어본다거나 사용자 후기를 정독하는 것이 안전하다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
