공격자들이 최고로 치는 가치는 ‘가성비’이고, 그 다음은 ‘은밀함’이다. 그런데 그 은밀함이란 것이 그리 대단한 게 아니다. 기존 공격 공식을 살짝씩만 틀어주면 된다. 이번에 발견된 스키머 하나가 이를 증명했다.

3줄 요약
1. 대단히 정교한 스키머 캠페인이 워드프레스 환경에서 발견됨.
2. 멀웨어가 숨은 위치부터 정보 유출 함수까지 모든 것이 은밀, 은밀, 은밀.
3. 무료 사이트 점검 도구 이용하여 멀웨어 삭제하고, 평소 보안 실천 사항 잘 지키는 게 중요.

[보안뉴스 문가용 기자] 웹사이트 내 결제 페이지에 숨겨두는 악성 코드들 중에서 스키머(skimmer)라고 불리는 것이 있다. 신용카드 정보를 중간에서 빼돌리는 멀웨어다. 전자상거래 행위가 보편화 되면서 공격자들은 온갖 방법을 동원하여 어떻게든 스키머를 숨겨두려 하고, 이를 통해 피해자들의 신용카드 정보를 훔쳐가려 한다. 최근 보안 업체 수쿠리(Sucuri)에서는 워드프레스 기반 웹사이트를 겨냥한 정교한 스키머 캠페인을 발견했다고 세상에 알렸다.


[이미지 = gettyimagesbank]

“멀웨어가 발견된 위치가 독특합니다. 워드프레스 데이터베이스의 wp_options 테이블에 삽입되어 있었거든요. 좀 더 구체적으로 밝히자면 option_name이라는 행과 option_value라는 행에서 추출됐습니다. 전자에서는 widge_block이, 후자에서는 난독화 처리까지 된 자바스크립트 코드가 나왔습니다.” 워드프레스 생태계에 등장하는 악성코드의 99%는 플러그인들에 숨겨져 있다는 걸 감안하면 대단히 이례적인 일이라고 할 수 있다.

멀웨어의 작동 방식
데이터베이스 내 악성코드는 제일 먼저 페이지 URL을 검사한다. checkout이라는 단어가 포함되어 있는지 확인하기 위해서다. checkout은 ‘결제’를 의미한다. 즉 결제가 진행되는 페이지를 찾는 것이라고 할 수 있다. “하지만 이 때 ‘쇼핑카트’를 의미하는 cart라는 단어는 제외시킵니다. 오로지 checkout만 존재하는 URL을 찾는 것입니다. 피해자가 결제 정보를 실제로 입력할 준비가 된 상태에서만 멀웨어가 활성화 되도록 설계됐다고 볼 수 있습니다.”

또한 이번 멀웨어는 스트라이프(Stripe)와 같은 인기 높은 결제 서비스를 모방한 가짜 결제 양식을 동적으로 생성하기도 한다. “만약 결제 페이지에 합법적인 결제 양식이 이미 존재한다면 가짜 결제 양식이 따로 생성되지 않습니다. 해당 양식에 입력되는 값을 스키머 멀웨어가 실시간으로 가로챌 뿐입니다.”

데이터를 훔친 뒤에는 난독화 작업을 실시한다. 이 때 사용되는 알고리즘은 베이스64(Base64)와 AEC-CBC이다. “두 가지 암호화 알고리즘을 혼용함으로써 데이터가 전송되는 동안 정상으로 보이게 만들기도 하며, 무엇보다 복호화와 분석을 한층 더 어렵게 만듭니다.”

이렇게 암호화로 포장까지 다 된 데이터는 공격자가 제어하는 서버로 전송된다. 유출 시 사용되는 건 navigator.sendBeacon이라는 함수이다. 은밀하게 작동하며, 특히 정보 전송을 위해 시스템 자원을 소모시킴으로서 피해자가 뭔가 이상하다거나 느리다고 느끼게끔 하지 않는 것이 가장 큰 특징인 것으로 분석됐다.

처음부터 끝까지 은밀한데...
이 스키머 캠페인의 가장 큰 특징은 ‘은밀함’이라고 할 수 있다. 워드프레스를 노리는 전형적인 공격과 달리 데이터베이스에 멀웨어가 삽입된다는 점, 오직 checkout이라는 문자열이 포함된 URL에서만 작동한다는 점, 정상 결제 서비스를 모방한 양식을 활용하되 경우에 따라 사이트에 이미 존재하는 양식들로부터 실시간으로 데이터를 훔친다는 점, 훔친 데이터를 두 개의 암호화 알고리즘으로 난독화 해서, 시스템 자원을 무리해서 소모시키지 않는 방식으로 빼돌린다는 점 모두 이 캠페인을 은밀하게 만든다.

“신용카드 번호, CVV와 같은 결제 정보가 조용히 새나갑니다. 백그라운드에서 작동하며, 정상적인 결제 과정을 전혀 방해하지 않습니다. 그래서 더욱 위험하다고 할 수 있습니다. 공격자들은 이런 정보를 꾸준히 전송 받아 다크웹 등에서 판매할 수 있고, 이를 구매한 자들은 추가 공격을 이어갈 수 있게 됩니다. 피해자의 카드로 비싼 물건을 구매한다든지, 피해자도 모르는 구독 서비스에 가입함으로써 부당 수익을 늘린다는지 하는 용도로 이런 정보들은 사용됩니다.”

그렇다면 워드프레스 기반 결제 페이지를 운영하는 회사나 개인들은 어떻게 이 공격을 탐지해야 할까? 수쿠리는 자사가 개발한 사이트체크(SiteCheck)라는 멀웨어 탐지 도구를 권장한다. 웹 브라우저를 통해 실행시킬 수 있으며, 무엇보다 무료로 제공되기 때문에 워드프레스 사이트 운영자라면 누구나 부담없이 사용할 수 있기 때문이다.

그래서?
적절히 대처하는 것도 중요하지만, 그 무엇보다 이런 스키머 공격에 처음부터 당하지 않는 게 가장 좋다고 수쿠리는 강조한다. “고객들이 단 한 사람이라도 당하지 않아야 웹사이트의 평판이 올라가거나 유지되고, 그래야 사업상 불이익을 받지 않게 됩니다. 스키머에 소비자가 당해서 카드 사기를 당했는데, 그게 하필이면 나의 사이트에서부터 시작된 거라면 그 소비자도 피해자가 되지만, 사이트 운영자 역시 피해자가 됩니다.”

그러므로 전자상거래 사이트 운영자들이라면 평소부터 보안 실천 사항을 꼼꼼히 지키는 게 중요하다. 수쿠리는 “정기적으로 사이트를 업데이트 하고, 특히 플러그인과 테마의 최신화에 신경 쓰는 게 좋다”고 강조한다. “워드프레스 환경은 플러그인과 테마가 거의 모든 보안 문제의 근원이 됩니다. 이 두 개만 신경 써서 관리해도 많은 공격을 예방할 수 있습니다.”

관리자 계정 역시 중요한 관리 대상이다. “관리자 계정의 비밀번호만큼은 어렵게 만들고, 되도록 다중인증을 적용하는 게 좋습니다. 관리자 계정 하나가 뚫리면 공격자는 무엇이든 할 수 있게 됩니다. 이런 일을 대비하여 사이트를 구성하는 파일들의 무결성 역시 주기적으로 검사하는 걸 권장합니다. 관리자 계정을 훔친 공격자라면 은밀히 중요한 파일 몇 개만 조작해둘 수 있거든요.”

이번에 발견되고 분석된 스키머의 실제 함수들과, 사이트 운영자들이 간단히 실시할 수 있는 멀웨어 제거 방법은 이번 주 목요일(16일)에 발행되는 프리미엄 리포트를 통해 열람하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>