기존의 스키머 공격 기법을 완전히 비튼 새 캠페인이 발견됐다. 여기에 카시오 등 적잖은 온라인 매장들과, 그 고객들이 당했다. 노골적으로 수상한 공격이었는데 아무도 알아채지 못했다는 게 오히려 충격이다.
3줄 요약
1. 마젠토 플랫폼 겨냥 스키머 캠페인 발견.
2. 英 카시오 등 17개 매장 피해.
3. 변칙 공격에 속수무책.
[보안뉴스 문가용 기자] 영국 카시오를 비롯해 17개의 웹사이트들이 스키머에 감염된 것으로 밝혀졌다. 사건 조사 초기 단계에서 나온 사실에 불과하기 때문에 더 많은 피해자들이 나타날 수도 있고, 공격자들의 기법 역시 더 상세히 드러날 수 있다. 또한, 그렇기 때문에 피해자들에 대한 내용도 일부만 공개되고 있다.
[이미지 = gettyimagesbank]
현재까지 알려진 바에 따르면 이번 공격을 감행한 자들은 마젠토(Magento) 플랫폼의 취약점을 익스플로잇 했을 가능성이 높다고 하는데, 아직 정확한 건 아니다. 피해자들 중 유일하게 이름이 공개된 카시오(casio.co.uk)의 경우 1월 14일부터 24일사이에 공격이 있었던 것으로 분석됐고, 감염 사실이 발견된 건 28일이었다. 29일부터 멀웨어는 제거된 상태였고, 현재 영국 카시오는 정상적으로 운영되고 있다.
2단계 감염
스키머는 두 단계에 걸쳐 감염을 진행한 것으로 분석됐다. 보안 업체 제이스크램블러(Jscrambler)에 따르면 “첫 단계에서는 로더 멀웨어가 사용됐다”고 한다. “난독화가 전혀 탑재되어 있지 않았고, 공격자들이 직접 만들지 않은, 서드파티 스크립트 로더로 보입니다. 스키머를 로딩한 이후에는 스스로를 제거하는 게 주요 특징입니다.”
이 로더를 통해 피해자 시스템에 설치되는 2단계 스키머의 경우 여러 가지 난독화 기술을 탑재하고 있었다. “각 사이트마다 변형되는 ‘맞춤형 인코딩 기법’이 제일 눈에 띕니다만, 이것 자체가 새로운 기술은 아닙니다. 최소 2022년부터 여러 공격자들이 사용하고 있습니다. 또, XOR 기반 문자열 은폐 기술이 활용되고 있기도 했습니다. 강력한 난독화 기법이라고 하기는 어렵지만, 정적 분석 도구나 웹 방화벽을 우회하는 데 효과적일 수 있습니다.”
타 스키머와 다른 점
스키머는 신용카드 정보를 가로채는 멀웨어다. 그렇기 때문에 온라인 상거래 사이트 내 결제 페이지에 주로 설치된다. 하지만 이번 캠페인은 그렇지 않았다. “오히려 결제 페이지만 빼고 다른 모든 페이지들에서 스키머 코드가 작동하고 있었습니다. 기존 스키머 캠페인과 정 반대의 모습을 보였던 것입니다. 그 이유와 공격 동기를 좀 더 파헤쳐 봐야 할 필요가 있습니다.”
스키머를 남다르게 배치해서인지, 공격도 남다르게 진행된 것으로 보인다. “웹 쇼핑을 하는 사람들은 보통 물건을 장바구니에 담고, 마지막에 한꺼번에 결제합니다. 이번 캠페인에서 공격자들은 장바구니 페이지에 있는 ‘결제’ 버튼을 가로채 피해자들이 실제 결제 페이지가 아니라 가짜 페이지로 접속하도록 했습니다.”
가짜 결제는 3단계로 진행된다고 제이스크램블러는 설명한다. “1단계에서 피해자는 이메일, 국가, 이름, 성, 주소, 도시, 우편번호, 전화번호를 입력하도록 되어 있습니다. 이 데이터들은 공격자들에게 전송됩니다. 2단계에서는 배송비 관련 정보가 화면에 나타나면서 피해자가 ‘계속’ 버튼을 누르도록 유도합니다. 3단계에 오면 피해자는 신용카드 정보를 입력하게 됩니다. 카드번호, 소유자 이름, 만료일, CVV 코드까지 전부 작성한 뒤 ‘지금 결제’ 버튼을 누르면 오류 메시지가 나타납니다. ‘청구 정보 창을 다시 확인하라’는 내용입니다.”
3단계에서 피해자가 ‘확인’ 버튼을 누르면 스키머는 모든 데이터를 외부로 빼돌리기 시작한다. 그러는 동안 화면에는 아까 피해자가 접속해야 했던 진짜 결제 페이지가 나타난다. 피해자는 다시 한 번 여러 정보를 입력해야 한다. 피해자가 정보를 두 번 입력하기 때문에 이 기법을 ‘이중입력 스키밍 공격’(double-entry skimming attack)이라고 한다.
이 공격 기법의 치명적 단점은 피해자가 장바구니를 거치지 않고 곧바로 구매를 시도할 경우 스키머에 당하지 않는다는 것이다. “공격자들이 모든 경우의 수를 반영하지 않은 채 공격했다는 것을 짐작할 수 있습니다. 그렇다는 건 공격이 꼼꼼하게 기획되지 않았다는 뜻이고, 공격에 필요한 자원을 많이 투자하지 않았다는 의미가 됩니다.”
데이터 유출
공격자들은 피해자로부터 다음과 같은 정보를 가져갔다.
1) 청구지 주소
2) 신용카드 소유자 이름
3) 신용카드 번호와 만료일, CVV 코드
4) 전화번호
5) 이메일 주소
이 정보들은 AES-256-CBC 방식으로 암호화 됐다.
스키머는 전부 같은 호스팅 업체로부터 로딩된 것으로 분석됐다. 러시아 업체였다. 다양한 피해자들에게서 발견된 스키머 전부 동일한 패턴을 보였다. “하지만 배후에 단일 혹은 동일 공격 단체가 있을 것이라고 결론을 내리기에는 이릅니다. 그럴 가능성도 있지만 확증할 수는 없습니다. 오히려 지금은 모든 스키머 코드가 같은 개발 도구로 만들어졌다고 보는 게 맞습니다.”
그래서?
제이스크램블러는 이번 공격 캠페인에서 주목해야 할 것이 크게 두 가지라고 짚는다. “사용자가 결제 정보를 두 번 입력해야만 했고, 이상한 오류 메시지가 떴습니다. 공격자들이 꽤나 허술하게 공격을 계획하고 진행했다는 뜻도 되지만, 피해자들이 충분히 의심해볼 만한 지점들이 있었다는 뜻도 됩니다. 그럼에도 피해자들 중 대다수는 이러한 사실을 전혀 눈치채지 못했습니다.”
제이스크램블러는 “이게 지금 사이버 공격에 노출되어 있는 많은 기업과 사용자들의 현실”이라고 꼬집는다. “초기에 발견된 피해 업체만 17개입니다. 이 17개 업체의 사용자들을 합하면 적지 않은 수가 되겠죠. 그런데 그 사용자들 중 그 누구도 이상하다고 신고하지 않았습니다. 심지어 업체들도 감염 사실을 모르고 있었어요. 일반 사용자들이나 기업들이 문제를 미리 발견해 경고해주기를 기대하는 건 아직 불가능합니다.”
더불어 마젠토 플랫폼에서의 문제가 지속되고 있다는 것 역시 생각해봐야 한다고 제이스크램블러는 말한다. “온라인 상거래 플랫폼들 중 인기가 높다 하는 것들은 이미 수년 동안 각종 공격에 노출되어 왔습니다. 그런데도 마젠토를 이용해 사업을 하는 업체들 대부분 취약점 관리나 업데이트를 제대로 하지 않고 있습니다. 최소한의 모니터링도 좀처럼 하지 않고 있고, 그래서 이런 공격을 허용하고 있습니다. 내가 사용하고 있는 플랫폼이 자주 뉴스에 오르내린다면 없던 경각심도 생겨야 하는데, 그런 기미가 보이지 않습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 마젠토 플랫폼 겨냥 스키머 캠페인 발견.
2. 英 카시오 등 17개 매장 피해.
3. 변칙 공격에 속수무책.
[보안뉴스 문가용 기자] 영국 카시오를 비롯해 17개의 웹사이트들이 스키머에 감염된 것으로 밝혀졌다. 사건 조사 초기 단계에서 나온 사실에 불과하기 때문에 더 많은 피해자들이 나타날 수도 있고, 공격자들의 기법 역시 더 상세히 드러날 수 있다. 또한, 그렇기 때문에 피해자들에 대한 내용도 일부만 공개되고 있다.
[이미지 = gettyimagesbank]
현재까지 알려진 바에 따르면 이번 공격을 감행한 자들은 마젠토(Magento) 플랫폼의 취약점을 익스플로잇 했을 가능성이 높다고 하는데, 아직 정확한 건 아니다. 피해자들 중 유일하게 이름이 공개된 카시오(casio.co.uk)의 경우 1월 14일부터 24일사이에 공격이 있었던 것으로 분석됐고, 감염 사실이 발견된 건 28일이었다. 29일부터 멀웨어는 제거된 상태였고, 현재 영국 카시오는 정상적으로 운영되고 있다.
2단계 감염
스키머는 두 단계에 걸쳐 감염을 진행한 것으로 분석됐다. 보안 업체 제이스크램블러(Jscrambler)에 따르면 “첫 단계에서는 로더 멀웨어가 사용됐다”고 한다. “난독화가 전혀 탑재되어 있지 않았고, 공격자들이 직접 만들지 않은, 서드파티 스크립트 로더로 보입니다. 스키머를 로딩한 이후에는 스스로를 제거하는 게 주요 특징입니다.”
이 로더를 통해 피해자 시스템에 설치되는 2단계 스키머의 경우 여러 가지 난독화 기술을 탑재하고 있었다. “각 사이트마다 변형되는 ‘맞춤형 인코딩 기법’이 제일 눈에 띕니다만, 이것 자체가 새로운 기술은 아닙니다. 최소 2022년부터 여러 공격자들이 사용하고 있습니다. 또, XOR 기반 문자열 은폐 기술이 활용되고 있기도 했습니다. 강력한 난독화 기법이라고 하기는 어렵지만, 정적 분석 도구나 웹 방화벽을 우회하는 데 효과적일 수 있습니다.”
타 스키머와 다른 점
스키머는 신용카드 정보를 가로채는 멀웨어다. 그렇기 때문에 온라인 상거래 사이트 내 결제 페이지에 주로 설치된다. 하지만 이번 캠페인은 그렇지 않았다. “오히려 결제 페이지만 빼고 다른 모든 페이지들에서 스키머 코드가 작동하고 있었습니다. 기존 스키머 캠페인과 정 반대의 모습을 보였던 것입니다. 그 이유와 공격 동기를 좀 더 파헤쳐 봐야 할 필요가 있습니다.”
스키머를 남다르게 배치해서인지, 공격도 남다르게 진행된 것으로 보인다. “웹 쇼핑을 하는 사람들은 보통 물건을 장바구니에 담고, 마지막에 한꺼번에 결제합니다. 이번 캠페인에서 공격자들은 장바구니 페이지에 있는 ‘결제’ 버튼을 가로채 피해자들이 실제 결제 페이지가 아니라 가짜 페이지로 접속하도록 했습니다.”
가짜 결제는 3단계로 진행된다고 제이스크램블러는 설명한다. “1단계에서 피해자는 이메일, 국가, 이름, 성, 주소, 도시, 우편번호, 전화번호를 입력하도록 되어 있습니다. 이 데이터들은 공격자들에게 전송됩니다. 2단계에서는 배송비 관련 정보가 화면에 나타나면서 피해자가 ‘계속’ 버튼을 누르도록 유도합니다. 3단계에 오면 피해자는 신용카드 정보를 입력하게 됩니다. 카드번호, 소유자 이름, 만료일, CVV 코드까지 전부 작성한 뒤 ‘지금 결제’ 버튼을 누르면 오류 메시지가 나타납니다. ‘청구 정보 창을 다시 확인하라’는 내용입니다.”
3단계에서 피해자가 ‘확인’ 버튼을 누르면 스키머는 모든 데이터를 외부로 빼돌리기 시작한다. 그러는 동안 화면에는 아까 피해자가 접속해야 했던 진짜 결제 페이지가 나타난다. 피해자는 다시 한 번 여러 정보를 입력해야 한다. 피해자가 정보를 두 번 입력하기 때문에 이 기법을 ‘이중입력 스키밍 공격’(double-entry skimming attack)이라고 한다.
이 공격 기법의 치명적 단점은 피해자가 장바구니를 거치지 않고 곧바로 구매를 시도할 경우 스키머에 당하지 않는다는 것이다. “공격자들이 모든 경우의 수를 반영하지 않은 채 공격했다는 것을 짐작할 수 있습니다. 그렇다는 건 공격이 꼼꼼하게 기획되지 않았다는 뜻이고, 공격에 필요한 자원을 많이 투자하지 않았다는 의미가 됩니다.”
데이터 유출
공격자들은 피해자로부터 다음과 같은 정보를 가져갔다.
1) 청구지 주소
2) 신용카드 소유자 이름
3) 신용카드 번호와 만료일, CVV 코드
4) 전화번호
5) 이메일 주소
이 정보들은 AES-256-CBC 방식으로 암호화 됐다.
스키머는 전부 같은 호스팅 업체로부터 로딩된 것으로 분석됐다. 러시아 업체였다. 다양한 피해자들에게서 발견된 스키머 전부 동일한 패턴을 보였다. “하지만 배후에 단일 혹은 동일 공격 단체가 있을 것이라고 결론을 내리기에는 이릅니다. 그럴 가능성도 있지만 확증할 수는 없습니다. 오히려 지금은 모든 스키머 코드가 같은 개발 도구로 만들어졌다고 보는 게 맞습니다.”
그래서?
제이스크램블러는 이번 공격 캠페인에서 주목해야 할 것이 크게 두 가지라고 짚는다. “사용자가 결제 정보를 두 번 입력해야만 했고, 이상한 오류 메시지가 떴습니다. 공격자들이 꽤나 허술하게 공격을 계획하고 진행했다는 뜻도 되지만, 피해자들이 충분히 의심해볼 만한 지점들이 있었다는 뜻도 됩니다. 그럼에도 피해자들 중 대다수는 이러한 사실을 전혀 눈치채지 못했습니다.”
제이스크램블러는 “이게 지금 사이버 공격에 노출되어 있는 많은 기업과 사용자들의 현실”이라고 꼬집는다. “초기에 발견된 피해 업체만 17개입니다. 이 17개 업체의 사용자들을 합하면 적지 않은 수가 되겠죠. 그런데 그 사용자들 중 그 누구도 이상하다고 신고하지 않았습니다. 심지어 업체들도 감염 사실을 모르고 있었어요. 일반 사용자들이나 기업들이 문제를 미리 발견해 경고해주기를 기대하는 건 아직 불가능합니다.”
더불어 마젠토 플랫폼에서의 문제가 지속되고 있다는 것 역시 생각해봐야 한다고 제이스크램블러는 말한다. “온라인 상거래 플랫폼들 중 인기가 높다 하는 것들은 이미 수년 동안 각종 공격에 노출되어 왔습니다. 그런데도 마젠토를 이용해 사업을 하는 업체들 대부분 취약점 관리나 업데이트를 제대로 하지 않고 있습니다. 최소한의 모니터링도 좀처럼 하지 않고 있고, 그래서 이런 공격을 허용하고 있습니다. 내가 사용하고 있는 플랫폼이 자주 뉴스에 오르내린다면 없던 경각심도 생겨야 하는데, 그런 기미가 보이지 않습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
