사이트 내에서 네이버 계정 탈취 시도까지 있었다!
전반적인 보안체계 점검 필요...허술한 보안관리 도마 위
[보안뉴스 권 준] 국내 대표적인 인터넷 쇼핑몰인 인터파크 고객의 개인정보 1,030만 건이 해킹으로 인해 유출돼 파장이 일파만파 확산되고 있다. 천만 건 이상의 개인정보가 유출된 대형 해킹사건인데가 해킹범이 인터파크 측에 30억원 상당의 비트코인을 요구한 것으로 알려져 해커조직의 정체에도 관심이 집중되고 있는 상황이다.
▲ 네이버 계정 탈취 목적의 자바스크립트가 삽입된 인터파크내 페이지(출처: 울지않는벌새 블로그)
이러한 가운데 인터파크 사이트 내에서 국내 최대 포털사이트인 네이버(Naver) 계정 탈취를 노린 악성코드가 삽입돼 있던 것으로 드러나 인터파크의 보안체계가 그간 상당히 취약했던 것 아니냐는 비판이 다시금 제기되고 있다.
보안전문 블로거 울지않는벌새(이하 벌새)에 따르면 10일 전후로 인터파크 상품 판매 게시글 일부에 네이버 계정 탈취를 목적으로 삽입된 자바스크립트(JavaScript) 코드가 삽입되어 있는 부분이 확인됐다.
네이버 계정 정보를 탈취하기 위한 목적으로 제작된 네이버 로그인 피싱(Phishing) 사이트는 2013년경부터 등장하기 시작해 최근에는 다양한 사이트에서 발견된 바 있다. 특히, 이번에 확인된 인터파크 사례는 자동화된 형태로 코드 삽입이 이루어지는 것으로 알려졌다.
벌새는 “이번에 확인된 상품 판매 게시글에서는 제목 영역에 src=h**p://admin.******tour.co.kr/boss/log/3.js/ 코드가 포함되어 있으며 자동화된 프로그램을 통해 보안취약점이 존재하는 게시판을 노린 것으로 추정된다”며, “여기서 3.js 스크립트 파일을 확인해보면 adfwedfa34rsfsfadfadfadf= 쿠키(Cookie)값을 지정하여 재접속여부를 체크하며, 국내 특정 웹 서버로 연결되도록 구성되어 있다”고 밝혔다.
이렇게 연결된 가짜 네이버 로그인 피싱 페이지는 사용자 아이디와 비밀번호 입력을 요청하는 로그인 형태로 되어 있으며, URL 주소를 제대로 확인하지 않은 상태에서는 진짜와 가짜를 판별하기 매우 어렵다.
▲ 네이버 로그인 피싱 페이지 화면(출처: 울지않는벌새 블로그)
특히, 이번에 발견된 해당 네이버 로그인 피싱 페이지에 접속할 경우 카운터(Counter) 체크를 목적으로 중국에서 운영하는 51Yes.com 코드가 포함되어 있는 것으로 확인됐다. 또한, 접속자가 의심 없이 네이버 아이디와 비밀번호를 입력해 로그인을 시도할 경우 입력된 정보는 또 다른 국내 웹 서버로 전송되는 것을 확인할 수 있었다는 게 벌새의 설명이다.
최근 인터넷상에서 네이버 관련 서비스가 아닌 곳에서 네이버 로그인 페이지로 연결되거나 이미 로그인 상태에서 재로그인을 요구하는 페이지가 자주 등장함에 따라 인터넷 사용자들은 네이버 계정 로그인시 반드시 웹 브라우저의 주소창을 확인하는 등 각별한 주의가 필요하다.
벌새는 “인터파크의 경우에도 외부에서 자동화된 코드 삽입 공격에 상품 게시판이 취약한 것으로 보이기 때문에 보안점검이 필요해 보인다”고 밝혔다.
이렇듯 개인정보 유출로 큰 곤혹을 치르고 있는 인터파크 사이트 내에서 네이버 계정 탈취 시도까지 있었던 것으로 드러나 인터파크 사이트 전반의 허술한 보안관리 문제가 도마에 오르고 있다.
[권 준 기자(editor@boannews.com)]
전반적인 보안체계 점검 필요...허술한 보안관리 도마 위
[보안뉴스 권 준] 국내 대표적인 인터넷 쇼핑몰인 인터파크 고객의 개인정보 1,030만 건이 해킹으로 인해 유출돼 파장이 일파만파 확산되고 있다. 천만 건 이상의 개인정보가 유출된 대형 해킹사건인데가 해킹범이 인터파크 측에 30억원 상당의 비트코인을 요구한 것으로 알려져 해커조직의 정체에도 관심이 집중되고 있는 상황이다.
▲ 네이버 계정 탈취 목적의 자바스크립트가 삽입된 인터파크내 페이지(출처: 울지않는벌새 블로그)
이러한 가운데 인터파크 사이트 내에서 국내 최대 포털사이트인 네이버(Naver) 계정 탈취를 노린 악성코드가 삽입돼 있던 것으로 드러나 인터파크의 보안체계가 그간 상당히 취약했던 것 아니냐는 비판이 다시금 제기되고 있다.
보안전문 블로거 울지않는벌새(이하 벌새)에 따르면 10일 전후로 인터파크 상품 판매 게시글 일부에 네이버 계정 탈취를 목적으로 삽입된 자바스크립트(JavaScript) 코드가 삽입되어 있는 부분이 확인됐다.
네이버 계정 정보를 탈취하기 위한 목적으로 제작된 네이버 로그인 피싱(Phishing) 사이트는 2013년경부터 등장하기 시작해 최근에는 다양한 사이트에서 발견된 바 있다. 특히, 이번에 확인된 인터파크 사례는 자동화된 형태로 코드 삽입이 이루어지는 것으로 알려졌다.
벌새는 “이번에 확인된 상품 판매 게시글에서는 제목 영역에 src=h**p://admin.******tour.co.kr/boss/log/3.js/ 코드가 포함되어 있으며 자동화된 프로그램을 통해 보안취약점이 존재하는 게시판을 노린 것으로 추정된다”며, “여기서 3.js 스크립트 파일을 확인해보면 adfwedfa34rsfsfadfadfadf= 쿠키(Cookie)값을 지정하여 재접속여부를 체크하며, 국내 특정 웹 서버로 연결되도록 구성되어 있다”고 밝혔다.
이렇게 연결된 가짜 네이버 로그인 피싱 페이지는 사용자 아이디와 비밀번호 입력을 요청하는 로그인 형태로 되어 있으며, URL 주소를 제대로 확인하지 않은 상태에서는 진짜와 가짜를 판별하기 매우 어렵다.
▲ 네이버 로그인 피싱 페이지 화면(출처: 울지않는벌새 블로그)
특히, 이번에 발견된 해당 네이버 로그인 피싱 페이지에 접속할 경우 카운터(Counter) 체크를 목적으로 중국에서 운영하는 51Yes.com 코드가 포함되어 있는 것으로 확인됐다. 또한, 접속자가 의심 없이 네이버 아이디와 비밀번호를 입력해 로그인을 시도할 경우 입력된 정보는 또 다른 국내 웹 서버로 전송되는 것을 확인할 수 있었다는 게 벌새의 설명이다.
최근 인터넷상에서 네이버 관련 서비스가 아닌 곳에서 네이버 로그인 페이지로 연결되거나 이미 로그인 상태에서 재로그인을 요구하는 페이지가 자주 등장함에 따라 인터넷 사용자들은 네이버 계정 로그인시 반드시 웹 브라우저의 주소창을 확인하는 등 각별한 주의가 필요하다.
벌새는 “인터파크의 경우에도 외부에서 자동화된 코드 삽입 공격에 상품 게시판이 취약한 것으로 보이기 때문에 보안점검이 필요해 보인다”고 밝혔다.
이렇듯 개인정보 유출로 큰 곤혹을 치르고 있는 인터파크 사이트 내에서 네이버 계정 탈취 시도까지 있었던 것으로 드러나 인터파크 사이트 전반의 허술한 보안관리 문제가 도마에 오르고 있다.
[권 준 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
_m.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
