.gif)
악성 스크립트 가져오는 주소, 애널리틱스와 앵귤러 원래 주소와 흡사
피해를 직접 입는 건 전자상거래 사이트 이용 고객...스크립트 추가 현황 살펴야
[보안뉴스 문가용 기자] 신용카드 정보를 훔치는 스크립트가 웹상에서 부쩍 늘어났다는 소식이 나왔다. 이 스크립트들은 현재 정상적인 구글 애널리틱스(Google Analytics)나 앵귤러(Angular)인 것처럼 웹 마스터들의 눈을 속이며, 여러 웹사이트들에 주입되는 방식으로 퍼져가고 있다고 한다.
[이미지 = iclickart]
이를 발견한 보안 업체 수쿠리(Sucuri)에 의하면 이 악성 스크립트는 난독화 처리가 된 상태로 정상 JS 파일들에 주입되는데, 피해가 주로 발생하는 곳은 마젠토(Magento)로 구축된 사이트들이다. JS 파일이란, 자바스크립트 코드가 저장된 텍스트 파일로 자바스크립트 명령을 웹 페이지 내에서 실행한다.
이 캠페인의 독특한 점은 공격이 수준 높은 ‘맞춤형’으로 진행된다는 것이다. 수쿠리의 보안 전문가들에 따르면 “공격 한 건 한 건마다 매우 일정한 접근법을 보이면서도 독특한 개인화를 이뤄낸다”고 한다. “침해된 모든 사이트들에서 발견되는 ‘선물 세트’ 같은 것들이 있습니다. 주입된 스크립트, 눈을 현혹시키거나 탐지 시스템을 농락하는 변수들과 파일 이름, 다양한 난독화 기술 등이 바로 그것이죠. 그런데 이 구성 요소들이 작동할 때 구글 애널리틱스나 마젠토 변환 등의 작업이 진행되는 것처럼 보이도록 꾸며져 있습니다.”
그는 예를 들어 설명을 이어간다. “어떤 웹사이트에서 발견된 난독화 코드의 경우, www.google-analytics.cm/analytics.js라는 도메인에서 또 다른 스크립트를 가져옵니다. URL만 슬쩍 보면 구글 애널리틱스와 관련이 있는 것처럼 보이죠. 실제 구글 애널리틱스의 URL은 www.google-analytics.com/analytics.js입니다. .com과 .cm의 차이가 쉽게 구분되지 않습니다. 그런데 또 다른 사이트의 경우는 악성 코드가 정상 앵귤러 코드인 것처럼 위장되어 있습니다. 앵귤러는 구글의 웹 개발 프레임워크 중 하나죠.”
현재까지 수쿠리는 최소 40개 사이트에서 이런 종류의 공격을 발견했다고 한다. “코드를 들여다보면 angular.io, algularToken, angularCdn, angularPages 등 앵귤러와 관련이 깊어 보이는 키워드들이 다양하게 등장합니다. 이 키워드들을 분석해보니 angularCdn은 암호화된 URL이고, algularToken은 복호화 키였습니다. 나머지 키워드들도 나름의 기능을 가지고 있었습니다.”
또 다른 공격에 사용된 URL은 https://www.gooqletagmanager.com/gtm.js였다. 구글의 정상 서비스인 태그 매니저(Tag Manager)의 URL과 거의 똑같다. q와 g 한 글자만 바뀌었을 뿐이다. “이 가짜 앵귤라 스크립트들은 주로 마젠토 데이터베이스에 주입됩니다. 대부분의 경우 행이 보기 좋게 나눠져 있지 않고, 길고 거대한 코드 한 줄로 들어가죠. 그런데 침해된 사이트들 마다 복호화 키나 암호화 URL이 다릅니다. 수준 높은 맞춤형 공격이 이뤄지는 것입니다.”
수쿠리는 침해된 사이트들이 대부분 마젠토를 기반으로 하고 있지만, 워드프레스(WordPress), 줌라(Joomla), 비트릭스(Bitrix) 사이트들도 영향권 아래 있다고 알렸다. “다양한 플랫폼을 공격해 지불 관련 정보를 캐내갑니다. 그것이 이 다변화된 공격의 핵심입니다.”
수크리는 이 정교한 공격의 배후 세력을 파악하지 못했다. 다만 최근 몇 년 동안 카드 정보를 훔치는 공격이 성행해왔다는 걸 지적했다. 특히 작년부터 메이지카트(MageCart)라는 단체의 전자상거래 웹사이트 공격이 여러 차례 보도된 바 있다는 걸 상기시켰다. “또한 지난 해 7000개가 넘는 전자상거래 사이트들이 MagentoCore.net 지불카드 스키머에 감염됐습니다. 이 역시 메이지카트의 소행이었지요.”
수크리는 사이트 관리자 및 운영자들이 “코드 추가 현황을 면밀히 살펴야 한다”고 권고했다. “사이트가 이 공격에 당하면 고객들이 피해를 입고, 피해를 입은 고객은 업체에 책임을 묻습니다. 타격이 아닐 수 없습니다. 그러니 구글 애널리틱스와 앵귤러를 앞세운 스크립트가 새롭게 추가될 때 한 글자 한 글자 살피는 것이 중요합니다.”
3줄 요약
1. 규칙적이면서도 맞춤형인 사이버 공격 발견됨. 공격의 목표는 신용카드 정보.
2. 미묘하게 구글 애널리틱스와 앵귤러 서비스를 흉내 낸 주소로 사용자 눈을 현혹.
3. 피해는 대부분 마젠토에서 일어났지만, 워드프레스나 줌라 등의 사이트들도 안전한 건 아님.
[국제부 문가용 기자(globoan@boannews.com)]
피해를 직접 입는 건 전자상거래 사이트 이용 고객...스크립트 추가 현황 살펴야
[보안뉴스 문가용 기자] 신용카드 정보를 훔치는 스크립트가 웹상에서 부쩍 늘어났다는 소식이 나왔다. 이 스크립트들은 현재 정상적인 구글 애널리틱스(Google Analytics)나 앵귤러(Angular)인 것처럼 웹 마스터들의 눈을 속이며, 여러 웹사이트들에 주입되는 방식으로 퍼져가고 있다고 한다.
[이미지 = iclickart]
이를 발견한 보안 업체 수쿠리(Sucuri)에 의하면 이 악성 스크립트는 난독화 처리가 된 상태로 정상 JS 파일들에 주입되는데, 피해가 주로 발생하는 곳은 마젠토(Magento)로 구축된 사이트들이다. JS 파일이란, 자바스크립트 코드가 저장된 텍스트 파일로 자바스크립트 명령을 웹 페이지 내에서 실행한다.
이 캠페인의 독특한 점은 공격이 수준 높은 ‘맞춤형’으로 진행된다는 것이다. 수쿠리의 보안 전문가들에 따르면 “공격 한 건 한 건마다 매우 일정한 접근법을 보이면서도 독특한 개인화를 이뤄낸다”고 한다. “침해된 모든 사이트들에서 발견되는 ‘선물 세트’ 같은 것들이 있습니다. 주입된 스크립트, 눈을 현혹시키거나 탐지 시스템을 농락하는 변수들과 파일 이름, 다양한 난독화 기술 등이 바로 그것이죠. 그런데 이 구성 요소들이 작동할 때 구글 애널리틱스나 마젠토 변환 등의 작업이 진행되는 것처럼 보이도록 꾸며져 있습니다.”
그는 예를 들어 설명을 이어간다. “어떤 웹사이트에서 발견된 난독화 코드의 경우, www.google-analytics.cm/analytics.js라는 도메인에서 또 다른 스크립트를 가져옵니다. URL만 슬쩍 보면 구글 애널리틱스와 관련이 있는 것처럼 보이죠. 실제 구글 애널리틱스의 URL은 www.google-analytics.com/analytics.js입니다. .com과 .cm의 차이가 쉽게 구분되지 않습니다. 그런데 또 다른 사이트의 경우는 악성 코드가 정상 앵귤러 코드인 것처럼 위장되어 있습니다. 앵귤러는 구글의 웹 개발 프레임워크 중 하나죠.”
현재까지 수쿠리는 최소 40개 사이트에서 이런 종류의 공격을 발견했다고 한다. “코드를 들여다보면 angular.io, algularToken, angularCdn, angularPages 등 앵귤러와 관련이 깊어 보이는 키워드들이 다양하게 등장합니다. 이 키워드들을 분석해보니 angularCdn은 암호화된 URL이고, algularToken은 복호화 키였습니다. 나머지 키워드들도 나름의 기능을 가지고 있었습니다.”
또 다른 공격에 사용된 URL은 https://www.gooqletagmanager.com/gtm.js였다. 구글의 정상 서비스인 태그 매니저(Tag Manager)의 URL과 거의 똑같다. q와 g 한 글자만 바뀌었을 뿐이다. “이 가짜 앵귤라 스크립트들은 주로 마젠토 데이터베이스에 주입됩니다. 대부분의 경우 행이 보기 좋게 나눠져 있지 않고, 길고 거대한 코드 한 줄로 들어가죠. 그런데 침해된 사이트들 마다 복호화 키나 암호화 URL이 다릅니다. 수준 높은 맞춤형 공격이 이뤄지는 것입니다.”
수쿠리는 침해된 사이트들이 대부분 마젠토를 기반으로 하고 있지만, 워드프레스(WordPress), 줌라(Joomla), 비트릭스(Bitrix) 사이트들도 영향권 아래 있다고 알렸다. “다양한 플랫폼을 공격해 지불 관련 정보를 캐내갑니다. 그것이 이 다변화된 공격의 핵심입니다.”
수크리는 이 정교한 공격의 배후 세력을 파악하지 못했다. 다만 최근 몇 년 동안 카드 정보를 훔치는 공격이 성행해왔다는 걸 지적했다. 특히 작년부터 메이지카트(MageCart)라는 단체의 전자상거래 웹사이트 공격이 여러 차례 보도된 바 있다는 걸 상기시켰다. “또한 지난 해 7000개가 넘는 전자상거래 사이트들이 MagentoCore.net 지불카드 스키머에 감염됐습니다. 이 역시 메이지카트의 소행이었지요.”
수크리는 사이트 관리자 및 운영자들이 “코드 추가 현황을 면밀히 살펴야 한다”고 권고했다. “사이트가 이 공격에 당하면 고객들이 피해를 입고, 피해를 입은 고객은 업체에 책임을 묻습니다. 타격이 아닐 수 없습니다. 그러니 구글 애널리틱스와 앵귤러를 앞세운 스크립트가 새롭게 추가될 때 한 글자 한 글자 살피는 것이 중요합니다.”
3줄 요약
1. 규칙적이면서도 맞춤형인 사이버 공격 발견됨. 공격의 목표는 신용카드 정보.
2. 미묘하게 구글 애널리틱스와 앵귤러 서비스를 흉내 낸 주소로 사용자 눈을 현혹.
3. 피해는 대부분 마젠토에서 일어났지만, 워드프레스나 줌라 등의 사이트들도 안전한 건 아님.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
