2016.10.19

진화하는 사이버 공격 "훔친 직불카드 데이터를 웹사이트 제품 이미지에 숨긴다"

Lucian Constantin | IDG News Service
온라인 상점을 해킹해 직불카드 내역을 훔치는 공격은 증가하고 있으며 나날이 지능적으로 진화하고 있다. 최근 악의적인 코드를 숨기고 적법한 파일에 훔친 데이터를 넣어두는 기술이 바로 그것이다.


Credit: IDGNS Boston

지난 주 네덜란드 연구원은 마젠토(Magento) 콘텐츠 관리 시스템으로 구축된 약 6,000개의 전자상거래 사이트에서 온라인 거래 시 직불카드 데이터를 가로채 훔치는 악의적인 코드를 발견했다고 보고했다. 이번 달 초까지 미국 공화당 상원의회 위원회(National Republican Senatorial Committee, NRSC)의 온라인 상점 또한 이런 웹사이트 가운데 하나다.

또한 이 연구원은 해킹당한 후 1년 이상을 탐지하지 못한 많은 사례들을 보여줬다. 이는 자체 사이트가 HTTPS 또는 서드파티 지불결제 업체를 사용하고 있다면 고객 데이터가 안전하다고 믿는 웹마스터가 문제를 제대로 파악하지 못한 것이다. 이는 자신들의 공격 자취를 감추기 위한 해커의 노력 때문이기도 하다.

웹보안 업체 수쿠리(Sucuri) 연구원들은 해킹당했지만 자동 스캔에 탐지되지 않은 한 온라인 상점이 조사한 바 있다. 수동 조사를 통해 이들은 Cc.php라 부르는 이 사이트의 핵심 파일들 가운데 하나가 최근 변경됐다는 것을 파악했다.

이 파일을 분석했을 때 연구원들은 직불카드 데이터를 훔치고 그것을 이미지 파일에 저장하기 위해 설계된 악의적인 코드를 발견했다. 탐지를 회피할 목적으로 이미지 파일과 같은 의심받지 않는 영역에 있는 파일 내부에 데이터를 숨기는 이 기술은 새로운 것은 아니다.

수쿠리에 의해 조사된 바에 따르면, 이미지들로 가장한 이 파일들은 일반적으로 특정 기능을 갖고 있는 것이 아니다. 훔친 직불카드 상세 내역이 담긴 이 파일은 웹사이트에서 팔고 있는 제품 가운데 하나를 묘사하고 있는, 실제 적법한 이미지에 저장된다.

훔친 데이터는 이미지 데이터에 덧붙여지는데, 원본 데이터는 브라우저에서 온전한 상태로 보여진다. 스테가노그래피(Steganography)로 알려진 이 방법은 데이터를 숨기는 다른 방법보다 탐지하기가 어렵다.

수쿠리 연구원 벤 마틴은 한 블로그에서 "훔친 번호들을 획득하기 위해 공격자는 이 사이트 접속권한을 계속 유지할 필요가 없다"며, "이 이미지는 공개적으로 접속할 수 있다. 공격자들은 그것이 필요할 때 다른 이들처럼 웹사이트에 접속해 이미지를 다운로드받아 자체 소스코드를 보면 된다"고 말했다.

수쿠리는 이와 같은 온라인 카드 도둑질을 대부분 미국에서 발견했지만 일본, 터키, 사우디아라비아와 같은 곳에서도 발견했다. 이는 이 공격이 한 국가나 일부 지역에만 초점을 맞춘 것이 아니라는 것을 의미한다.

온라인 상점을 운영하는 기업이라면 자체 웹사이트가 무결성을 유지하도록 모니터링을 해야 하며, 기존 파일들의 어떠한 의심스러운 변경도 조사해야 한다.

다른 웹사이트 해킹과는 달리, 이 온라인 스키밍 공격(skimming attacks)은 어떠한 에러도, 사용자들이 웹사이트 소유자에게 메시지를 보낼만한 빌미를 제공하지 않는다. 그들은 간단히 뒤에서 조용하게 일한다. editor@itworld.co.kr


2016.10.19

진화하는 사이버 공격 "훔친 직불카드 데이터를 웹사이트 제품 이미지에 숨긴다"

Lucian Constantin | IDG News Service
온라인 상점을 해킹해 직불카드 내역을 훔치는 공격은 증가하고 있으며 나날이 지능적으로 진화하고 있다. 최근 악의적인 코드를 숨기고 적법한 파일에 훔친 데이터를 넣어두는 기술이 바로 그것이다.


Credit: IDGNS Boston

지난 주 네덜란드 연구원은 마젠토(Magento) 콘텐츠 관리 시스템으로 구축된 약 6,000개의 전자상거래 사이트에서 온라인 거래 시 직불카드 데이터를 가로채 훔치는 악의적인 코드를 발견했다고 보고했다. 이번 달 초까지 미국 공화당 상원의회 위원회(National Republican Senatorial Committee, NRSC)의 온라인 상점 또한 이런 웹사이트 가운데 하나다.

또한 이 연구원은 해킹당한 후 1년 이상을 탐지하지 못한 많은 사례들을 보여줬다. 이는 자체 사이트가 HTTPS 또는 서드파티 지불결제 업체를 사용하고 있다면 고객 데이터가 안전하다고 믿는 웹마스터가 문제를 제대로 파악하지 못한 것이다. 이는 자신들의 공격 자취를 감추기 위한 해커의 노력 때문이기도 하다.

웹보안 업체 수쿠리(Sucuri) 연구원들은 해킹당했지만 자동 스캔에 탐지되지 않은 한 온라인 상점이 조사한 바 있다. 수동 조사를 통해 이들은 Cc.php라 부르는 이 사이트의 핵심 파일들 가운데 하나가 최근 변경됐다는 것을 파악했다.

이 파일을 분석했을 때 연구원들은 직불카드 데이터를 훔치고 그것을 이미지 파일에 저장하기 위해 설계된 악의적인 코드를 발견했다. 탐지를 회피할 목적으로 이미지 파일과 같은 의심받지 않는 영역에 있는 파일 내부에 데이터를 숨기는 이 기술은 새로운 것은 아니다.

수쿠리에 의해 조사된 바에 따르면, 이미지들로 가장한 이 파일들은 일반적으로 특정 기능을 갖고 있는 것이 아니다. 훔친 직불카드 상세 내역이 담긴 이 파일은 웹사이트에서 팔고 있는 제품 가운데 하나를 묘사하고 있는, 실제 적법한 이미지에 저장된다.

훔친 데이터는 이미지 데이터에 덧붙여지는데, 원본 데이터는 브라우저에서 온전한 상태로 보여진다. 스테가노그래피(Steganography)로 알려진 이 방법은 데이터를 숨기는 다른 방법보다 탐지하기가 어렵다.

수쿠리 연구원 벤 마틴은 한 블로그에서 "훔친 번호들을 획득하기 위해 공격자는 이 사이트 접속권한을 계속 유지할 필요가 없다"며, "이 이미지는 공개적으로 접속할 수 있다. 공격자들은 그것이 필요할 때 다른 이들처럼 웹사이트에 접속해 이미지를 다운로드받아 자체 소스코드를 보면 된다"고 말했다.

수쿠리는 이와 같은 온라인 카드 도둑질을 대부분 미국에서 발견했지만 일본, 터키, 사우디아라비아와 같은 곳에서도 발견했다. 이는 이 공격이 한 국가나 일부 지역에만 초점을 맞춘 것이 아니라는 것을 의미한다.

온라인 상점을 운영하는 기업이라면 자체 웹사이트가 무결성을 유지하도록 모니터링을 해야 하며, 기존 파일들의 어떠한 의심스러운 변경도 조사해야 한다.

다른 웹사이트 해킹과는 달리, 이 온라인 스키밍 공격(skimming attacks)은 어떠한 에러도, 사용자들이 웹사이트 소유자에게 메시지를 보낼만한 빌미를 제공하지 않는다. 그들은 간단히 뒤에서 조용하게 일한다. editor@itworld.co.kr


X