2019.11.18

웹 지불카드 스키머, 포렌식 방지 기능으로 전자상거래 위협한다

Lucian Constantin | CSO
전자상거래 사이트의 안전을 위협하는 새로운 자바스크립트 기반 지불카드 스키머(skimmer)가 발견됐다. 포렌식 방지 기능을 사용하며 실행 후에는 웹페이지 코드에서 스스로를 삭제할 수 있다. 비자의 PFD(Payment Fraud Disruption) 부서는 북미지역 전자상거래에서 핍카(Pipka)라는 이름의 악성 스크립트를 발견했다. 이전에 인터(Inter)라는 다른 스키머에 감염된 적이 있는 곳들이었다. 비자는 추가 조사로 핍카에 감염된 16개의 사이트를 새로 찾아냈다. 

 

ⓒ Getty Images Bank 


새로운 위협의 등장

웹 스키밍(Web skimming)은 전자상거래 웹사이트에 악성 스크립트를 심어 지불카드 정보를 탈취하는 공격기법이다. 일반적으로 결제 페이지에 삽입되어 구매자가 입력하는 카드 정보를 훔쳐간다. 

이런 카드 스키머 공격은 12개 이상의 범죄 조직이 사용하는 메이지카트(Magecart)라는 특정 스키머의 공격이 늘면서 최근 몇 년 간 급증했다. 동일한 스키머를 사용하지만, 기술과 방법을 달리해 악성 코드를 웹사이트에 숨겨둔다. 

일부는 알려진 취약점을 공격한다. 혹은 웹사이트 분석 서비스와 같이 웹사이트에 로드된 적법한 서드파티 스크립트를 손상시키기도 한다. 공항이나 기타 공공 장소에서 핫스팟 설정을 위해 사용되는 라우터를 공격해 정상적인 트래픽에 악성코드를 심어놓는 사례도 있다. 

메이지카트 그룹의 일부가 코발트(Cobalt), 핀6(FIN6)와 같이 역사적으로 은행 인프라와 소매업체를 대상으로 한 정교한 사이버 범죄 그룹과 연관이 있다는 증거도 발견됐다. 웹 스키밍이 이미 전 세계 기업 및 기관에서 수억 달러를 훔치고 기반을 다진 범죄조직의 관심을 끌 만큼 수익성이 있음을 시사한다. 

이제 인터나 핍카 같은 웹 스키머가 메이지카트와 경쟁하기 시작했으며 일부는 지하 시장에서 상품으로 판매되기 시작했다. 무수히 많은 웹사이트 공격 방법으로 웹 스키밍 공격이 지속될 것으로 예상된다. 


핍카가 남다른 이유

비자 PFD의 분석에 따르면, 핍카는 커스터마이징이 가능하며 공격자는 데이터를 훔치려는 양식 필드를 설정할 수 있다. 훔친 데이터는 암호화되어 쿠키에 저장된 후 C&C(Command and Control) 서버로 유출된다. 

스키머는 청구 및 결제 정보 모두에 대한 필드를 설정해 2단계로 진행되는 결제 페이지에서도 필요한 정보를 훔칠 수 있다. 그러나 가장 흥미로운 기능은 성공적인 실행 후 웹페이지에서 자가 삭제가 가능하다는 점이다. 

비자 연구원들은 “스키머가 실행되면 스크립트 로드 시 시작 기능을 호출하여 클리어 기능을 호출하고 초당 데이터를 찾도록 스키머를 설정한다. 클리어 기능은 웹페이지에서 스키머의 스크립트 태그를 찾아 제거한다. 일련의 과정이 스크립트 로드 시 즉시 시행되므로, 분석가 또는 웹사이트 관리자가 페이지 방문 시 악성코드를 발견하기 어렵다. 

이런 유형의 자가 제거 루틴은 데스크톱 악성코드에 사용돼 왔지만, 웹 스키머에서 발견된 것은 처음이다. 비자 연구원은 웹 스키머 공격의 “중요한 진화”를 의미한다고 말했다.


스키머 공격에 대한 기업의 대응 방안 

비자 PFD는 관리자에게 다음과 같이 조언했다.  
- 전자상거래 환경에서 스키머가 사용하는 것으로 알려진 C&C 서버와의 통신에 대해 반복적인 검사를 한다.
- 취약성 또는 악성코드가 있는지 정기적으로 사이트를 스캔한다.
- 콘텐츠 전송 네트워크와 웹사이트에 로드되는 협력사의 서드파티 코드를 검사한다.
- 쇼핑카트 소프트웨어와 기타 서비스를 최신으로 업데이트 및 패치를 적용한다.
- 강력한 관리자 비밀번호를 사용해 관리 포털에 대한 엑세스를 제한한다.
- 고객이 판매자 사이트 대신 다른 웹페이지에서 결제 정보를 입력하도록 외부 체크아웃 솔루션 사용을 고려한다. editor@itworld.co.kr 


2019.11.18

웹 지불카드 스키머, 포렌식 방지 기능으로 전자상거래 위협한다

Lucian Constantin | CSO
전자상거래 사이트의 안전을 위협하는 새로운 자바스크립트 기반 지불카드 스키머(skimmer)가 발견됐다. 포렌식 방지 기능을 사용하며 실행 후에는 웹페이지 코드에서 스스로를 삭제할 수 있다. 비자의 PFD(Payment Fraud Disruption) 부서는 북미지역 전자상거래에서 핍카(Pipka)라는 이름의 악성 스크립트를 발견했다. 이전에 인터(Inter)라는 다른 스키머에 감염된 적이 있는 곳들이었다. 비자는 추가 조사로 핍카에 감염된 16개의 사이트를 새로 찾아냈다. 

 

ⓒ Getty Images Bank 


새로운 위협의 등장

웹 스키밍(Web skimming)은 전자상거래 웹사이트에 악성 스크립트를 심어 지불카드 정보를 탈취하는 공격기법이다. 일반적으로 결제 페이지에 삽입되어 구매자가 입력하는 카드 정보를 훔쳐간다. 

이런 카드 스키머 공격은 12개 이상의 범죄 조직이 사용하는 메이지카트(Magecart)라는 특정 스키머의 공격이 늘면서 최근 몇 년 간 급증했다. 동일한 스키머를 사용하지만, 기술과 방법을 달리해 악성 코드를 웹사이트에 숨겨둔다. 

일부는 알려진 취약점을 공격한다. 혹은 웹사이트 분석 서비스와 같이 웹사이트에 로드된 적법한 서드파티 스크립트를 손상시키기도 한다. 공항이나 기타 공공 장소에서 핫스팟 설정을 위해 사용되는 라우터를 공격해 정상적인 트래픽에 악성코드를 심어놓는 사례도 있다. 

메이지카트 그룹의 일부가 코발트(Cobalt), 핀6(FIN6)와 같이 역사적으로 은행 인프라와 소매업체를 대상으로 한 정교한 사이버 범죄 그룹과 연관이 있다는 증거도 발견됐다. 웹 스키밍이 이미 전 세계 기업 및 기관에서 수억 달러를 훔치고 기반을 다진 범죄조직의 관심을 끌 만큼 수익성이 있음을 시사한다. 

이제 인터나 핍카 같은 웹 스키머가 메이지카트와 경쟁하기 시작했으며 일부는 지하 시장에서 상품으로 판매되기 시작했다. 무수히 많은 웹사이트 공격 방법으로 웹 스키밍 공격이 지속될 것으로 예상된다. 


핍카가 남다른 이유

비자 PFD의 분석에 따르면, 핍카는 커스터마이징이 가능하며 공격자는 데이터를 훔치려는 양식 필드를 설정할 수 있다. 훔친 데이터는 암호화되어 쿠키에 저장된 후 C&C(Command and Control) 서버로 유출된다. 

스키머는 청구 및 결제 정보 모두에 대한 필드를 설정해 2단계로 진행되는 결제 페이지에서도 필요한 정보를 훔칠 수 있다. 그러나 가장 흥미로운 기능은 성공적인 실행 후 웹페이지에서 자가 삭제가 가능하다는 점이다. 

비자 연구원들은 “스키머가 실행되면 스크립트 로드 시 시작 기능을 호출하여 클리어 기능을 호출하고 초당 데이터를 찾도록 스키머를 설정한다. 클리어 기능은 웹페이지에서 스키머의 스크립트 태그를 찾아 제거한다. 일련의 과정이 스크립트 로드 시 즉시 시행되므로, 분석가 또는 웹사이트 관리자가 페이지 방문 시 악성코드를 발견하기 어렵다. 

이런 유형의 자가 제거 루틴은 데스크톱 악성코드에 사용돼 왔지만, 웹 스키머에서 발견된 것은 처음이다. 비자 연구원은 웹 스키머 공격의 “중요한 진화”를 의미한다고 말했다.


스키머 공격에 대한 기업의 대응 방안 

비자 PFD는 관리자에게 다음과 같이 조언했다.  
- 전자상거래 환경에서 스키머가 사용하는 것으로 알려진 C&C 서버와의 통신에 대해 반복적인 검사를 한다.
- 취약성 또는 악성코드가 있는지 정기적으로 사이트를 스캔한다.
- 콘텐츠 전송 네트워크와 웹사이트에 로드되는 협력사의 서드파티 코드를 검사한다.
- 쇼핑카트 소프트웨어와 기타 서비스를 최신으로 업데이트 및 패치를 적용한다.
- 강력한 관리자 비밀번호를 사용해 관리 포털에 대한 엑세스를 제한한다.
- 고객이 판매자 사이트 대신 다른 웹페이지에서 결제 정보를 입력하도록 외부 체크아웃 솔루션 사용을 고려한다. editor@itworld.co.kr 


X