보안

메이시 백화점 결제카드 유출, 판도를 바꾸는 ‘메이지카트’ 공격이었다

Lucian Constantin | CSO 2019.12.24
10월 메이시(Macy's) 백화점 온라인 매장을 강타한 결제카드 유출 사건은 정교하게 표적화 된 맞춤 제작형 메이지카트(Magecart) 공격의 결과라고 연구원들은 분석하고 있다. 앞으로 웹 스키머(Web Skimmer)들의 애용할 수 있는 공격 형태라는 진단이다. 

11월 14일, 미국의 백화점 체인 메이시 백화점은 결제 카드 세부사항과 이름, 주소, 전화번호, 이메일 주소 등의 고객 정보 유출로 이어진 보안 유출이 10월 발생했다고 보고했다. 당시 해당 기업은 해당 유출 사건이 고객들이 제출한 정보를 획득하기 위해 메이시스닷컴의 체크아웃 및 지갑 페이지에 주입된 매우 구체적인 무단 코드로 구성됐 있다고 설명했다. 보안 업계에서는 이것을 웹 스키밍(Web Skimming) 공격이라 부른다.
 
생소한 유형의 메이지카트 공격
지난 20일 보안기업 리스크IQ가 메이시 공격에 사용된 악성 코드에 대한 새로운 분석을 공개했다. 이에 따르면 사용된 스크립트는 메이시 백화점의 체크아웃 프로세스 및 고객 관련 워크플로에 완벽하게 통합되도록 작성된 맞춤형 메이지카트 스키머였다.

메이지카트는 10여 개의 공격자 그룹이 사용하는 도구이며 기법의 정교함이 저마다 다르다. 하지만 이번 공격은 분명 웹 스키밍 경험이 있는 해커들이 수행하기는 했지만, 지금까지 나타난 그 어떤 메이지카트 그룹의 방식과도 일치하지 않는다.

리스크IQ의 연구원들은 보고서를 통해 “리스크IQ는 수 년 동안 메이지카트 공격을 조사, 분석, 감지, 완화해왔다. 그러나 메이시 백화점 공격에 사용된 것만큼 사용자 정의된 스키머를 본 적이 없다. 주요 메이지카트 스키머들과는 달리 이 스키머는 메이시 백화점의 웹 사이트에서만 작동할 수 있었다”라고 밝혔다.

일부 메이지카트 그룹은 먼저 정당한 서드파티 서비스를 해킹해 웹 사이트에 악성코드를 심는 방식의 공급망 공격을 사용했었다. 그러나 이번에는 공격자들이 액세스를 확보해 메이시 백화점 웹 서버에 있는 기존의 파일을 수정한 것으로 연구원들이 결론지었다. 그들이 코드를 주입한 자바스크립트 파일은 ClientSideErrorLog.js였으며 메이시스닷컴 체크아웃 페이지와 고객 지갑 페이지 모두에 로드되어 있었기 때문에 선택되었을 가능성이 높다.
 
ⓒ Image Credit : Getty Images Bank

이제는 저장된 신용카드 정보가 표적
지금껏 나타난 웹 스키밍 공격의 한 가지 보편적인 측면은 쇼핑객들이 결제 정보를 입력하는 체크아웃 프로세스를 표적으로 삼는 것이다. 다른 웹 기반 악성코드와 마찬가지로 전체 웹 사이트가 아닌 단일 페이지에만 악성코드를 주입하면 해킹이 발견될 가능성이 낮아진다. 그러나 한편으로는 방어자들이 웹 스키밍 코드를 모니터링하고 살펴 볼 특정 장소가 생기는 의미를 지닌다.

메이시스닷컴을 해킹한 해커들은 온라인 샵에 사용자가 카드 정보를 입력할 수 있는 여러 영역이 존재하며 그것들을 표적화하지 않는 것도 기회를 낭비하는 것이라는 사실을 깨달았다. 그 중 하나가 사용자가 수동으로 입력하지 않고 사용할 지불 카드를 구성할 수 있는 계정 세션인 지갑이다.

문제는 지갑에 표시되거나 체크아웃 중 이미 저장된 결제 카드를 선택할 때 일반적으로 웹 사이트가 카드번호를 가리며 대부분의 자리는 별표로 대체된다는 점이다. 이 문제를 극복하기 위해 메이시스닷컴에서 사용된 메이지카트 스키머는 결제 카드 편집, 추가, 제거 등을 처리하는 지갑 기능에 개입하도록 고안됐다.

리스크IQ 연구원들이 “공격재가 메이시 백화점의 지갑 페이지를 훑어볼 수 있는 능력은 웹 스키밍의 중대한 발전이다. 오랫동안, 저장된 결제 정보를 보유하는 것이 스키밍 공격을 피하는 효과적인 방법이었다. 메이시 백화점을 노린 공격자들은 이 문제에 직면하여 스키머를 다면적으로 만들었다. 단순히 체크아웃 프로세스를 위한 스키머가 아니며 중요한 정보의 위치에 상관없이 적용할 수 있는 스키머이다”라고 말했다.

신규 계정 자격 증명도 표적화
대부분의 온라인 스토어와 마찬가지로 메이시 백화점은 웹 사이트 방문자가 등록된 계정 없이 쇼핑할 수 있도록 허용하고 있다. 하지만 게스트 체크아웃 프로세스의 한 단계에서 계정을 생성하도록 독려하며, 심지어 25% 할인 쿠폰을 유인으로 제공한다.

공격자들은 이를 기회 삼아 스키머를 수정하여 신규 계정 등록 데이터를 획득하도록 했다. 실제로 사용된 악성 스크립트에는 등록된 사용자 및 게스트에 대한 별도의 워크플로가 존재한다. 해커들이 공격 계획에 세심한 노력을 기울였음을 시사하는 부분이다.

리스크IQ의 연구원들은 “이 공격이 얼마나 잘 계획되었으며 엄격했는지 알아야 한다. 메이지카트 공경자들은 엄청난 시간을 들여 메이시 백화점의 웹 사이트의 체크아웃 프로세스와 고객 여정을 파악했다. 궁극적으로 그들의 목표는 가능한 오랫동안 들키지 않고 정보를 가능한 효율적으로 훑어보기 위해 메이시 백화점의 전자상거래 플랫폼에 원활하게 통합되는 스키머를 맞춤 개발하는 것이었다”라고 말했다.

디테일에 집중
리스크IQ가 수집한 데이터를 보면 탈취한 데이터를 전송한 도메인 이름과 서버 등 이 공격을 뒷받침하는 인프라가 9월 24일에 수립되었음을 알 수 있다. 악성 스크립트 자체는 메이시스닷컴에 10월 7일 주입되었으며 해당 기업의 보안팀이 해당 웹 사이트의 잠재적으로 의심스러운 트래픽에 관해 경고한 10월 15일에 제거됐다.

공격자들이 데이터 수집을 위해 선택한 도메인 이름은 정상적인 트래픽과 섞기 위해 메이시 백화점의 웹 사이트가 사용하는 정당한 제3자 서비스의 이름과 매우 유사했다. 해당 스크립트는 도난당한 정보를 공격자의 서버로 전송하기 전에 여러 번 인코딩해 잠재적인 트래픽 분석 시스템이 찾아내기 어렵게 만들었다. 또한 공격자들은 의도적으로 게스트 체크아웃, 등록된 사용자 체크아웃, 지갑 페이지 등 도난당한 위치에 기초하여 데이터를 다르게 표시했다.

정교해진 메이지카트 공격, 주의 필요
해커들 사이에서 웹 스키밍의 인기가 높아지고 있다. 수익성이 좋은 공격 방법이 되고 있기 때문이다. 리스크IQ는 자사의 플랫폼을 통해 시간당 여러 개의 새로운 메이지카트 유출을 감지하고 있다고 밝혔으며 현재까지 수 백 가지의 공격 유형을 목격했다. 이런 경쟁 때문에 공격자는 전략을 개선해야 하며 큰 점수를 얻고 싶다면 차별화를 꾀해야 한다.

리스크IQ 연구원들은 "매우 표적화되고 기술적인 정보 탈취가 트렌드로 부상하고 있다. 우리는 메이시 백화점의 유출을 통해 웹 사이트의 기능을 공격하는 다양한 방법이 존재하며 적절한 감각과 충분한 시간이 있는 공작원들이 이를 찾아낼 것이라는 사실을 알게 되었다"라고 밝혔다.

이어  "즉, 공격자들은 고객들의 저장된 결제 정보를 훑어볼 수 있는 능력을 갖게 되었다. 과거에는 거의 목격된 적이 없는 능력이다”라고 경고했다. ciokr@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.