Home > 전체기사
비자가 발견한 카드 스키머, 여러 가지 면에서 ‘업계 최초’
  |  입력 : 2019-11-14 14:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
자바스크립트를 기반으로 하고 있어...분석 방해위해 자신을 스스로 삭제
데이터를 암호화 하기 위한 알고리즘도 멀웨어 안에 저장돼...전송 방식도 달라


[보안뉴스 문가용 기자] 비자(Visa)의 보안 전문가들이 독특한 자바스크립트 기반 지불카드 스키머를 찾아냈다. 웹사이트를 침해해 카드 정보를 훔쳐낸 후 HTML 코드에서 스스로를 삭제함으로써 탐지를 비껴가는 원리를 가지고 있다고 한다.

[이미지 = iclickart]


비자는 지불사기방해(Payment Fraud Disruption, PFD) 그룹을 통해 보안 경고문을 발표하며, “자바스크립트를 기반으로 한 자가 삭제형 카드 스키머는 굉장히 드문 것”이라고 묘사했다. “공격자들의 자바스크립트 스키밍 기술이 엄청나게 발전한 것을 알 수 있습니다.” 비자는 이 멀웨어의 이름을 핍카(Pipka)라고 정했다.

“현재 핍카에 당한 건 주로 북미 지역의 전자상거래 웹사이트로, 이전에 인터(Inter)라는 멀웨어에 감염된 적이 있는 곳이 대부분입니다.” 인터 역시 자바스크립트로 만들어진 지불카드 스키머 멀웨어다. 비자는 핍카를 처음 발견한 때부터 추적을 이어왔는데, 지금까지 총 16개의 사이트에서 핍카를 찾아냈다.

하지만 비자는 핍카의 운영자들이 실제로 지불카드 데이터를 훔쳐내는 데 성공했는지, 시도만 한 것인지 아니면 실제 공격 직전에 발견된 것인지 정확히 밝히지 않고 있다. 실제 도난이 벌어졌다면 그 규모가 얼마인지 역시 언급하지 않았다. 비자 PFD 팀의 수석 분석가인 샘 클리브랜드(Sam Cleveland)는 “아직 여러 가지 사정이 있어 핍카와 관련된 상세한 정보를 공개하지 못하고 있다”고 해명했다.

자바스크립트 스키머는 지불카드 리더기 등에 심기는 물리적 스키머 장비와 똑같은 일을 가상의 공간에서 한다. 장비 스키머나 자바스크립트 스키머나 공통점이 있는데, 그건 바로 범인들이 피해자의 이름으로 사기성 구매를 하기에 충분한 정보를 카드로부터 훔쳐내는 것이다. 자바스크립트 스키머는 주로 온라인 쇼핑 카트나, 고객 지원 기능, 방문자 추적 시스템 등과 같이 전자상거래 서비스 업체가 외부에서 구매하는 서드파티 요소들에 심긴다.

최근에는 메이지카트(Magecart)라는 사이버 범죄 집단이 카드 스키머를 자주 활용하는 모습을 보이고 있다. 이들은 이미 인터와 같은 멀웨어를 사용해 수천만 건에 달하는 지불카드 정보를 훔쳐낸 것으로 알려져 있다. 인터와 마찬가지로 핍카는 카드 소유주 이름, 지불카드 계좌 번호, 만료일, CVV, 다른 물품이나 서비스에 대한 정보를 훔친다고 한다. 하지만 어떤 식으로 핍카가 최초 침투를 이뤄내는지 등은 함구했다.

설정 가능한 위협
핍카는 다양한 방식으로 설정할 수 있다. “특히 일반인이 온라인 구매를 하기 위해 정보를 입력할 때 사용하는 필드들을 지정해 거기에 저장된 데이터를 확보하도록 설정할 수 있습니다. 심지어 비용을 결재하는 절차가 여러 단계(즉 여러 페이지)로 나뉘어져 있는 상거래 사이트들에서도 필요한 정보를 훔쳐갈 수 있습니다. 그게 다 그 때 그 때 설정이 가능하기 때문입니다.”

이렇게 여러 방법으로 수집된 데이터는 베이스64(Base64) 알고리즘으로 인코딩 된다. 암호화 시에는 ROT13이라는 알고리즘이 사용된다. 인코딩과 암호화를 모두 거친 데이터는 키나 쿠키에 저장되고, 공격자들은 이를 나중에 추출해간다. 빠져나간 정보는 공격자들이 운영하는 원격 C&C 서버에 저장된다.

핍카에는 분석 방해 기능도 내포되어 있다. 최초의 스크립트가 로딩되자마자 분석 방해 기능부터 발휘된다. 이 방해 기능은 바로 ‘자살’이다. 위의 정보 탈취 및 빼돌리기 과정이 전부 끝나면 그 즉시 자가 삭제를 시작하는 것이다. 이 과정이 얼마나 신속하고 유기적으로 이어지는지, 데이터 분석가나 웹사이트 운영자 모두 눈치조차 못 챌 수 있다.

“탐지 회피를 위해 스스로를 지우는 것만이 핍카의 고유한 특성은 아닙니다. 훔친 정보를 C&C 서버로 보내는 방법도 조금은 다릅니다. 보통은 암호화를 위한 사이퍼가 서버 등 외부에 저장되어 있는데, 핍카의 경우에는 멀웨어 자체에 암호화 알고리즘이 포함되어 있습니다. 스키머 중에 암호화 기능을 스스로 가지고 있는 건 핍카가 처음입니다.”

비자는 이런 류의 위협을 탐지하기 위해서는 1) 잠재적 C&C 서버와의 통신 상황 모니터링, 2) 서드파티 요소들의 소스코드 검토, 3) 쇼핑 카트 및 지불 관련 기술들의 최신화를 진행해야 한다고 권고했다.

3줄 요약
1. 비자, 새로운 유형의 디지털 카드 스키머 발견.
2. 탐지와 분석을 방해하기 위해 목적 달성 후 곧바로 자가 삭제.
3. 빼낸 데이터를 암호화 하기 위한 사이퍼가 멀웨어 안에 있기도 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)