[데이터넷] 전 세계 443개 이커머스 서비스에서 신용카드 데이터가 유출된 사실이 밝혀졌다. 유로폴과 유럽 연합 사이버보안청(ENISA)은 이 사실을 발표하면서 디지털 스키밍 공격 대응이 시급하다고 밝혔다.

이는 그리스 주도로 그룹아이비, 산섹(Sansec) 등 보안 기업 및 17개국 침해사고대응팀이 협력해 2개월동안 조사한 결과로, 조사에 참여한 조직은 감염된 웹 사이트, 감지된 악성 코드 서명, 추출된 도메인, 게이트, 공격자가 데이터를 수집하거나 다른 악성 코드를 로드하는 데 사용하는 URL에 대한 정보 등을 분석했다.

이스키밍, 폼재킹, 메이지카트 등으로 불리는 디지털 스키밍은 웹사이트의 취약점을 이용해 결제 과정에 악성코드를 주입하는 공격이다. 공격자는 전자상거래 사이트 소스코드나 제3자 코드에 취약점을 심는다. 소스코드에 내재된 취약점이나 구성오류, 무차별 대입으로 악성코드를 심는다. 그리고 고객이 결제를 위해 신용카드 정보를 입력하면 그 정보를 탈취한다.

디지털 스키밍은 결제 페이지 등 제3자 코드를 주로 이용한다. 이커머스 플랫폼 개발 시 모든 페이지를 플랫폼사가 직접 개발하지 않고, 각 기능을 서드파티와 오픈소스 라이브러리에서 가져온다.

결제 페이지의 경우 온라인 결제 프로세스가 거의 대부분의 서비스에서 동일하게 진행되기 때문에, 많은 온라인 플랫폼이 동일한 코드를 사용한다. 공격자는 결제 페이지 코드에서 취약점을 찾아 악성코드를 주입하면 이 코드를 사용하는 모든 플랫폼을 감염시킬 수 있다.

그룹아이비는 이번 공격에서 여러 악성코드를 발견했으며, 그중 JS스니퍼는 23개 계열이 식별됐다고 설명했다. 그룹아이비가 지금까지 탐지한 JS스니퍼 패밀리는 132개이며, 2021년 하반기부터 2022년 상반기 사이 JS 스니퍼를 사용한 신용카드 정보 유출 사고가, 발견 된 것만 전 세계 32만개 이상이라고 밝혔다.

한편 유로폴은 디지털 스키밍 사고 방지를 위해 ▲악성코드 모니터링 ▲MFA와 강력한 비밀번호 ▲스피어피싱 대응 교육 ▲전자상거래 플랫폼과 타사 구성요소에 대한 정기적인 취약성 검사 ▲보안 패치 ▲콘텐츠 보안 정책, 하위 리소스 무결성 구현을 통해 악성코드 삽입을 차단해야 한다고 설명했다.

김선애 기자 다른기사 보기