바로가기 메뉴
본문 바로가기
대메뉴 바로가기

TECH M

카드정보 탈취 ‘폼재킹’ 확산…“해외직구 조심해야”

시만텍 인터넷 보안 위협 보고서 발표, “랜섬웨어·클라우드 보안 위협도 여전”

2019-02-26김태환 기자

김봉환 시만텍코리아 상무가 26일 서울 역삼동 머큐어 서울 앰배서더호텔에서 열린 기자 간담회를 통해 ‘인터넷 보안 위협 보고서(ISTR, Internet Security Threat Report)’가 제시한 주요 보안 위협에 대해 설명하고 있다.

 온라인으로 쇼핑할 때 입력하는 카드정보를 웹페이지에서 탈취하는 ‘폼재킹’이 기승을 부리는 것으로 파악됐다. 자바 스크립트에 심어진 악성코드로 구동되기에 해외 홈쇼핑 사이트에서 직구할 때 주의가 필요하다.

파일을 인질로 잡고 암호화폐나 금전을 요구하는 ‘랜섬웨어’와 암호화폐를 탈취하는 ‘크립토재킹’은 암호화폐 가격하락으로 인해 줄어드는 추세다. 하지만 여전한 위협으로 남아있다.

소프트웨어를 공급하는 단계에서부터 악성코드가 침투되거나 정상적인 업데이트 파일에 변종 감염, 사물인터넷(IoT) 보안도 지속적인 화두로 거론된다.

시만텍은 26일 서울 역삼동 머큐어 서울 앰배서더호텔에서 기자간담회를 열고, 지난해 보안 이슈를 점검하는 ‘인터넷 보안 위협 보고서(ISTR, Internet Security Threat Report)’를 발표했다.

 

보고서는 지난해 가장 큰 보안 이슈로 폼재킹 대두를 꼽았다. 폼재킹이란 홈쇼핑 같은 웹페이지 자바 스크립트에 악성코드를 심어 소비자 신용카드 정보를 탈취하는 수법이다. 사용자들이 결제하려고 카드 정보를 입력할 때 내용이 유출된다.

폼재킹을 통해 발생하는 피해는 웹사이트 감염만 매월 4800건이 나타났으며, 엔드포인트(사용자) 단계에서는 370만건이나 문제가 발견됐다.

이렇게 탈취된 개인 신용카드 정보는 1건당 45달러(약 5만원)에 유통된다. 4800군데 사이트가 감염됐을 때 한 사이트당 10장 정보가 탈취됐다고 보면 해커는 월 최대 220만달러(24억6240만원) 수익을 얻게 되는 셈이다.

최근에는 영국항공 홈페이지에서 결제분야에 폼재킹 공격을 받은 사례가 있을만큼 신뢰할 수 있는 사이트에서도 나타나고 있다.

특히 외국에서 많이 발생하는 만큼 한국 소비자들이 해외직구를 할 때 주의가 필요하다는 지적이 나온다.

김봉환 시만텍코리아 상무는 “만일 한국에서 방금 전 결제를 했는데 불과 수분에서 몇시간 뒤 브라질이나 미국에서 결제가 일어난다면 이상 징후가 발생한 것”이라며 “브라우저 소스코드를 봤을 때 자바 스크립트에서 정보를 다운받는 코드가 있다면 손쉽게 발견할 수 있지만 일반 소비자들은 모를 가능성이 크다”고 지적했다.

김봉환 상무는 “격리된 클라우드 환경에서 먼저 실행해보는 웹 격리 솔루션을 이용하거나 가급적 잘 알려지고 검증된 사이트를 이용하는 것이 해결책”이라고 조언했다.

지난해 초 기승을 부렸던 크립토재킹은 암호화폐 가격 하락으로 인해 많이 줄어들었다.

 

김 상무는 “가장 하락폭이 큰 암호화폐는 모네로인데 연간 연간 90% 이익률 감소가 나타났으며, 같은 기간동안 크립토재킹 이벤트도 무려 52%나 감소했다”면서 “다만 2017년 대비해 2018년은 크립토재킹 횟수가 4배 증가했기에 긴장의 끈을 놓을 수 없다”고 말했다.

사용자 파일을 인질로 잡는 랜섬웨어는 감소 추세다. 하지만 개인 사용자를 대상으로 이뤄진 공격이 기업 대상으로 변하고 있다고 지적했다. 실제 지난 2016년 개인사용자 공격 랜섬웨어 비율은 69%였지만, 지난해는 19%로 현저히 감소했다. 반면 기업 대상 공격은 같은기간 12% 증가했다.

IoT에 대한 보안 대비도 필요하다는 지적이 나왔다. 특히 5세대 이동통신(5G)이 상용화되면 짧은 시간 안에 더 많은 감염이 이뤄질 수 있다는 분석도 제기됐다.

김 상무는 “5G는 4G보다 네트워크 속도가 10배 빠르다. 속도에 구애받지 않기에 대형 라우터 필요성이 줄고, 그러면 와이파이망보다 스마트폰이나 IoT센서 같은 사용자 단에서 직접 연결이 늘어날 것”이라며 “상대적으로 모니터링이 어려워지게 되며, 다양한 정보를 클라우드에 저장하면서 클라우드 서버가 공격 타깃이 될 가능성도 크다”고 지적했다.

 

아울러 소프트웨어를 보급하는 단계에서부터 공격이 이뤄지거나, 정상적인 업데이트 파일 변종이 확산된다는 결과도 나왔다.

김봉환 상무는 “소프트웨어 공급망은 사용자가 서비스를 가동시키기 위해 업데이트, 다운로드하는 가운데 악성 소프트웨어를 다운받게 해 공격하는 수법”이라며 “패치나 웹서비스 자바 스크립트에 잠복해 다양한 문제를 일으킨다”고 설명했다.

대표적인 사례가 파워쉘이다. 윈도 운영체제에 기본으로 제공되는 툴인데, 대부분이 정상 파일이지만 일부 변종이 개인정보 탈취에 이용된다. 문제는 백신이나 보안 솔루션이 오진할 확률이 높다는 것이다.

김 상무는 “파워쉘은 윈도 기본 툴인데다 99% 합법적이고 정상적인 파일인데 1% 정도가 악성이라고 리포트가 나온다”면서 “이렇게 되면 모든 파워쉘을 다 차단할 수 없어 오탐지 위험률이 높아진다. 이전과 다른 형식으로 분석해 공격을 차단해야 한다”고 말했다.

 

[테크M=김태환 기자(kimthin@techm.kr)]

뉴스