하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

영국공항 공격한 조직, 티켓마스터 해킹사건도 저질러
등록일 :
2018.09.12
공급망 공격 통해 티켓마스터 등 주요 상거래 사이트 공격했던 단체
영국공항의 지불 양식 시스템 정확히 노리고 스크립트 조작해 공격


[보안뉴스 문가용 기자] 얼마 전 고객정보 유출사건을 겪었던 영국항공과 관련하여 새로운 소식이 발표됐다. 사건을 일으킨 범인이 다름 아니라 얼마 전 티켓마스터(Ticketmaster)를 비롯해 전 세계 수백 개 온라인 상거래 기업들을 침해한 사이버 범죄 집단이라는 것이다.

[이미지 = iclickart]


이는 보안 업체 리스크IQ(RiskIQ)의 발표 내용으로, 이곳의 전문가들은 2015년부터 메이지카트(Magecart)라는 해킹 그룹을 추적해왔다. 이 메이지카트가 바로 티켓마스터 등을 공격했던 단체로, 리스크IQ에 따르면 최근부터 악성 스키밍 코드를 사용해 피해자들의 카드 정보를 빼내는 전략을 사용하기 시작했다고 한다.

또한, 이들은 주로 서드파티 소프트웨어 제공업체를 감염시킴으로써 티켓마스터와 같은 세계적인 전자상거래 사이트들을 침해해 왔는데, 영국항공의 경우는 조금 달랐다. 리스크IQ가 새롭게 작성한 블로그에 의하면 메이지카트는 “공급망이 아니라, 항공사를 직접 타격했다”고 한다.

보안 전문가 요나단 클린스마(Yonathan Klijnsma)는 이번 사건을 조사하기 위해 먼저 영국항공의 웹 스크립트를 긴 시간 단위로 스캔했다고 한다. 시간의 변화에 따라 변경된 것이 있는지 확인해보기 위함이었다.

“한 스크립트에서 변경 사항이 발견되었습니다. 모더나이저 자바스크립트(Modernizr JavaScript)의 변경된 버전(2.6.2)이 나타난 것이죠. 스크립트의 제일 밑부분이 조작되어 있었습니다. 공격자들이 기능의 파괴 없이 자바스크립트 파일들을 조작할 때 주로 사용하는 방법입니다.”

변경된 스크립트는 지불 양식이 입수되자마자 곧바로 정보를 추출하여 공격자가 운영하는 서버로 보내는 기능을 가지고 있었다. 타임스탬프를 확인해보니 이 조작된 자바스크립트는 현지 시각 8월 21일 20시 49분에 주입된 것으로 나타났다. 공격 시작 수분 전이었다.

그러나 리스크IQ는 공격자들이 영국항공 웹사이트에 접근하기 시작한 건 훨씬 더 전의 일이라고 보고 있다. “왜냐하면 이들이 공격 인프라 구성에 사용했던 인증서가 8월 15일에 등록된 것으로 나왔거든요.”

클린스마는 “메이지카트가 영국항공의 지불 페이지 구성을 정확히 꿰뚫고 있었고, 이에 맞춘 스키머를 사용해 공격했다”며 “고도의 표적 공격이 직접 들어간 것”이라고 설명한다. “게다가 의심을 하나도 사지 않기 위해 굉장히 조심한 흔적도 발견됩니다. 아예 처음부터 영국항공을 공격할 계획을 가지고 실행한 겁니다.”

그러면서 클린스마는 “공격 인프라가 오로지 영국항공을 위한 맞춤형으로 만들어졌다”고 거듭 강조했다. “조작된 스크립트도 일반적인 영국항공의 지불 과정에 잘 녹아들어갑니다. 눈에 띄지 않는다는 것이죠. 심지어 드롭 서버 경로와 도메인 이름도 baways.com이더군요. 이름까지 아예 영국항공을 위해 만들어졌다는 걸 알 수 있습니다.”

설명이 이어진다. “도메인은 89.47.162.249에 호스팅 되어 있었습니다. 루마니아에 있는 주소이지만, 리투아니아의 타임포VPS(Time4VPS)라는 VPS 제공 업체가 소유하고 있는 것이기도 하더군요. 또한 공격자는 SSL 인증서로 서버를 로딩하기도 했습니다. 인증서는 코모도(Comodo)에서 발행한 유료 인증서였습니다. 정상적인 서버로 보이기 위해 어느 정도 투자를 한 것입니다.”

한편 침해된 모더나이저 자바스크립트 라이브러리는 영국항공의 모바일 웹사이트를 방문한 고객들의 지불 정보를 훔쳐내는 데에도 사용됐다. 물론 앞서 언급된 모더나이저 자바스크립트와는 살짝 달랐다. 사용자가 터치스크린을 통해 지불 버튼을 누르고, 손가락을 떼자마자 데이터가 수집되도록 한 것이다.

“메이지카트는 티켓마스터를 공격할 때 소프트웨어 공급업체를 통한, 우회 공격을 성공시켰습니다. 하지만 영국항공은 그렇지 않았어요. 직접적인 공격을 실시했거든요. 지불 양식에 대한 보안 취약점을 간파했기 때문에 전략을 수정한 것으로 보입니다. 지불 양식에 대한 안전 고려도 시작해야 할 때가 됐습니다.” 클린스마의 설명이다.

“민감한 금융 데이터를 일정한 양식을 통해 받아서 관리하며 사업을 유지하는 업체들이라면 이 양식 자체를 튼튼하게 만드는 일에 대해 고민을 시작해야 합니다. 또한, 고객들이 제출한 지불 정보가 처리되는 과정도, 적어도 이 정보로 먹고사는 사업자라면, 알아두는 편이 바람직해 보입니다.”

영국항공은 16일 동안 웹사이트와 모바일 앱을 통해 진행된 사이버 공격을 받았다. 이 때문에 약 38만 건의 거래가 영향을 받은 것으로 알려져 있다.

3줄 요약
1. 메이지카트, 얼마 전 티켓마스터를 침해했던 공격 단체. 영국항공 사건도 이들의 짓.
2. 티켓마스터 등을 공격할 때는 소프트웨어 제공업체를 통한 공급망 공격을 했음.
3. 하지만 영국항공은 지불 양식의 취약점을 직접 노림. 지불 양식 보안도 다져야 함.

[문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top