A사 피싱사이트 결제모듈 피해가기

 

2013년 A사에서 도메인 신규 등록및 연장을 하는 프로세스의 신용카드 결제과정에 악성코드가 끼어들어 피싱사이트로 연결시키는 개인정보 유출 침해사고가 발생했다. 

필자 해킹팀도 바로 그때 이 위험천만한 결제 프로세스를 탄 적이 있다.  

 

당시 회사도메인 연장을 하는 중이었는데, 해킹팀은 수상한 입력을 요구하는 피싱사이트의 유인 결제는 속지않았다. 

 

결제 프로세스를 타면서 의심스러운 부분은 넘어갔는데, 약 이틀후 A사로부터 따로 전화 연락을 받았다. 거두절미하고 다짜고짜 주말에 사용한 신용카드 결제에서 내 주민번호를 넣었는가부터 물어봤다. NICE 신용결제라는 말은 전부 빼고였다.  

해킹팀은 당시 상황을 정확하게 기억하면서 NICE 결제창에서 의심이 들어서 입력을 하지않았고, 해당 악성코드 부분의 유인을 우회해서 결제를 진행했다고 답변하자 A사 직원이 좀 놀라는 눈치였다. 그러면서 다시 자세하게 여러가지 설명을 해줬다.

 

만약 그때 해킹팀이 중국발 피싱사이트에 당했으면 부끄러워서라도 해킹팀 블로그에 당당하게 그 사실을 적을수조차  없을거다.

 

A사에서 고객이 각종 플러그인같은 상품을 구매하기 위해 ‘카드결제’를 클릭한 다음 신용카드 번호와 유효기간을 입력한다. 

 

그리고, 안전결제라고 선택하면 미리 설정해둔 안전결제 암호를 넣는 창이 한번 더 나온다. 마지막에 지불대행사인 LG유플러스 지불게이트웨이에 의해 신용카드 전표 이미지가 만들어지는게 보통 일반적인 결제 과정이다.  요즘은 앱카드인지 아닌지 구분하는 복잡한 부분이 더 늘어나긴했다.

 

아래 그림이 신용카드 결제 바로 뒤에 끼어든 당시 피싱사이트용 창이다. 머니투데이에서 가져왔다. NICE_ID라는 피싱용 입력창은 NICE신용평가 정보창과 디자인이 매우 흡사하다.  

 

 

 

 

 

 

해킹팀은 전자상거래관리사 자격증을 갖고있었기때문에 신용카드 결제 모듈 프로세스에 대해서 잘 알고 있었다.

 

상식적으로 생각하면 신용카드결제라는건 신용카드 번호와 유효기간, 카드 뒷면 세자리값정도만 넣으면 자신의 "신용"을 바탕으로 결제를 진행한다.  따로 본인인증을 더 해야할 이유가 전혀 없다. 주민번호를 더 넣으라는것 자체가 의심스럽고, 불합리한것이다. 

 

하지만, YES24, 인터파크등등 많은 쇼핑몰등이 하도 많은 결제용 정보를 입력하게 일반인들을 길들여놓다보니 파블로프의 조건반사처럼 NICE_ID창이 뜨면 생각할 겨를도 없이 아 여기도 데이터를 넣어야되는건가보다 하고 의심없이 바로 개인정보 입력을 해버린다. 

 

필자는 NICE _ID 창 부분은 의심을 해서 바로 닫아버렸는데, 주말에 이용한 200명이나 되는 사용자가 자신의 성명, 주민등록번호, 카드번호, 유효기간, 비밀번호 앞자리 2자까지 개인정보를 일일이 입력하고 [다음] 버튼을 눌렀을 수도있다. 중국 IP로 추정되는 사이트의 MySQL 데이터베이스에 정보가 털려서 지우지도 못하고 발을 동동 구르게된다.

 

앞자리 2자리 비밀번호만 알면 국외의 소규모 허술한 결제사이트는 그냥 바로 통과되기도 하고, 4자리 PIN이 필요한 곳은 11부터 99까지 브루털포스로 무식하게 넣어보면 역시 경우의 수가 확 줄어든다.  

 

이런 침해 사고는 은행 사이트를 만들어 놓고 은행 URL을 치면 그 사이트로 가는 초창기 피싱보단 더욱 진화된 수법이다. A사 웹서버의 취약점을 이용해 웹셀등으로 서버 디렉토리내에 php 악성코드도 업로드해야하고, ( 자바스크립트 형식으로 피싱사이트 링크 끼워넣기도 가능 ) 개발자가 동원되어 신용카드 결제를 타게하는 php 소스코드와 자바스크립트 일부에서 코드 변경을 해줘야하는 케이스이다.

 

신용카드 결제에서 [다음]을 누르면 다시 안전결제로 가는 루틴인데 여기를 피싱사이트 주소로 바꾸고, 먹이감이 NICE_ID창의 개인정보 입력을 하게 기다린다. 입력이 끝나고 [다음]을 누르면 중국 추정 IP사이트 MySQL 데이터베이스에 훔쳐낸 개인정보를 업데이트해주면서 동시에 정상적인 신용카드 안전결제 입력창을 연결해둬서 정상적인 신용카드 결제 프로세스를 타고있던것처럼 위장을 한다.   

 

2013년에 실제 있었던 일이지만 2017년에 도메인등록업체의 취약점때문에 아시아나 항공 디페이스 사건이 벌어졌다.

 

 

도메인 등록업체의 결제 프로세스에 또다시 이런 피싱 공격이 다시 끼워넣기로 추가된다면 아시아나처럼 디페이스로 끝나는게 아니고 이런 극악의 케이스도 상정해볼수있다.

 

만약 모 대기업이 면세점 사업을 하는 신규도메인 등록 과정에서 이런 피싱 공격이 성공해버린다면 

관리자의 본인확인정보들까지 신용카드와 함께 유출이 될 수있는 문제점이 생기고,

면세점 도메인을 빼앗겨 다시 찾아오려면 엄청난 거액을 해커에게 비트코인으로 지불해야하는 케이스가 상상이 되지않는가? 

 

 

쇼핑몰 서버를 운영하는 A사의 허술한 서버 보안 설정때문에 개인정보가 유출되는 사례를 보았는데,  해커 개발자는 공인인증서를 입력하는 창까지 바꿔놓기도한다.

 

은행권이나 한국정보인증 입력창을 보면  구분,  사용자,  만료일,  발급자 순으로 항상 세번째에 만료일이 나온다. 해커에 의해 수정된 공인인증서 입력창은 만료일이 4번째칸등으로 이동되어있어서 3번째가 아니면 일단 사이트가 정상적인게 아니라고 의심부터 해야한다.   

 

아래 사진은 안랩 사이트에 있던 건데 인증서 암호를 넣는 칸이 한개 더 있는 경우이다. 관찰력이 뛰어나지않거나 자세히 안보면 찾기 어렵다.