로마 제국에서부터 수입한 암호화 기술로 활성화 되는 새 스키머

전자상거래 웹사이트의 결제 페이지를 감염시키는 캠페인이 대규모로 진행되고 있다. 이 때 핵심이 되는 건 ‘카이사르 암호화 스키머’라는 멀웨어인데, 각종 보안 탐지 기술을 회피하는 방법이 고전적이라 재미있다.

[보안뉴스 문정후 기자] 메시지를 암호로 만들어 보내는 건 수세기에 걸쳐 실천되고 있는 보안 기법 중 하나다. 그 중에 어쩌면 고대 로마로부터 시작된 것으로 보이는 암호화 기술이 하나 있는데, 바로 ‘카이사르 암호(Caesar Cipher)’가 바로 그것이다. 저 유명한 시저 황제가 고안했거나 사용했을 거라고 추측되는, 그러므로 현대에 와서는 대단히 단순한 암호화 기술인데, 최근 새롭게 발견된 스키머 멀웨어 하나가 이 오래된 기법을 차용하고 있어 눈에 띈다.

[이미지 = pixelbay]

광범위한 공격, 하지만 공통된 표적
보안 업체 수쿠리(Sucuri)가 자사 블로그를 통해 밝힌 내용에 따르면 최근 발견된 스키머는 현재 여러 CMS 플랫폼에서 발견되고 있다고 한다. 특히 워드프레스(WordPress), 마젠토(Magento), 오픈카트(OpenCart) 등 ‘메이저’로 분류되는 플랫폼에서 동시다발적으로 나타나고 있다는 점이 특이하다는 게 수쿠리의 설명이다. “한 플랫폼에서 유행하던 게 다른 플랫폼으로 옮겨가는 등 순차적으로 여러 플랫폼을 감염시키는 사례는 흔합니다. 하지만 여러 플랫폼에서 동시에 나타나는 건 의외로 흔치 않죠.”

수쿠리가 본격적인 조사에 착수했을 때 카드 정보 도난 사고가 자꾸만 발생하는 사이트들에 gtag라는 변수가 있다는 사실을 알아낼 수 있었다. 조사 시작 후 단 2주 만에 80여개의 gtag 감염 사례를 발굴할 수 있을 정도였다고 한다. 즉 대단위로 공격이 진행되고 있음을 알 수 있다. 참고로 카드 스키머는 웹사이트를 통해 결제를 진행할 때, 사용자가 해당 사이트에서 입력한 카드 정보를 중간에서 가로채는 기능을 가진 멀웨어다. 이 정보를 확보한 공격자는 사용자의 카드를 자기 것처럼 사용할 수 있게 된다.

“gtag는 대부분 form-checkout.php라는 웹 페이지에 심겨져 있었습니다. 전자상거래 웹사이트를 멀웨어로 공격한다고 했을 때 공격자들이 가장 많이 감염시키는 게 바로 이 form-checkout.php 페이지입니다. 실제 결제가 이뤄지는 페이지이기 때문이죠. 2023년 한 해 동안에도 이 페이지가 가장 많은 공격을 받았고, 그 흐름이 지금까지 이어지고 있습니다. 그러므로 이 페이지 하나만 잘 감시하고 보호해도 꽤나 많은 공격을 막을 수 있다는 뜻이 됩니다.” 수쿠리 측의 설명이다.

업그레이드 된 악성 코드
처음 수쿠리가 gtag 캠페인을 조사했을 때 form-checkout.php에 심겨진 악성 코드는 ‘대놓고’ 악성 코드처럼 보였다. 찾기가 어렵지 않았다. 하지만 최근에 발견된 악성 코드는 달랐다. “훨씬 더 ‘진짜 코드’처럼 보이도록 만들어져 있었습니다. 의심이 덜 갈 수밖에 없도록 되어 있었던 것이죠. 구글 애널리틱스(Google Analytics)와 구글 태그 매니저(Google Tag Manager)와 관련이 있는 것처럼 주석도 달았고요. 그냥 훑으면 지나치기 쉽습니다.”

그렇다면 ‘정상적으로 보이도록’ 코드를 새롭게 구성했다면 실제 페이로드는 어떤 식으로 숨겼을까? 한 마디로 ‘나누고 이어붙였다’고 할 수 있다. 수쿠리가 공개한 내용에 따르면 다음과 같다.
1) 먼저 문자열을 각각의 글자들로 나눈다.
2) 나누어 둔 글자들의 순서를 뒤집는다.
3) 각 글자의 문자 코드 값을 추출한다.
4) 이제 글자들은 전부 숫자가 된다.
5) 그 숫자들에서 3을 뺀다.
6) 3을 뺀 문자 코드 값을 바탕으로 다시 글자들을 만든다.
7) 그 글자들을 순서대로 합해 문자열을 만든다.

일정한 패턴으로 실제 메시지를 숨기는 암호화 기법은, 암호화의 시초라고 해도 될 정도로 오래됐다. ‘phone’을 말하기 위해 알파벳을 각각 한 칸씩 올려 ‘qipof’라고 하는 식이다. 암호화를 모르는 사람 눈에 qipof는 아무런 의미도 없는 단어다. ‘알파벳 순서 상 한 칸씩 내려라’라는 규칙을 알고 있는 사람 눈에는 이 글자가 phone으로 보인다. 이런 암호화 기법을 ‘카이사르 암호화’라고 하며, 수쿠리는 이번에 발견된 스키머에 ‘카이사르 암호 스키머(Caesar Cipher Skimmer)’라는 이름을 붙였다.

여러 주소들
“이 기법을 통해 합쳐진 문자열은 도메인 주소가 됩니다. 정확히는 ‘hxxps://steelbacknymph[.]com/wp-includes/blocks/audio/css.php?ver=2.0’이죠. 이곳에 악성 스크립트가 호스팅 되어 있었습니다. 이번 캠페인이 시작되기 이전에 침해된 것으로 추정됩니다. 그 외에도 여러 도메인들이 이런 식으로 활용되고 있었습니다. 모두가 침해된 사이트는 아니고, 공격자들이 수개월 전부터 등록해 둔 것들도 있었습니다. 상당히 오래 전부터 기획된 캠페인이라는 뜻입니다.”

이 악성 스크립트가 피해자 시스템에서 실행되면 무슨 일이 일어날까? 또 다른 스키머가 로딩된다. 자바스크립트로 만들어진 것으로, 웹소켓을 생성하는 기능을 가지고 있다. 이 웹소켓을 통하여 원격에 있는 서버와 연결이 되고, 이 서버로부터 또 다른 스키머를 전달 받는다. 이 때 이 웹소켓과 연결되는 도메인도 여러 가지다.

“호스팅 된 악성 스크립트의 경우(즉 전체 공격 순서에서 두 번째로 사용되는 악성 스크립트) 코드 내에서 러시아어로 된 주석이 발견됐습니다. 개발자가 공격자고, 공격자가 개발자인지 아직 확실하지는 않습니다만, 일단 개발자 자체는 러시아어를 사용하고 있다는 걸 알 수 있습니다. 이 거대한 캠페인의 배후에 러시아 해커들이 있을 가능성이 높다는 뜻입니다.”

보호의 방법
웹사이트 소유주나 운영자라면 이런 스키머의 소식에 긴장할 수밖에 없는데, 수쿠리는 여러 가지 안전 대책을 제안하기도 했다. 이를 요약하면 다음과 같다.

1) 사이트의 모든 구성 요소들을 최신화 한다. “웹사이트를 감염시킬 때 가장 흔히 사용되는 방법은 오래된 버전의 취약점을 공략하는 겁니다.”

2) 관리자 계정 로그를 검토하고 비밀번호를 바꾼다. “의외로 약한 비밀번호로 관리되는 관리자 계정이 많고, 공격자들은 이런 계정을 파악해 로그인한 후 악성 행위를 실시할 때가 많습니다.”

3) 파일 무결성을 확인하고 웹사이트를 모니터링 한다. “파일 무결성 확인 과정을 주기적으로 하다보면 자연스럽게 부자연스러운 변화를 파악할 수 있게 됩니다. 여러 모로 파일 무결성 확인을 해주는 건 사이트 관리에 도움이 됩니다.”

4) 웹 애플리케이션 방화벽을 활용한다. “웹 방화벽 혹은 애플리케이션 방화벽을 효과적으로 설정하기만 해도 악성 트래픽을 상당히 막을 수 있습니다. 단 이것만으로 모든 공격 시도가 차단되는 것은 아닙니다.”
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)