세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
네이버·다음 검색 노린 로그인 피싱의 진화...언론사 이어 쇼핑몰
  |  입력 : 2017-09-18 18:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘jjencode’ 난독화 스크립트 형태로 삽입...포털·쇼핑몰 관리자 속이기 위한 술수
네이버·다음에서 쇼핑몰 검색시 로그인 피싱 공격, 공격기법 계속 업그레이드
지난 ‘팩트올’ 공격자와 동일범 추정...네이버·다음 검색시 로그인 화면 피싱 의심


[보안뉴스 원병철 기자] 포털사이트 네이버와 다음의 검색 결과를 바탕으로 한 ‘로그인 피싱’ 공격이 끊이질 않고 있다. 최근 보안업계에 따르면 쇼핑몰 웹사이트를 해킹해 로그인 피싱 페이지를 삽입한 후, 네이버나 다음에서 검색해 접속하면 피싱 페이지로 이동시켜 사용자의 로그인 정보를 탈취하는 공격이 발견됐다.

[자료=iclickart]


이번 공격은 쇼핑몰 웹사이트에 ‘jjencode’ 난독화 스크립트 형태로 삽입되어 알아보기 힘들게 한 것은 물론 네이버, 다음 등 포털 관리자의 페이지에서 접속하면 동작하지 않는 등 포털, 쇼핑몰 관리자의 눈을 피하기 위한 여러 방법들을 동원했다.

특히, 이번 공격은 지난 번 본지에서도 보도됐던 ‘팩트올’ 언론사의 뉴스에 네이버 로그인 피싱 페이지를 삽입한 후, 퇴근시간 무렵인 오후 7시부터 새벽 5시 30분까지만 동작하도록 했던 사건과 수법이 거의 흡사하다.

▲ 이번 공격에 사용된 ‘jjencode’ 난독화 스크립트[자료=스크립트 캡처]


지난 번 공격이 포털과 언론사 관리자들의 눈을 피하기 위해 퇴근시간 이후에만 동작하도록 했다면, 이번에는 jjencode 난독화 스크립트 형태로 작업해 바로 확인이 어렵도록 진화한 것이 특징이다. jjencode 난독화 스크립트는 자바스크립트 난독화의 한 종류로 2009년 처음 공개됐으며, 자바스크립트 기호만 사용해 자바스크립트와 비슷하게 동작한다.

한 보안전문가는 이번 쇼핑몰을 타깃으로 한 네이버·다음 검색 로그인 피싱 공격은 지난 팩트올 뉴스사이트를 대상으로 삼은 해커와 같은 공격자로 추정되며, 계속 공격기법을 업그레이드하고 있는 만큼 네이버·다음 검색시 네이버 로그인 화면이 뜬다면 피싱을 의심해야 한다고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)