세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
네이버·다음 검색 노린 로그인 피싱의 진화...언론사 이어 쇼핑몰
  |  입력 : 2017-09-18 18:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘jjencode’ 난독화 스크립트 형태로 삽입...포털·쇼핑몰 관리자 속이기 위한 술수
네이버·다음에서 쇼핑몰 검색시 로그인 피싱 공격, 공격기법 계속 업그레이드
지난 ‘팩트올’ 공격자와 동일범 추정...네이버·다음 검색시 로그인 화면 피싱 의심


[보안뉴스 원병철 기자] 포털사이트 네이버와 다음의 검색 결과를 바탕으로 한 ‘로그인 피싱’ 공격이 끊이질 않고 있다. 최근 보안업계에 따르면 쇼핑몰 웹사이트를 해킹해 로그인 피싱 페이지를 삽입한 후, 네이버나 다음에서 검색해 접속하면 피싱 페이지로 이동시켜 사용자의 로그인 정보를 탈취하는 공격이 발견됐다.

[자료=iclickart]


이번 공격은 쇼핑몰 웹사이트에 ‘jjencode’ 난독화 스크립트 형태로 삽입되어 알아보기 힘들게 한 것은 물론 네이버, 다음 등 포털 관리자의 페이지에서 접속하면 동작하지 않는 등 포털, 쇼핑몰 관리자의 눈을 피하기 위한 여러 방법들을 동원했다.

특히, 이번 공격은 지난 번 본지에서도 보도됐던 ‘팩트올’ 언론사의 뉴스에 네이버 로그인 피싱 페이지를 삽입한 후, 퇴근시간 무렵인 오후 7시부터 새벽 5시 30분까지만 동작하도록 했던 사건과 수법이 거의 흡사하다.

▲ 이번 공격에 사용된 ‘jjencode’ 난독화 스크립트[자료=스크립트 캡처]


지난 번 공격이 포털과 언론사 관리자들의 눈을 피하기 위해 퇴근시간 이후에만 동작하도록 했다면, 이번에는 jjencode 난독화 스크립트 형태로 작업해 바로 확인이 어렵도록 진화한 것이 특징이다. jjencode 난독화 스크립트는 자바스크립트 난독화의 한 종류로 2009년 처음 공개됐으며, 자바스크립트 기호만 사용해 자바스크립트와 비슷하게 동작한다.

한 보안전문가는 이번 쇼핑몰을 타깃으로 한 네이버·다음 검색 로그인 피싱 공격은 지난 팩트올 뉴스사이트를 대상으로 삼은 해커와 같은 공격자로 추정되며, 계속 공격기법을 업그레이드하고 있는 만큼 네이버·다음 검색시 네이버 로그인 화면이 뜬다면 피싱을 의심해야 한다고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)