2024-03-29 08:45 (금)
설 명절 쇼핑객들 위한 5가지 사이버 해킹 유형과 예방법
상태바
설 명절 쇼핑객들 위한 5가지 사이버 해킹 유형과 예방법
  • 길민권 기자
  • 승인 2023.01.16 13:30
이 기사를 공유합니다

진화하는 수법으로 더욱 위험해진 사이버 범죄…설 명절 겨냥한 대규모 해킹 시도 우려
아카마이 제공
아카마이 제공

설 명절 기간 동안 가족과 친지들의 선물을 준비하는 쇼핑객들을 겨냥해 사이버 범죄들이 기승을 부리고 있다. 어떤 사이버 범죄들이 발생할 수 있고 그 예방법은 무엇일까. 

민족 최대 명절인 설날을 맞아 진행되는 대형 할인 행사들을 찾는 쇼핑객들이 많을 것으로 예상되는 가운데, 최근 온라인 쇼핑이 보편화 된 만큼 이를 기회삼아 쇼핑객들을 노리는 사이버 범죄가 크게 증가할 수 있어 주의가 필요하다. 

아카마이(아카마이코리아 대표 이경준)는 소비자와 기업들이 잠재적인 보안 사각 지대를 파악하고 스스로를 보호할 수 있도록 돕기 위해 이번 발표 내용을 준비했다고 밝혔다.

아카마이의 아시아태평양 보안 기술 및 전략 담당 책임자인 딘 후와리(Dean Houari)는 "사이버 공격은 지속적으로 증가하고 진화하고 있다.”며, “2022년 가장 심각했던 문제는 3배나 급증한 악성 봇 공격이었다. 유통 업계에서 공격자가 감염된 사용자 인증정보 목록을 사용해 시스템에 침입하는 크리덴셜 스터핑(credential stuffing)이 증가했고, 웹사이트에서 컴퓨터에 저장된 스프레드시트 또는 로컬 파일로 정보를 가져오는 과정인 데이터 스크래핑(scraping) 공격이 발생할 가능성이 높아졌다."고 말했다.

또한, 그는 "공격자들이 긴 쇼핑 축제 기간에 급증하는 온라인 유통 활동을 악용하려는 것은 전혀 놀랍지 않다. 특히 아시아는 전 세계 이커머스 매출의 약 60%를 차지하고 있어 공격자들이 높은 금전적 이득을 얻을 수 있다. 쇼핑객과 기업이 함께 협력해 사기를 당하지 않도록 주의하고 스스로를 보호하는 방법을 배우는 것이 중요하다."고 강조했다.

◆설 명절 쇼핑객 유형 5가지

계획형 쇼핑객은 한눈에 알아볼 수 있다. 설날 몇 달 전부터 선물을 준비하고 포장한다. 구매를 미리 계획하기 때문에 신용 카드 정보, 로그인 및 기타 개인 정보를 쇼핑 사이트에 저장하는 경우가 많다.

▲가장 경계해야할 공격 방식: 크리덴셜 스터핑

공격자는 감염된 사용자 인증정보 목록을 사용하고 악성 봇을 통해 시스템에 침입한다. 이는 많은 사용자가 여러 사이트에서 같은 사용자 ID와 비밀번호인 것을 악용한다.

▲크리덴셜 스터핑 예방 방법:

-쇼핑 웹사이트에 결제 정보를 저장할 때 조심해야 한다. 저장해 두는 것이 편리할 수 있지만 쇼핑 웹사이트가 해킹을 당한다면 사용자 데이터가 탈취될 수 있다.

-사이트마다 다른 비밀번호를 설정해서 안전하게 비밀번호를 관리하는 것이 좋다. 비밀번호 관리자를 사용해 추측하기 어렵고 독특한 비밀번호를 설정하는 것이 더 안전한 방법이다.

막바지 쇼핑객들은 계획형 쇼핑객과는 반대로, 설날 연휴 직전이 가장 저렴하게 구매할 수 있는 기회라는 사실을 이용한다. 물건을 저렴하게 사는데는 성공하지만, 언제나 가장 마지막 순간에 이루어진다.

▲가장 경계해야할 공격 방식: 피싱

막바지 쇼핑객은 서두르다가 신뢰할 수 없는 링크를 실수로 클릭하고 피싱 사기에 당할 가능성이 높다. 유명 브랜드 기업에서 보낸 듯한 이메일 속 할인 혜택이 사기일 수도 있지만 막바지 쇼핑객은 확인할 시간이 없다.

온라인 시장의 부상으로 인해 이런 현상이 더욱 빈번히 발생하고 있다. 작년 초, 싱가포르에서 가장 인기 있는 P2P 판매 플랫폼에서는 정상적인 구매 사이트를 사칭한 공격자들이 피해자를 가짜 은행 웹사이트로 안내해 은행 결제 정보를 제공하도록 요청했다. 그 결과, 최소 72명이 10만 9천여 달러의 손해를 보았다. 

▲피싱 예방 방법:

-사이트를 클릭하거나 개인 정보를 제공하기 전에 사이트의 유효성을 확인한다.

-요청하지 않은 이메일이라면 잠재적인 해킹을 주의해야 한다. 잘못된 정보가 포함되어 있거나 매크로 사용 활성화, 보안 설정 조정 및 애플리케이션 설치를 요청한다면 진행하지 않는다.

최저가 사냥꾼은 최저가에 거래를 하기 위해 다양한 사이트를 찾아본다.

▲가장 경계해야할 공격 방식: 소셜 엔지니어링 공격

최저가 사냥꾼은 스푸핑(spoofing) 이메일을 클릭하거나 가격 비교 툴로 작동하는 악성 확장 프로그램을 다운로드 할 가능성이 높다.

공격자는 개인 데이터를 요청하는 가짜 할인 혜택 페이지를 띄워 저렴한 가격에 거래하려는 구매자의 욕망을 악용한다. 심지어 구글 애널리틱스(Google Analytics) 또는 구글 태그 매니저(Google Tag Manager)와 같은 합법적인 툴로 위장해 코드를 감염시키고 개인 정보를 훔치면서 쇼핑 사이트에 영향을 미친다.

▲소셜 엔지니어링 공격 예방 방법:

-혜택이 유효한지, 발신인이 타당한지 항상 확인한다.

-의심스러운 파일 및 링크를 방지하기 위한 첫 번째 단계로 이메일에서 적절한 스팸 필터를 사용한다.

충동 구매자는 감정에 이끌려, 원래 구매 계획에 없던 제품을 주문하는 경우가 많다. 관심을 끄는 상품이 거절할 수 없는 가격에 한정 기간 제공되는 등 시간 압박이 있는 경우에 주로 반응을 보인다.

▲가장 경계해야할 공격 방식: 브랜드 위장 공격

사이버 범죄자들은 사기 링크를 통해 인기 브랜드로 위장한다. 피해자는 이에 속아서 개인 정보를 공유, 밀수품을 구입, 가짜 웹사이트를 방문 및 멀웨어 다운로드 등의 피해를 입는다.  SNS에서 공격자들이 쉽게 유명 브랜드로 가장하고, 상품을 구매하려는 고객과 접촉해 개인 정보를 요청하면서 이런 트렌드를 악화시키고 있다.

▲브랜드 위장 예방 방법:

-이메일에 제공된 링크를 자세히 확인하고, 안전한 링크가 아니거나 브랜드와 관련이 없는 타사 사이트로 직접 연결되는 경우 주의해야 한다.

-확실하지 않은 경우 결제나 링크를 클릭하기 전에 공식 채널에서 해당 브랜드에 연락해서 할인 혜택을 확인하고 계정의 인증 여부도 확인한다.

연구형 쇼핑객은 구매하기 전에 제품과 할인 혜택을 광범위하게 비교한다. 빠른 비교를 위해 브라우저에 다양한 브라우저 확장 프로그램이 설치되어 있는 경우가 많다.

▲가장 경계해야할 공격 방식: 확장 프로그램 멀웨어 공격 

사이버 범죄자는 광고 뒤에 바이러스를 숨겨 설치하게 하고, 사용자의 검색 기록을 수집하며, 알려진 앱 및 확장 프로그램으로 위장해 로그인 인증정보를 얻는다. 특히 보안 소프트웨어 프로그램이 이미 알려진 확장 프로그램을 신뢰할 수 있는 애플리케이션으로 취급하는 경우에는 악성 확장 프로그램이 탐지되지 않을 수도 있다.

최근 공격자들은 기존과 다르지 않고 문제가 없어 보이는 크롬 (Chrome) 확장 프로그램인 구글 번역을 모방한 FB Stealer 등의 정보 도용 멀웨어를 사용해 사용자를 공격하고 있다. 금전적인 수익을 얻으려는 공격자들은 사용자가 자신의 페이스북 계정에 로그인을 못하게 만들고, 피해자의 친구들에게는 돈을 요구한다.

▲확장 프로그램 멀웨어 공격 예방 방법:

공식 웹 스토어의 확장 프로그램만 설치한다.

확장 프로그램 설치 전에도 필요한 권한이 의심스러운 경우 설치하지 않는다.

◆유통 기업들이 해야 할 역할

유통 기업들도 소비자들에게 안전한 사이버 쇼핑 경험을 제공하기 위해 최선을 다해야 한다. 지난 몇 년 간 대형 상거래 기업들을 겨냥한 공격들을 통해 얻은 중요한 교훈은 예방이 치료보다 낫다는 것이다. 잠재적인 위협을 모니터링하고 무단 접속을 차단하는 등 선제적인 조치를 통해 미래 대비하여 쇼핑객의 유통 경험을 안전하게 지켜야 한다.

딘 후와리는 "웹 트래픽이 증가함에 따라 공격자들의 해킹 시도도 증가한다.”며, “중국의 경우, 작년 광군제 기간에 악성 봇 공격이 3배나 증가한 바 있다. 이러한 공격은 그 즉시 또는 향후에 고객 계정을 유출시키고 사이트 기능을 손상시키며, 암호화된 데이터를 기업으로부터 빼앗아 몸값을 요구할 수 있다. 이들은 모두 기업에 막대한 비용을 초래한다."고 말했다.

그는 "기업들이 장기적인 충성 고객들을 확보하려면 최선을 다해 고객의 데이터를 지켜야 한다. 크리덴셜 스터핑 시도를 조기에 차단하기 위한 봇 솔루션을 배포하고, 비밀번호 관리자 및 멀티팩터(multi factor) 인증을 사용해 사용자를 보호하는 것 등이 그 노력의 일환이 될 수 있다."고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★