최근 사이버 보안 연구원들이 전자 상거래 웹사이트에서 지속적인 신용카드 스키머를 유지하기 위해 사이버 범죄자들이 사용하는 새로운 방법을 발견했다. 이 방법은 스왑 파일을 사용하는 것으로, 마젠토(Magento) 사이트에서 발견되었다.

보안기업 수쿠리(Sucuri) 보안 분석가들은 최근 마젠토전자 상거래 사이트의 결제 페이지에서 이 정교한 공격을 발견했다. 페이지 소스에 삽입된 악성코드는 신용카드 정보를 포함한 민감한 고객 데이터를 캡처해 "amazon-analytic[.]com"이라는 공격자 제어 도메인으로 전송했다​​.

공격자들은 악성 스크립트를 숨기기 위해 "bootstrap.php-swapme"라는 스왑 파일을 사용했다. 스왑 파일은 SSH를 통해 파일을 직접 편집할 때 생성되는 임시 파일로, 충돌 시 데이터를 잃지 않도록 방지한다. 이 기능을 악용해 공격자들은 원래 파일 "bootstrap.php"가 정리된 후에도 악성코드가 다시 나타나게 했다​​.

스키머 스크립트는 querySelectorAll 같은 기능을 사용해 이름, 주소, 카드 번호 등의 정보를 수집하도록 설계되었다. 수집된 데이터는 공격자의 도메인으로 유출되었다​​.

■해커들, 스왑 파일을 이용해 지속적으로 악성코드 유포

스왑 파일의 교묘한 사용은 악성코드가 감지되지 않고 지속될 수 있게 했다. 전통적인 보안 조치와 파일 정리 도구는 종종 이러한 임시 파일을 간과해, 스키머가 웹사이트를 청소할 때마다 다시 감염시키도록 한다.

이 공격은 사이버 범죄자들이 탐지를 회피하기 위해 고급 은폐 기술을 사용하는 방법중 하나다. 예를 들어, 이 악성코드는 구글 애널리틱과 같은 합법적인 서비스를 모방해 덜 의심스럽게 보이게 하고, base64 인코딩 및 16진수 인코딩 문자열을 사용해 존재를 숨겼다​​.

■악성코드 공격을 예방하기 위해서는…

이러한 지속적인 위협에 방어하기 위해 보안 전문가들은 여러 가지 조치를 권장하고 있다.

▶관리 액세스 제한: SSH, FTP 및 기타 관리 액세스를 신뢰할 수 있는 IP 주소로 제한하면 무단 액세스를 방지할 수 있다.

▶정기적인 업데이트: CMS 플랫폼과 플러그인을 최신 상태로 유지하면 알려진 취약점을 악용하는 것을 줄일 수 있다.

▶모니터링: 비정상적인 활동이나 파일 변경을 감지하기 위한 고급 모니터링 솔루션을 구현하면 악의적인 행동을 조기에 식별하는 데 도움이 된다.

▶종합적인 보안 감사: 정기적인 보안 감사, 특히 스왑 파일과 같은 숨겨진 파일에 대한 검사를 포함하면 표준 스캔에서 놓칠 수 있는 지속적인 위협을 발견할 수 있다​​.

전자 상거래 사이트는 이러한 정교한 공격으로부터 보호하기 위해 종합적인 보안 조치를 구현해야 한다. 사이버 범죄자들이 그들의 전술을 계속 발전시키는 만큼, 민감한 고객 데이터를 보호하기 위해 기술적, 관리적 보안 경계를 더욱 강화해 나가야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★