최근 British Airways는 해커로 추정되는 공격자들로 인해 수십만명의 고객정보가 유출되어 2억 3천만 달러의 벌금을 물었다. Magecart라고 불리는 이 공격은 항공사 웹사이트에 약 22줄의 코드를 삽입하여 고객 신용카드 번호와 기타 민감한 정보를 캡처 할 수 있었다.
Magecart 공격은 대부분 전자상거래 회사나 고객으로부터 신용 카드정보를 수집하는 기타 유사한 비즈니스에서 발생한다. Magecart는 다양한 산업 분야에서 도난 및 사기등의 심각한 피해를 끼쳤다. RiskIQ 및 Flashpoint에서 실시한 2018년 보고서에 따르면 2018년 11월 기준으로 최소 6,400 개의 웹 사이트가 Magecart의 영향을 받았다.
Magecart를 보호하고 웹기반 위협으로부터 조직을 보호하기 위해 수행해야 할 몇가지 작업이 있다.
Magecart 공격에서 해커가 취하는 두 가지 접근 방식이 있다. 첫번째는 기본 웹사이트 또는 응용 프로그램을 공격하는데 중점을 두고 있고 두번째는 타사 태그를 악용하는데 중점을 둔다. 두 경우 모두 악의적인 JavaScript를 삽입하여 HTML 양식에서 데이터를 탈취하여 해당 데이터를 공격자가 제어하는 서버로 전송할 수 있다.
사용자는 일반적으로 HTML을 통해 웹 사이트에 인증, 정보 검색 또는 신용카드 체크 아웃 등 개인데이터를 입력한다. Magecart 공격은 JavaScript 를 사용하여 이러한 종류의 민감한 데이터를 모니터링 한다.
비밀번호, 주민등록번호 또는 신용 카드번호와 같은 특정 양식 입력란에 입력된다. 그런 다음 사본을 만들어 인터넷의 다른 서버로 사본을 보낸다.
예를들어, 영국항공의 공격에서 해커는 악성코드를 항공사의 수하물 클레임 하위 도메인에 삽입했는데 이는 주 웹사이트 보다 안전하지 않은 것으로 보이기 때문에 이 코드는 항공사의 고객 브라우저에서 실행될 때 신용카드 및 기타 개인 정보를 훑어 볼 수있는 기본 웹사이트에서 참조되었다.
Magecart 공격은 웹팀이 공급자의 백엔드 인프라가 아니라 방문자의 브라우저에서 발생하기 때문에 식별하기가 매우 어렵다. 이는 데이터가 백엔드 웹사이트 서버(원점)와의 상호 작용없이 브라우저에서 악성 서버로 직접 전송됨을 의미하기 때문이다.
결과적으로, 백엔드 인프라 및 코드 지원 웹사이트를 정기적으로 감사해도 공격이 중단되지 않는다. 기존 감사가 감지하지 못하는 사용자의 브라우저에서 문제가 발생하기 때문이다.
즉, Magecart 공격은 회사가 신용카드 사기 또는 모든 타사 서비스를 포함해 클라이언트측 코드 검토에 대해 경고를 받을 때만 발견 될 수 있다. 이로 인해 오늘날 온라인에는 여전히 민감한 정보가 유출되는 악성 Magecart JavaScript를 보유하고 있는 많은 사이트가 있다.
Magecart 공격이 웹사이트 방문자를 위협하는 것을 방지하기 위해 팀이 수행 할 수 있는 작업이 있다.
첫째, 팀이 민감한 페이지에서 타사 코드를 제한 하는 것이 좋다. 사람들은 웹사이트 전체에 타사 태그를 추가하는 경향이 있지만, 보안 페이지 (예 : 체크 아웃 또는 로그인 페이지)에서 이러한 기능이 실제로 필요한지 고려해야 한다. 민감한 페이지에서 채팅 위젯 및 사이트 설문조사와 같은 비 필수 타사 태그를 제거하면 잠재적으로 악성코드에 노출되는 위험을 피할 수 있다.
다음으로 콘텐츠 보안정책(CSP)구현을 고려해야 한다. 웹팀은 코드를 실행할 수있는 도메인을 지정하고 민감한 페이지에서 데이터를 전송할 수 있는 정책을 작성할 수 있다. 이 접근 방식에는 지속적인 유지관리가 필요하지만 악의적인 해커가 방문자의 중요한 정보에 액세스하지 못하도록 하는 방법 중 하나이다.
또 다른 접근법은 무(無)신뢰 전략을 채택하는 것이다. 웹팀은 기본적으로 웹 양식에 입력되거나 쿠키에 저장된 중요한 데이터에 대한 액세스를 차단하는 정책을 만들 수 있는 타사 보안 서비스를 찾을 수 있다. 그런 다음 일련의 검증된 스크립트를 제외한 모든 사람에게 이 데이터에 대한 액세스를 제한해야 한다.
이러한 정책으로 악의적으로 감춰진 코드로 인해 사이트에 코드가 생성되면 민감한 정보에 액세스 할 수 없으며 공급업체의 코드가 악용 된 경우 알림이 표시된다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
