EvilQueen 해커조직, 온라인 쇼핑몰 노려 7,089건 신용카드 정보 탈취
https://www.boannews.com/media/view.asp?idx=129100
보안뉴스 2024.04.23 김경애 기자
- 개인정보 유출을 목적으로 사이버 공격을 시도한 EvilQueen 발견
- 2021년 6월부터 최근까지 국내 온라인 쇼핑몰 50여개에서 결제페이지로 위장한 피싱페이지를 삽입하여 사용자 정보 탈취(유출된 정보는 카드정보, 카드비밀번호, 주민등록번호, 휴대폰번호 등)
- 해킹된 쇼핑몰에서의 주요 취약점으로 관리자 페이지 2차 인증 부재, FTP 서버 노출 취약점, PHP 버전 취약점 등을 발견
- EvilQueen은 쇼핑몰에 침투하기 위해 SQL Injection 같은 웹공격을 주로 수행하였고, 피싱 관련 악성 파일을 생성하고 쇼핑몰의 정상 결제페이지를 피싱 결제 페이지로 연결되도록 변조함. 추가로 웹쉘 취약점도 발견됨.
- EvilQueen은 이외에도 가상화폐 관련 피싱사이트를 생성하거나 이전에 해킹한 사이트를 복제하여 피싱사이트를 만드는 등의 공격을 시도함
발견된 취약점 및 해결방안
관리자 페이지 2차 인증 부재
관리자 페이지는 별도의 서브 도메인이나 다른 경로에 배치하여 물리적으로 분리하는 것이 좋습니다. 또는 직접적으로 서버를 분리해서 운용해야합니다. 관리자 로그인 시 이메일 인증 또는 휴대폰 인증과 같은 2차 인증을 설정하는 것이 좋습니다.
FTP 서버 노출 취약점
FTP는 인터넷에서 파일을을 전달하는데 사용되는 파일 전송 프로토콜로, 데이터를 빠르게 송수신할 수 있습니다. 그러나 전송과정이 평문으로 진행되어 그대로 노출되기 때문에 보안에 취약합니다.
따라서 FTP 서비스를 사용하지 않는다면 비활성화 해야합니다. 또한 접근에 대한 블랙/화이트 리스트를 설정하여 접근제어를 하는 것이 좋습니다. 추가로 사용하고 있는 FTP의 서버 정보를 숨기는 것이 좋습니다.
PHP 버전 취약점
구버전의 PHP를 사용하게 되면 보안문제가 발생할 수 있습니다. PHP에서 보안 취약점이 발견되면 해당 버전의 소프트웨어를 지원하지 않기 때문에 취약점이 남아있을 수 있습니다. 이미 취약점과 공격코드가 공개된 구버전을 사용하는 것은 더 위험합니다.
따라서 최신 버전의 PHP로 업그레이드 하는 것이 좋습니다. 또는 사용 중인 PHP 버전이 최신이 아닌 경우, 보안 패치가 제공되는 경우도 있기 때문에 이럴 경우 보안패치를 적용하여 취약점을 해결할 수 있습니다.
웹쉘 취약점
공격자는 악의적인 목적으로 웹쉘 스크립트를 업로드하여 웹 서버에 접근하고 제어할 수 있는 상황을 만듭니다. 웹쉘을 통해 웹 서버의 파일 시스템에 접근하고, 시스템 명령을 실행하고, DB에 접근하여 민감정보를 탈취하거나 시스템을 조작할 수 있습니다.
따라서 사이트 내 파일 업로드 기능이 있는 경우 파일 확장자 및 크기를 제한하여 실행 가능한 파일이 업로드 되지 않도록 필터링 해야합니다. 또한 사용자 입력 값을 검증 및 제한 하는 것이 좋습니다.