헉!...은행계좌 스스로인식해 털어가는 해킹코드

스스로 은행계좌를 인색해 털어가는 코드가 등장했다.

더레지스터는 17일 한 해커가 사용자의 정보를 빼내가는 가장 일반적인 쿠키심기나 피싱보다 훨씬 더 강력하고 위험한 이른바 ‘크로스사이트스크립팅(Cross Site Scripting XSS)’공격용 코드를 만들어 공개했다고 보도했다.

크로스사이트스크립팅(XSS)공격이란 게시판, 웹 메일 등에 삽입된 악의적인 스크립트에 의해 페이지가 깨지거나 다른 사용자의 사용을 방해하거나 쿠키 및 기타 개인 정보를 특정 사이트로 전송시키는 공격을 말한다.

■은행이 크로스사이트스크립팅(XSS)에 노출됐다XSS결함이 발생하면 해커들의 통제속에 있으면서도 취약하지만 믿을 수 있다는 취지로 고객을 속여, 이들에게 콘텐츠를 제공할 수 밖에 없게 된다. 이렇게 민감한 정보가 해커에게 넘어가게 된다.

감염된 정보기기는 해커가 제공하는 사이트로 팝업을 제공하는 수단을 만들어내는 것은 물론 XSS가 쿠키를 통해 민감한 정보를 도둑질 해 갈 수도 있게 해 준다.

보도에 따르면 니콜라스 페너스트랜드라는 해커는 지난 10월 아메리칸익스프레스웹사이트에서 디버깅툴이 XSS결함에 취약하다는 것을 발견했다.

그는 또 스웨덴의 이름없는 은행의 웹사이트상에서도 비슷한 결함이 있다는 것을 발견했다. 이러한 가운데 그는 '스테로이드 맞은 XSS(XSS on steroid)‘라는 스크립트를 개발했다.

■감염된 기기내에서 오랫동안 잠복 가능하다

페너스트랜드는 “그동안 XSS가 오직 피싱과 쿠키를 통한 정보수집에만 사용된다는 상식(일반적인 신화)이 있었다”며 “하지만 이 코드는 이같은 상식을 뒤집고 불안정한 XSS를 잠복기가 긴 잘 없어지지 않는 상태로 전환시켜 준다”고 말했다.

그는 “나는 스스로 인식하는 코드를 만들었는데 이는 스스로의 존재를 인식하고 감염된 기를 사용하는 사람이 찾는 모든 웹사이트링크에 자신의 감염된 코드를 전염시킨다고 설명했다. 또 이러한 방식으로 불안정한 XSS는 이러한 방식으로 감염된 사용자들의 기기속에서 안정적으로 된다고 덧붙였다. 그는 이는 또한 사용자들의 페이지 형태에 따라 들어가서 사용자이름이나 패스워드 신용카드정보같은 재미있는 데이터를 공격자에게 제공하도록 만든다“고 말했다.

페머스트랜드는 지난 주 자신이 개발한 이 공격코드를 자신의 웹사이트에 발표했다.

릭 퍼거슨 트렌드마이크로 보안연구 및 통신 연구소장은 페머스트랜드가 만든 이 스크립트가 기존의 XSS보다 훨씬더 강력하고 위험하다는 것을 확인했지만 그가 주장한 것만큼 더 혁신적인 것인지에 대해서는 의문을 표시했다. 퍼거슨은 페머스트랜드가 사용한 기술은 사실 비프프로젝트닷컴의 일부로 실행된 것이었다고 밝혔다.

이에대해 페머스트랜드는 “나는 비프에 대해 들은 적이 있지만 잠깐 본적이 있을 뿐이며 그들이 똑같은 기술을 실행했다는 것을 몰랐으며 이와관련된 어떤 백서나 그와 비슷한 것을 본 적이 없다”고 말했다.

■은행들, 적절치 못한 보안장치 고치지 않고 있다

페머스트랜드는 공격코드를 발표한 데 대해 자신이 주장해 온 “은행기관들의 적절히 못한 보안 장치에 대해 폭로하는 방법의 일환이라고 설명했다.