매년 연말 쇼핑시즌이 다가오면 온라인 쇼핑몰에서 사이버 범죄는 기승을 부리곤 합니다. 특히 온라인을 통한 해외 직구가 늘어나면서 폼재킹 피해를 보는 사례도 늘어나고 있습니다.

폼재킹(Formjacking)이란 사용자 결제정보 양식(form)을 중간에서 납치(hijacking)한다는 의미의 합성어 해커들이 온라인 쇼핑몰 등 웹사이트를 악성코드로 미리 감염시키고, 구매자가 물건을 구입할 때 신용카드 등 금융정보를 입력하면 이를 탈취하는 수법입니다. 폼재킹을 통해 소비자들의 직불카드 번호와 유효기간, CVC번호까지 해킹할 수 있기 때문에 매우 위험한 범죄입니다.

폼 재킹 공격은 다음과 같은 방식으로 동작합니다.

1. 공격자는 미리 쇼핑몰 사이트 등에 침투하여 카드결제 페이지 등에 악성코드를 심어놓습니다.

2. 사용자가 로그인하여 쇼핑몰에서 물건을 구매하고 카드 결제 정보를 입력합니다.

3. 사용자가 결제하기 등의 버튼을 통해 해당 정보를 쇼핑몰에 제출합니다.

4. 공격자는 이때 악성코드를 이용하여 사용자가 쇼핑몰에 전달한 카드정보 등 결제 정보를 복사하여 자신의 서버로 전송합니다.

이러한 방식은 새로운 기술에 기반한 공격기법은 아니지만, 폼재킹으로 빼낸 카드정보의 재판매 혹은 이를 이용한 불법 결제 등으로 범죄 수익과 공격 규모가 확대되고 있으며, 정교해지고 있습니다. 또한 폼 재킹은 카드 스키밍과 유사하지만 온라인상에서 발생하는 범죄이기 때문에 더욱 광범위하게 발생할 수 있습니다.

※ 카드 스키밍(card skimming)은 카드판독기를 통해 신용 카드 및 직불 카드에 있는 정보를 불법으로 복사하는 것으로, 한때 사회적 문제가 될 정도로 심각한 범죄 중 하나였습니다.

폼 재킹 공격의 실제 사례는?

2019년 10월 패션 소매업체 웹사이트의 체크아웃 페이지가 폼재킹 공격으로 인해 피해자가 수천명에 이르는 것으로 추정되었습니다. 또한 2018년 8월에 영국항공 British Airways의 웹사이트와 모바일 어플리케이션이 폼재킹 공격으로 해킹을 당해 고객 카드 결제 정보 약 38만건이 유출되었습니다. 유출된 정보에는 고객이름, 주소, 신용카드 번호 등의 개인정보가 포함되었으며 해커가 얻은 수익은 한화로 192억 이상으로 추정되었습니다. 유명 온라인 결제사이트 티켓마스터(Ticketmaster)는 2017년 9월부터 2018년 6월까지 최대 40,000명의 고객이 폼 재킹 공격을 받았으며, 온라인 소매업체 뉴에그(Newegg)는 2018년 8월과 9월 한달 간 폼 재킹 공격을 받았습니다.

폼 재킹은 보안에 취약한 중소규모의 쇼핑몰에서 발생할 가능성이 높으며, 특히 해외쇼핑몰에서 많이 발생하기 때문에 해외쇼핑몰을 자주 이용하는 사용자들은 주의를 기울일 필요가 있습니다. British Airways, Ticketmaster, Newegg는 모두 공급망 공격을 통해 폼재킹으로 인한 피해를 입었으며 대형쇼핑몰이라 할지라도 공급망 공격을 통한 폼재킹 공격이 이루어질 수 있어 주의가 필요합니다.

※ 공급망 공격이란 협력업체에서 대기업에 공급하는 소프트웨어의 취약점을 통해 대기업의 시스템으로 간접 침투하는 방식입니다.

폼 재킹 예방방법은?

쇼핑몰운영자는 사이트 취약점을 수시로 점검해야 하며 공급망 공격 등으로 피해가 발생하지 않도록 협력업체의 소프트웨어 업데이트 발생 시 테스트와 이상 징후에 대한 모니터링을 꼼꼼히 진행해야 합니다. 온라인 쇼핑 유저들은 정기적으로 지불 카드의 세부정보 및 계좌 내역을 모니터링하여 지불하지 않은 결제내역이 있는지 확인하여야 하며 마스킹된 신용카드 사용을 통해 개인정보를 보호할 수도 있습니다.

출처 및 참고자료

NAVER 개인정보보호 블로그

시만텍 인터넷 보안위협 보고서 제24호