최근 악성코드 감염을 통한 DB 서버 해킹을 통해 1,000만건 이상의 개인정보 탈취를 통해 30억원에 상당의 비트코인(Bitcoin)을 요구하는 협박을 받은 인터파크(InterPark) 인터넷 쇼핑몰의 보안 문제가 화두입니다.
그런데 2016년 7월 10일 전후로 인터파크(InterPark) 상품 판매 게시글 일부에 네이버(Naver) 계정 탈취를 목적으로 삽입된 JavaScript 코드가 삽입되어 있는 부분이 확인되고 있습니다.
네이버(Naver) 계정 정보 수집 목적으로 제작된 네이버 로그인 피싱(Phishing) 정보는 2013년경부터 블로그를 통해서도 꾸준하게 언급하고 있으며 이번에 확인된 인터파크(InterPark) 사례를 통해 자동화된 코드 삽입이 이루어지는 것으로 보입니다.
확인된 상품 판매 게시글에서는 제목 영역에 "src=h**p://admin.******tour.co.kr/boss/log/3.js/" 코드가 포함되어 있으며 자동화된 프로그램을 통해 보안 취약점이 존재하는 게시판을 노린 것으로 추정됩니다.
3.js 스크립트 파일을 확인해보면 adfwedfa34rsfsfadfadfadf= 쿠키(Cookie)값을 지정하여 재접속을 체크하며, 국내 특정 웹 서버로 연결이 이루어지도록 구성되어 있습니다.
연결된 가짜 네이버 로그인 피싱(Phishing) 페이지는 사용자 아이디(ID)와 비밀번호 입력을 통해 로그인 폼을 제공하고 있으며, URL 주소를 제대로 확인하지 않은 상태에서는 진짜와 가짜를 판별하기 매우 어렵습니다.
참고로 해당 네이버 로그인 피싱(Phishing) 페이지 접속 카운터(Counter) 체크를 목적으로 중국(China)에서 운영하는 51Yes.com 코드가 포함되어 있습니다.
접속자가 의심없이 네이버(Naver) 아이디(ID)와 비밀번호를 입력하여 로그인을 시도할 경우 입력된 정보는 또 다른 국내 웹 서버로 전송되는 것을 확인할 수 있습니다.
그러므로 인터넷 상에서 네이버(Naver) 서비스가 아닌 곳에서 로그인 페이지로 연결되거나 이미 로그인 상태에서 재로그인을 요구하는 페이지가 생성될 경우에는 반드시 웹 브라우저의 주소창을 확인하시기 바랍니다.
또한 인터파크(InterPark) 인터넷 쇼핑몰의 경우에도 외부에서 자동화된 코드 삽입 공격에 상품 게시판이 취약한 것으로 보이므로 보안 점검이 필요해 보입니다.
몇일전에 인터파크 들어갓엇는데 저 로그인페이지 안뜨면 괜찮은거죠? 네이버는 자동로그인 되있고 otp 설정도 되어있는데..
해당 코드가 있다고 로그인 페이지가 뜨지는 않습니다.
아 그렇군요 다른사이트에서 도 본거같아오
비번 바꿔야겠네요
진짜 못믿을 세상, 살얼음판을 걷는 기분이네요. 아무리 개인정보가 개인정보가 아닌 세상이라고 하지만... 내 정보가 넘어간다는데 좋아하는 사람들은 없겠죠...휴우
캡쳐 보면 실행 안되는 코드 인데 왜.. 마치 자동 실행 된다는 듯이 글을 쓰시나요 ?? 제대로 확인 하신건가요 ?
자동 실행된다는 표현을 한 적이 없습니다. 단지 이런 코드가 자동화된 도구를 통해 인터파크에 삽입되었다고 작성하였습니다.
그럼 해당 코드가 삽입되어 있는 게시글을 클릭을 할 경우 가짜 네이버 로그인 페이지도 뜨는 건가요?
원래 그렇게 하려고 만들어진 코드인데 인터파크의 경우에는 실제 자동 연결되지 않습니다.
퍼갑니당~~
여기는 네이버가 아닙니다.