인터파크 고객 개인정보 1030만건 해킹 사건이 공개되면서 다양한 관련 내용들이 밝혀지고 있다. 경찰과 정부합동조사팀은 인터파크 해킹을 북한 소행이라고 28일 공개했다. 한편 26일 보안블로그 '울지않는 벌새'는 '인터파크에 7월 10일 전후 삽입된 네이버 피싱 코드가 확인됐다는 주제로 관련 내용을 공개했다. 다음은 상세한 포스팅 내용이다.    

2016년 7월 10일 전후로 인터파크 상품 판매 게시글 일부에 네이버 계정 탈취를 목적으로 삽입된 자바스크립트(JavaScript) 코드가 삽입되어 있는 부분이 확인되고 있다.

네이버 계정 정보 수집 목적으로 제작된 네이버 로그인 피싱 정보는 2013년경부터 블로그를 통해서도 꾸준하게 언급하고 있으며 이번에 확인된 인터파크 사례를 통해 자동화된 코드 삽입이 이루어지는 것으로 보인다. 

 

확인된 상품 판매 게시글에서는 제목 영역에 "src=h**p://admin.******tour.co.kr/boss/log/3.js/" 코드가 포함되어 있으며 자동화된 프로그램을 통해 보안 취약점이 존재하는 게시판을 노린 것으로 추정된다.

 
3.js 스크립트 파일을 확인해보면 adfwedfa34rsfsfadfadfadf= 쿠키(Cookie)값을 지정해 재접속을 체크하며, 국내 특정 웹 서버로 연결이 이루어지도록 구성되어 있다.

 h**p://stlab.**culture.org/upload/content/login.php
 
연결된 가짜 네이버 로그인 피싱 페이지는 사용자 아이디와 비밀번호 입력을 통해 로그인 폼을 제공하고 있으며, URL 주소를 제대로 확인하지 않은 상태에서는 진짜와 가짜를 판별하기 매우 어렵다.
 
 
참고로 해당 네이버 로그인 피싱 페이지 접속 카운터 체크를 목적으로 중국에서 운영하는 51Yes.com 코드가 포함되어 있다.
 
접속자가 의심없이 네이버 아이디와 비밀번호를 입력해 로그인을 시도할 경우 입력된 정보는 또 다른 국내 웹 서버로 전송되는 것을 확인할 수 있다.
 
인터넷 상에서 네이버 서비스가 아닌 곳에서 로그인 페이지로 연결되거나 이미 로그인 상태에서 재로그인을 요구하는 페이지가 생성될 경우에는 반드시 웹 브라우저의 주소창을 확인해야 한다.
 
또한 인터파크의 경우에도 외부에서 자동화된 코드 삽입 공격에 상품 게시판이 취약한 것으로 보이므로 보안 점검이 필요해 보인다.

★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com