크리덴셜 스터핑을 이용한 아마존 해킹

요즘은 해외 사이트에서 물건을 직접 사는 해외 직구가 유행하고 있는데요. 삼성에서 만든 스마트폰도 오히려 해외에서 사면 한국보다 더 싼 경우가 있어서 배송비를 감안해도 이득인 경우가 있죠. 보통 아마존을 많이 이용할 것으로 생각되는데, 오늘은 크리덴셜 스터핑을 이용한 아마존 해킹에 대해서 설명드리겠습니다. 크리덴셜 스터핑은 이미 수 차례 설명을 드렸으니, 더이상 말씀드리면 지겨우실 것 같으니 잘 모르시는 분들은 "개인정보를 이용한 크리덴셜 스터핑 공격"에서 잠깐 보시고 오시면 좋을 것 같습니다. 그럼 아마존 해킹은 무슨 문제 때문에 발생했는지, 특징은 어떤 것들이 있는지 말씀드리도록 하죠.

​

이번에 문제가 되는 건 아마존이나 네이버를 포함해서 많은 사이트들이 간편 결제를 지원하고자 카드 정보를 등록하도록 하고 있다는 건데요. 네이버의 경우 물건을 구매하고 간편 결제시 인증을 위해 추가적인 비밀번호를 요구하는데, 아마존을 제가 실제로 결제해보지 않아서 정확하게는 모르지만 기사만 보면 문맥상 아마존이 결제 버튼을 클릭하고 별도의 인증 절차를 거치지 않는 것으로 보입니다. 만약 인증 절차를 거치지 않으면, 해커가 로그인만 할 수 있다면 신용카드가 허락하는 한 물건들을 원클릭으로 구매할 수 있다는 의미가 되죠.

​

해커는 다른 사이트나 기업을 해킹해서 유출된 계정 정보를 가지고 크리덴셜 스터핑을 통해 아마존에 로그인을 시도하고, 성공했다면 피해자의 주소를 자신의 거주지로 변경해 물건을 구매한 것으로 보입니다. 그런데 여기서 해커는 피해자가 아마존에서 보낸 결제 내역을 확인하지 못하도록 한 가지 꼼수를 더 부렸다고 하죠. 결제 전과 결제 후에 피해자의 메일 계정으로 스팸 메일을 지속적으로 보내서, 피해자가 그 중간에 있는 결제 승인 메일을 보지 못하도록 한건데요. 보통 스팸 메일이 수백 건이 오면, 메일함에서 전체 선택을 통해 삭제하기 마련인데 해커가 이를 노린 것 같습니다.

​

인용한 기사에서 좀 의아한 것은 피해자가 피해 사실을 알지 못하도록 해커가 2차 인증 방법을 바꾼다고 나와있는데, 아마존의 경우 확인은 못했지만 사실 2차 인증이 걸려있다면 해커가 피해자의 스마트폰이나 OTP 기기를 입수하지 않는 이상 로그인이 불가능하죠. 만약 저런식으로 2차 인증을 해제했다면 이미 해커가 스마트폰을 악성코드에 감염시켜서 제어권을 가지고 있다고 보시는게 맞을 것 같습니다. 2차 인증 방법을 바꾸는 과정에 대해서는 좀 더 찾아보고 이후에 말씀드리도록 하겠습니다.

 

나도 모르게 ‘아마존’에서 결제가 됐다... 아마존 해킹 기승

 

오늘 소개해드린 사례와 같은 인터넷 쇼핑몰 해킹 사건은 이전에 설명드린 "구글 플레이 스토어 무단 결제 사례"와 마찬가지로 간편 결제를 위한 카드정보가 계정에 저장되어 있기 때문에 발생한 문제죠. 물건을 구매할 때마다 그때 그때 카드정보를 입력하기에는 번거롭기에, 기업에서도 고객의 니즈를 캐치해서 개발한 기능인데 오히려 이런 기능 때문에 금전적인 피해가 발생하고 있는 것이 아이러니 합니다. 제가 누누이 2차 인증의 중요성에 대해 강조드렸지만, 2차 인증을 하지 않는 사이트도 존재하기에 피해를 최소화하기 위해서는 아이디까지는 어쩔 수 없어도 사이트마다 비밀번호라도 다르게 설정하는 것을 추천드립니다. 그럼 오늘 에세이는 여기서 마치도록 하죠. 감사합니다.