아이허브 해킹사례와 예방법

얼마 전, 기사로 해외 영양제 사이트 보안문제가 뉴스로 나온적 있습니다.

 

댓글을 보고 회사를 찾아 확인해봤으며, 실제 사례가 매우 많았습니다.

 

사례를 보고, 해킹을 분석하여 해킹과정을 알아보고 예방법을 알아보고자 이 글을 작성합니다.

구글검색 "아이허브 해킹"

 

먼저 사례를 읽어보니 공통된점이 여러개 나옵니다.

1. 러시아발 해킹
2. 비밀번호가 그대로, 이메일만 변경됨
3. 카드 정보를 저장해둠(자동 저장)

 

러시아발 해킹

러시아 해커일수도 있다는 확률적인 정보밖에는 얻을 수 없습니다.

 

 

비밀번호 그대로, 이메일은 변경됨

먼저 이메일이 변경된건 이메일로 주문정보가 전송되면 피해자가 빠르게 해킹피해를 알아채고 취소할 수 있으므로 이메일을 변경하는것으로 추측됩니다.

 

비밀번호 그대로 : 이는 해킹에서 의미가 있습니다.

 

해킹에서 세션은 탈취했으나, 비밀번호를 얻지 못한 경우 비밀번호 재확인 과정을 통과하지 못하므로 비밀번호를 수정할 수 없습니다.

이메일 변경은 비밀번호 재확인을 거치지 않고 변경이 가능합니다. (이것도 사이트측 책임입니다.)

세션 탈취란?

쉽게 설명하자면 행사 같은데에서 이름표로 사람을 식별한다고 할때
잃어버린 이름표로 남인것처럼 행동하는 것이라고 봐주세요

 

해킹에서 세션 탈취 기법으로는 XSS등 오래된 보안 결함등으로 탈취가 됩니다.

랜덤 쿠키 발급으로도 될지는 모르겠는데 이 책임들은 전적으로 운영측 보안 결함 책임입니다.

이러한 공격방법은 서버에서 설정해두는것만으로 막을수 있습니다.

세션 탈취는 동일한 ip가 아니라면 세션을 날리는 방법으로 서버에서 쉽게 차단할 수 있습니다.

 

카드 정보를 저장해둠(자동 저장)

카드정보가 저장되었다면, 이용자는 삭제하는게 좋습니다.

 

해당 사이트의 보안을 신뢰할 수 없다면, 사실 가입조차 안하는 게 최선이지만 이용해야된다면, 최소한의 정보만 제공하는게 좋습니다.

 

 

 

사례만으로 분석해본 해커의 해킹방식 (예상)

1. 이용자가 아이허브에 로그인하여 사이트를 이용후 결제를 했습니다.
2. 아이허브에는 결제정보(카드정보)등이 저장되었습니다.
3. 사용자는 로그아웃을 안하고 종료합니다. (만약 로그아웃했는데 세션이 파기되지 않았다면 사이트책임이 더 커진다.)
4. (*) 해커는 아이허브 이용중 취약점을 이미 뚫은 상태로 세션정보(쉽게 이름표)를 수집중입니다.
5. 해커는 수집된 모든 세션으로 접속해봅니다.
6. 해커는 연결가능한 세션중 카드정보가 있는 아이디에서 이메일을 변경하고 주문을 합니다.

해킹 방식 가정)

(*) 해커는 아이허브에 보안 취약점이 있어 자바스크립트로 세션정보를 실시간 수집합니다. (가정)

 

이렇게 아예 보안이 뚫려있는 상황일수도 있습니다.

실제 분석이 아닌 사례를 가지고 분석하였기 때문에 정확하진 않습니다.

다만, XSS가 아니더라도 사이트 내 보안 취약점이 있어 세션을 탈취할수 있는것은 가능성이 있다고 판단됩니다.

 

해킹 방식 안내)

로그아웃시 세션을 파기하여 동일 세션으로 로그인이 안되어야 정상입니다.

만약, 로그아웃을 했는데도 해킹피해사실이 있다면 제보해주세요.

 

이는 비밀번호를 해킹한 방식일 수 있습니다.

이렇게 되면 무작위 대입등 여러 공격방식을 추정가능합니다.

 

 

 

예방법

1. 사용후 카드정보를 지웁니다.
2. 로그아웃을 꼭 합니다.
3. 카드 해외 사용을 카드사 홈페이지에서 사용할때만 허용으로 한 후 사용후 허용안함으로 변경합니다.
4. 보안이 취약한 IE사용을 중단합니다.
   • 크롬, 파이어폭스 등 최신브라우저에비해 IE는 알려진 보안취약점이 매우 많습니다.