요약 : 보안 블로그 시큐리티어페어즈에 의하면 새로운 신용카드 탈취 공격 캠페인이 발견됐다고 한다. 주로 사용되는 도구는 몽골리안스키머(Mongolian Skimmer)다. 흥미로운 건 공격자들이 유니코드 문자들을 사용해 몽골리안스키머를 감추려 했다는 것이다. 즉 독특한 난독화 기술을 선보인 것인데, 특히 사람이 눈으로 읽고 분석하기에 매우 까다로운 방식이라고 보안 업체 제이스크램블러(Jscrambler)는 설명했다. 하지만 이건 새로운 기법은 아니고, 자바스크립트 언어에 내재되어 있는 기능을 활용한 것뿐이라는 게 분석을 통해 밝혀졌다.


배경 : 자바스크립트에는 변수 이름과 같은 고유 식별자들에도 유니코드 문자를 사용할 수 있게 해 주는 기능이 내포되어 있다. 이번에 몽골리안스키머 캠페인을 진행하는 자들은 이 기능을 통해 코드를 사람이 읽기 어렵게 만든 것 뿐이라고 하며, 실제 분석 및 리버스 엔지니어링 난이도 자체를 높이는 건 아니었다고 한다.

말말말 : “처음에 봤을 때는 대단히 어려운 난독화 기술이 적용된 것 같았으나, 분석을 깊게 해 보니 눈속임일 뿐이었습니다. 이런 경우들이 있기 때문에 첫인상이 어떻든 악성 코드 분석을 실제로 해봐야 합니다.” -제이스크램블러-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>