‘jjencode’ 난독화 스크립트 형태로 삽입...포털·쇼핑몰 관리자 속이기 위한 술수
네이버·다음에서 쇼핑몰 검색시 로그인 피싱 공격, 공격기법 계속 업그레이드
지난 ‘팩트올’ 공격자와 동일범 추정...네이버·다음 검색시 로그인 화면 피싱 의심

[보안뉴스 원병철 기자] 포털사이트 네이버와 다음의 검색 결과를 바탕으로 한 ‘로그인 피싱’ 공격이 끊이질 않고 있다. 최근 보안업계에 따르면 쇼핑몰 웹사이트를 해킹해 로그인 피싱 페이지를 삽입한 후, 네이버나 다음에서 검색해 접속하면 피싱 페이지로 이동시켜 사용자의 로그인 정보를 탈취하는 공격이 발견됐다.


이번 공격은 쇼핑몰 웹사이트에 ‘jjencode’ 난독화 스크립트 형태로 삽입되어 알아보기 힘들게 한 것은 물론 네이버, 다음 등 포털 관리자의 페이지에서 접속하면 동작하지 않는 등 포털, 쇼핑몰 관리자의 눈을 피하기 위한 여러 방법들을 동원했다.

특히, 이번 공격은 지난 번 본지에서도 보도됐던 ‘팩트올’ 언론사의 뉴스에 네이버 로그인 피싱 페이지를 삽입한 후, 퇴근시간 무렵인 오후 7시부터 새벽 5시 30분까지만 동작하도록 했던 사건과 수법이 거의 흡사하다.


지난 번 공격이 포털과 언론사 관리자들의 눈을 피하기 위해 퇴근시간 이후에만 동작하도록 했다면, 이번에는 jjencode 난독화 스크립트 형태로 작업해 바로 확인이 어렵도록 진화한 것이 특징이다. jjencode 난독화 스크립트는 자바스크립트 난독화의 한 종류로 2009년 처음 공개됐으며, 자바스크립트 기호만 사용해 자바스크립트와 비슷하게 동작한다.

한 보안전문가는 이번 쇼핑몰을 타깃으로 한 네이버·다음 검색 로그인 피싱 공격은 지난 팩트올 뉴스사이트를 대상으로 삼은 해커와 같은 공격자로 추정되며, 계속 공격기법을 업그레이드하고 있는 만큼 네이버·다음 검색시 네이버 로그인 화면이 뜬다면 피싱을 의심해야 한다고 당부했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>