게시일: 2020. 4. 14 오전 11:56:44
프란시스코 국제공항의 웹사이트 두 개서 악성 코드 발견돼
샌프란시스코 국제공항이 소식 전달용으로 활용하는 사이트에 주입된 코드
윈도우 장비용 크리덴셜 훔치는 기능 가지고 있어...비밀번호 재설정 필요
[보안뉴스 문가용 기자] 해커들이 샌프란시스코 국제공항과 관련이 있는 웹사이트 두 개를 지난 3월 침해하는 데 성공했다고 공항 측이 밝혔다. 문제의 웹사이트는 SFOConnect.command와 SFOConstruction.com으로, 샌프란시스코 국제공항과 관련된 소식을 공항 방문객들에게 알려주는 기능을 하고 있다. 평소 트래픽은 낮은 편이라고 한다.
[이미지 = iclickart]
해커들은 이 두 사이트에 침해한 뒤 악성 코드를 주입했다고 한다. 사이트 방문객들의 크리덴셜을 탈취하려는 것이 목적이었다. “공항 외부 네트워크에서 윈도우 기반 장비에 설치된 인터넷 익스플로러를 사용해 해당 사이트에 접속한 사용자들이라면 이 공격에 피해를 입었을 가능성이 있다”고 공항 측은 발표했다.
공항의 발표문 전문은 PDF로 공개가 되어 있는 상황이다(http://media.flysfo.com.s3.amazonaws.com/pdf/Memo%20-%20Notice%20of%20Data%20Breach_il-4-3-2020_ntn.pdf).
발표문에 의하면 해커들이 노린 건 “개인 장비에 로그인 할 때 사용하는 사용자 이름과 비밀번호인 것으로 보인다”고 한다. 즉 윈도우 크리덴셜이 이들의 궁극적 목적이라는 것이다. 공항 측은 두 사이트 모두 임시적으로 문을 닫고, 악성 코드를 삭제했다. 내친김에 공항 측과 관련된 모든 이메일과 네트워크 비밀번호도 3월 23일부로 재설정했다고 한다.
해당 사이트에 인터넷 익스플로러로 접속한 모든 사람들 역시 윈도우 비밀번호를 재설정하는 것이 안전하다. 또한 같은 비밀번호를 사용하는 모든 웹사이트와 서비스에 접속해 비밀번호를 바꾸는 작업 역시 필요하다.
보안 업체 페리미터엑스(PerimeterX)의 보안 전문가인 아밋 나이크(Ameet Naik)는 자사 블로그를 통해 “메이지카트(Magecart)의 수법괴 비슷하다”고 주장했다. “데이터가 사용자의 브라우저로부터 직접 탈취 당했습니다. 즉 사용자 장비에서 일이 벌이진 것이죠. 공항의 웹 관리자로서는 가시성을 확보할 수 없었을 겁니다. 메이지카트 공격을 탐지하는 게 상당히 까다로운데, 그 이유가 바로 이것입니다. 누군가 메이지카트의 장점을 흡수했거나, 메이지카트에 소속된 해커의 짓일 수 있습니다.”
3줄 요약
1. 샌프란시스코 국제공항 소식 전달되는 사이트에서 악성 코드 발견됨.
2. 윈도우 장비에 설치된 인터넷 익스플로러로 접속한 모든 사람들 피해 가능성 있음.
3. 장비 비밀번호는 물론 똑같은 비밀번호 사용하는 웹 서비스에서도 재설정 해야 함.