포티넷이 ‘2025년 연휴 시즌 사이버 위협 보고서’를 발간하고 연말연시를 앞두고 전자상거래 계정과 결제 정보가 대규모로 유통되고 있는 위협 환경을 경고했다. 보고서에 따르면 최근 수개월간 로그인 상태가 유지된 계정 정보까지 포함된 데이터가 다크웹을 통해 거래되면서 인증 절차를 우회한 계정 악용과 사기 피해로 이어질 가능성이 커지고 있다.
포티넷은 최근 3개월간 전자상거래 플랫폼과 연관된 스틸러 로그 데이터 157만 건 이상이 다크웹을 중심으로 유통된 것으로 분석했다. 스틸러 로그는 악성코드에 감염된 기기에서 사용자 ID와 비밀번호뿐 아니라 로그인 쿠키, 세션 토큰, 자동완성 정보 등 계정 접근에 필요한 데이터를 탈취한 자료 세트를 의미한다. 보고서는 이러한 데이터가 계정 탈취, 사기 행위, 자격 증명 스터핑, 세션 하이재킹 공격에 직접 활용될 수 있다고 지적했다. 특히 활성 로그인 세션 쿠키가 포함된 경우에는 비밀번호나 2단계 인증 없이도 계정 접근이 가능해, 기존 보안 체계를 우회한 계정 악용으로 이어질 수 있다고 분석했다.
연말연시 쇼핑 시즌을 앞두고 탈취된 계정 접근 권한과 결제 정보의 시즌성 거래도 확대되고 있는 것으로 나타났다. 포티넷은 다크웹 상에서 블랙프라이데이 등 주요 쇼핑 이벤트 시기에 맞춰 계정 접근 권한과 신용카드 정보가 할인된 가격으로 거래되는 사례가 확인되고 있으며 이러한 재판매 구조가 추가적인 공격과 사기 행위를 촉진하는 요인으로 작용하고 있다고 밝혔다. 쇼핑 성수기에는 사용자가 여러 전자상거래 플랫폼에 동시에 로그인하는 경우가 많아 공격에 노출될 가능성도 함께 높아진다.
전자상거래 플랫폼의 취약점을 노린 공격도 지속되고 있다. 포티넷은 연말연시 트래픽이 집중되는 시기를 겨냥해 알려진 플랫폼 취약점과 보안이 취약한 플러그인이 반복적으로 악용되고 있다고 분석했다. 공격자는 자동화된 기법을 활용해 입력 검증 미흡, 인증 우회, API 노출 등의 취약 지점을 공략하고 초기 접근 권한을 확보한 뒤 관리자 권한 탈취나 백도어 설치로 침해 범위를 확장하는 것으로 나타났다. 이러한 공격은 결제 페이지에 악성 스크립트를 삽입해 결제 정보를 탈취하거나, 계정 자격 증명을 악용한 추가 사기 행위로 이어질 수 있으며 주문·재고·결제를 담당하는 백엔드 시스템까지 영향을 미칠 가능성이 있다.
계정 탈취와 함께 연말연시를 노린 사기성 도메인 등록 증가도 주요 위협으로 지목됐다. 포티넷 위협 인텔리전스 조직인 포티가드 랩의 분석에 따르면 최근 3개월간 블랙 프라이데이, 크리스마스, 명절 할인 등 시즌성 키워드를 포함한 신규 도메인이 1만 8천 건 이상 등록됐으며 이 가운데 약 4%는 피싱이나 사기성 결제를 유도하는 악성 도메인으로 분류됐다. 정상 쇼핑몰과 유사한 도메인명과 디자인을 활용한 사례가 확인되면서, 소비자가 이를 구분하기 어려워지고 있다는 분석이다.
포티넷은 연말연시 쇼핑 시즌이 이미 탈취돼 유통 중인 계정과 로그인 세션 정보가 실제 사기 행위로 악용될 가능성이 높아지는 시기라고 경고했다. 소비자는 웹사이트 주소를 꼼꼼히 확인하고 이메일이나 문자 메시지에 포함된 링크를 무심코 클릭하지 않는 등 기본적인 예방 수칙을 지켜야 한다고 강조했다. 또한 다단계 인증을 활성화하고 사기 피해 보호 기능이 있는 결제 수단을 이용하며 금융 거래 내역을 수시로 점검하는 것이 중요하다고 밝혔다.
기업을 향해서는 계정 악용과 세션 탈취에 대한 선제적 대응을 주문했다. 전자상거래 플랫폼과 플러그인을 최신 상태로 유지하고 로그인과 세션을 포함한 모든 트래픽에 HTTPS를 적용해 쿠키 탈취 위험을 줄여야 한다는 설명이다. 아울러 비정상적인 로그인 시도와 자동화 공격을 탐지할 수 있는 체계를 강화하고 브랜드를 사칭한 사기성 도메인 등록을 모니터링하는 등 공격 흐름을 초기에 차단하는 보안 대응이 필요하다고 강조했다.
헬로티 구서경 기자 |
