온라인 홀리데이 쇼핑 시즌이 한창 진행 중이며, 전자 상거래 소매업체들은 강력한 소비자 지출을 예상하고 있습니다. Deloitte는 Retail Info Systems의 보고서 에 따르면 2022~2023년 연말 시즌 동안 전자 상거래 매출이 전년 대비 12.8% ~ 14.3% 성장하여 총 매출이 2,600억~2,640억 달러에 달할 것으로 전망했습니다.
이는 전자상거래 앱에서 많은 활동이 이루어졌다는 의미이며, 그 중 일부는 행복한 휴일을 맞아 쇼핑 목록을 확인하는 데서 비롯된 것은 아닙니다.
사이버 위협 행위자들이 온라인 홀리데이 쇼핑의 급증을 이용하고자 활동을 가속화하는 시기이기도 합니다.
클라이언트 측 보안 공격이 너무 만연하고 위험해져서 OWASP는 브라우저 기반 보안 위협에 대한 새로운 상위 10개 목록을 편찬했습니다. 여기에는 이번 연말 연시에 전자상거래 사이트를 위협하는 많은 클라이언트 측 익스플로잇이 포함됩니다. 여기에는 폼재킹, 디지털 스키밍, Magecart 및 타사 JavaScript 소스에 대한 의존성으로 인해 발생하는 기타 브라우저 기반 JavaScript 취약점이 포함됩니다.
동적 전자상거래 웹사이트는 고객 여정을 개선하기 위해 앱에 타사 코드를 삽입하여 결제 양식, 챗봇, 광고, 소셜 공유 버튼, 추적 스크립트와 같은 일반적인 기능을 활성화합니다. 이러한 JavaScript 기능은 출시 시간을 단축하고 개발 리소스를 확보하는 즉시 사용 가능한 기능을 제공하지만 "섀도우 코드"가 생성됩니다. 즉, 사용자가 작성하지 않았고 제어할 수 없으며 사용자의 인식 없이 변경되고 조직의 보안 검토를 통과하지 못하는 코드입니다. 환경에서 실행되는 코드에 대한 가시성이 없으면 회사에서는 코드가 변경되거나 손상되었을 때를 감지할 수 없습니다. 이러한 스크립트는 위협 행위자에게 악용할 수 있는 광범위한 공격 표면을 제공하여 사용자나 상인이 알지 못하는 사이에 보안 사고가 고객의 브라우저에서 직접 발생할 수 있도록 합니다.
클라이언트 측 공격은 사용자 세션을 가로채고 조작하여 웹사이트를 통제하고 훼손하고, 피싱 공격을 수행하고, 가짜 콘텐츠를 제공하고, 새로운 양식을 만들고, 사용자에게 사회보장번호나 은행 계좌 정보를 제공하도록 요청하는 합법적인 양식을 하이재킹하거나, 사용자 계정을 인수하기 위해 실행됩니다. 수집된 데이터는 일반적으로 공격자의 명령 및 제어 서버로 유출됩니다.
타사 JavaScript 파일을 악용하는 것을 목표로 하는 클라이언트 측 공격에는 여러 유형이 있습니다.
아마도 가장 잘 알려진 공격은 Magecart 공격일 것이다. Magecart는 폼재킹 과 디지털 스키밍(e-스키밍이라고도 함)을 포함한 다양한 소프트웨어 공급망 공격을 통틀어 이르는 말로, 온라인 웹 결제 양식에서 개인 데이터(대개 고객 정보와 신용 카드 정보)를 훔치는 공격입니다. F5 Labs의 2022년 애플리케이션 보호 보고서에 따르면: 유출 예상에서 폼재킹 공격은 침해 공개로 이어진 웹 익스플로잇의 대부분을 차지했습니다.
범죄자들은 일반적으로 탈취한 고객 데이터를 이용해 신원 도용이나 계정 인수와 같은 악의적인 행위를 저지르거나, 종종 정보를 수집해 패키지화한 후 다크 웹에 데이터 덤프로 판매하기도 합니다.
범죄자들이 웹 애플리케이션에 악성 코드를 삽입할 수 있는 한, 클라이언트 측 공격은 온라인 조직에 앞으로도 계속 문제가 될 것입니다. 특히, 쇼핑객과 사이버보안 팀 모두가 이미 집중해야 할 다른 문제가 많은 휴일철에 이런 공격이 더욱 큰 피해를 입힐 수 있습니다. 이런 유형의 공격을 알고 있는 회사가 적고, 이런 공격을 탐지하고 차단하기 위한 적절한 방어 수단을 구축한 회사가 적다는 점을 감안할 때, 공격자들은 앞으로도 계속 성공할 가능성이 큽니다.
하지만 클라이언트 측 위험을 완화하는 데 도움이 되는 몇 가지 모범 사례는 다음과 같습니다.
휴일 기간에 고객이 귀하의 전자상거래 웹사이트에 계정에 로그인하면 고객은 자신의 민감한 개인 데이터를 귀하에게 신뢰하게 됩니다. 귀하의 전자상거래 환경에서 실행되는 타사 스크립트가 해를 끼치지 않도록 필요한 조치를 취하세요.
F5 Distributed Cloud Client-Side Defense를 사용하여 회사와 고객을 클라이언트 측 JavaScript 악용으로부터 보호하세요. 이 솔루션은 고객 자격 증명, 재무 정보 및 개인 정보를 Magecart, 폼재킹 및 기타 클라이언트 측 공급망 공격으로부터 보호하는 모니터링 및 완화 솔루션입니다. 이 SaaS 기반 서비스는 빠르고 쉽게 배포할 수 있으며, 즉각적인 가치를 제공하고, 고객의 개인 및 금융 데이터를 범죄자의 손아귀로부터 보호하며, 소비자의 신뢰를 훼손할 수 있는 데이터 손실을 방지합니다.
자세한 내용은 동영상 ' 상인이 Magecart 공격으로부터 스스로를 방어하는 방법'을 시청하고 F5 분산 클라우드 클라이언트 측 방어 데모 를 시청해 보세요.
손상된 JavaScript 소스로 인해 회사와 고객의 휴일이 망가지지 않도록 하세요.