블로그

클라이언트 측 방어: 휴일 보안 갑옷의 빠진 부분

짐 다우니 썸네일
짐 다우니
2022년 12월 9일 게시

온라인 홀리데이 쇼핑 시즌이 한창 진행 중이며, 전자 상거래 소매업체들은 강력한 소비자 지출을 예상하고 있습니다. Deloitte는 Retail Info Systems의 보고서 에 따르면 2022~2023년 연말 시즌 동안 전자 상거래 매출이 전년 대비 12.8% ~ 14.3% 성장하여 총 매출이 2,600억~2,640억 달러에 달할 것으로 전망했습니다.

이는 전자상거래 앱에서 많은 활동이 이루어졌다는 의미이며, 그 중 일부는 행복한 휴일을 맞아 쇼핑 목록을 확인하는 데서 비롯된 것은 아닙니다.

사이버 위협 행위자들이 온라인 홀리데이 쇼핑의 급증을 이용하고자 활동을 가속화하는 시기이기도 합니다.

곧 가까운 브라우저에서 사용 가능: 클라이언트 측 사이버 위협

클라이언트 측 보안 공격이 너무 만연하고 위험해져서 OWASP는 브라우저 기반 보안 위협에 대한 새로운 상위 10개 목록을 편찬했습니다. 여기에는 이번 연말 연시에 전자상거래 사이트를 위협하는 많은 클라이언트 측 익스플로잇이 포함됩니다. 여기에는 폼재킹, 디지털 스키밍, Magecart 및 타사 JavaScript 소스에 대한 의존성으로 인해 발생하는 기타 브라우저 기반 JavaScript 취약점이 포함됩니다.

동적 전자상거래 웹사이트는 고객 여정을 개선하기 위해 앱에 타사 코드를 삽입하여 결제 양식, 챗봇, 광고, 소셜 공유 버튼, 추적 스크립트와 같은 일반적인 기능을 활성화합니다. 이러한 JavaScript 기능은 출시 시간을 단축하고 개발 리소스를 확보하는 즉시 사용 가능한 기능을 제공하지만 "섀도우 코드"가 생성됩니다. 즉, 사용자가 작성하지 않았고 제어할 수 없으며 사용자의 인식 없이 변경되고 조직의 보안 검토를 통과하지 못하는 코드입니다. 환경에서 실행되는 코드에 대한 가시성이 없으면 회사에서는 코드가 변경되거나 손상되었을 때를 감지할 수 없습니다. 이러한 스크립트는 위협 행위자에게 악용할 수 있는 광범위한 공격 표면을 제공하여 사용자나 상인이 알지 못하는 사이에 보안 사고가 고객의 브라우저에서 직접 발생할 수 있도록 합니다.

클라이언트 측 공격 유형

클라이언트 측 공격은 사용자 세션을 가로채고 조작하여 웹사이트를 통제하고 훼손하고, 피싱 공격을 수행하고, 가짜 콘텐츠를 제공하고, 새로운 양식을 만들고, 사용자에게 사회보장번호나 은행 계좌 정보를 제공하도록 요청하는 합법적인 양식을 하이재킹하거나, 사용자 계정을 인수하기 위해 실행됩니다. 수집된 데이터는 일반적으로 공격자의 명령 및 제어 서버로 유출됩니다.

타사 JavaScript 파일을 악용하는 것을 목표로 하는 클라이언트 측 공격에는 여러 유형이 있습니다.

아마도 가장 잘 알려진 공격은 Magecart 공격일 것이다. Magecart는 폼재킹 과 디지털 스키밍(e-스키밍이라고도 함)을 포함한 다양한 소프트웨어 공급망 공격을 통틀어 이르는 말로, 온라인 웹 결제 양식에서 개인 데이터(대개 고객 정보와 신용 카드 정보)를 훔치는 공격입니다. F5 Labs의 2022년 애플리케이션 보호 보고서에 따르면: 유출 예상에서 폼재킹 공격은 침해 공개로 이어진 웹 익스플로잇의 대부분을 차지했습니다.

범죄자들은 일반적으로 탈취한 고객 데이터를 이용해 신원 도용이나 계정 인수와 같은 악의적인 행위를 저지르거나, 종종 정보를 수집해 패키지화한 후 다크 웹에 데이터 덤프로 판매하기도 합니다.

클라이언트 측 공격을 저지하기 위한 모범 사례

범죄자들이 웹 애플리케이션에 악성 코드를 삽입할 수 있는 한, 클라이언트 측 공격은 온라인 조직에 앞으로도 계속 문제가 될 것입니다. 특히, 쇼핑객과 사이버보안 팀 모두가 이미 집중해야 할 다른 문제가 많은 휴일철에 이런 공격이 더욱 큰 피해를 입힐 수 있습니다. 이런 유형의 공격을 알고 있는 회사가 적고, 이런 공격을 탐지하고 차단하기 위한 적절한 방어 수단을 구축한 회사가 적다는 점을 감안할 때, 공격자들은 앞으로도 계속 성공할 가능성이 큽니다.

하지만 클라이언트 측 위험을 완화하는 데 도움이 되는 몇 가지 모범 사례는 다음과 같습니다.

  • 스크립트 인벤토리 감사를 실시합니다. 사이트에 포함된 모든 스크립트를 목록화하고, 스크립트를 소유하고 승인한 사람이 누구인지, 스크립트의 용도와 유지 관리 방법을 파악합니다. 여기에는 페이지의 HTML에 직접 추가된 스크립트는 물론, 태그 관리자를 통해 추가된 스크립트도 포함됩니다. 구현하려는 타사 코드가 무엇을 하는지, 해당 코드가 중요한 데이터에 액세스하는지, 아니면 중요한 기능을 수행하는지 확인하세요. 조직에서는 사이트의 JavaScript에 대한 가시성이 필요할 뿐만 아니라 스크립트가 수집하는 내용을 파악해 유럽연합의 GDPR 및 캘리포니아 소비자 개인 정보 보호법(CCPA)과 같은 데이터 개인 정보 보호 규정을 위반하지 않고, 다가올 PCI DSS 요구 사항 6.4.3 및 11을 준수해야 합니다.
  • 제3자 위험 관리 프레임워크를 구축합니다. 각 스크립트의 무결성을 보장하기 위해 스크립트를 추가, 모니터링 및 유지 관리하기 위한 거버넌스 구조를 구축합니다. PII 또는 기타 민감한 정보에 대한 요청이 새 도메인으로 데이터를 전송하는 것을 포함하는 경우를 식별할 수 있는 프로세스를 만듭니다.
  • 제로 트러스트를 적용하세요 . 사이트의 모든 스크립트에 대해 제로 트러스트 접근 방식을 취하세요. 누구에게도 무조건적인 신뢰를 베풀지 마십시오. 새로운 스크립트가 추가되거나 기존 스크립트가 수정될 경우 모니터링, 감지, 경고 기능을 구축합니다. SRI(하위 리소스 무결성) 및 CSP(콘텐츠 보안 정책)와 같은 탐지 기술은 여전히 가치가 있지만 오늘날 끊임없이 변화하는 웹 애플리케이션을 보호하기에는 더 이상 충분하지 않습니다. 제로 트러스트를 적용한 조직은 제로 트러스트를 사용하지 않은 조직보다 데이터 침해 비용이 20.5% 낮았습니다 .
  • 신속한 완화 전략을 수립하세요. 네트워크 호출을 악의적으로 데이터를 빼내는 것을 차단하는 원클릭 완화 기능을 제공하는 도구를 사용하여 대화형 대시보드에서 스크립트 변경 사항과 알림을 검토할 수 있는 간단한 원클릭 완화 프로세스를 만드는 방법을 알아보세요.

결론: 이번 연말연시, 클라이언트 측 공격 위협을 간과하지 마세요

휴일 기간에 고객이 귀하의 전자상거래 웹사이트에 계정에 로그인하면 고객은 자신의 민감한 개인 데이터를 귀하에게 신뢰하게 됩니다. 귀하의 전자상거래 환경에서 실행되는 타사 스크립트가 해를 끼치지 않도록 필요한 조치를 취하세요.

F5 Distributed Cloud Client-Side Defense를 사용하여 회사와 고객을 클라이언트 측 JavaScript 악용으로부터 보호하세요. 이 솔루션은 고객 자격 증명, 재무 정보 및 개인 정보를 Magecart, 폼재킹 및 기타 클라이언트 측 공급망 공격으로부터 보호하는 모니터링 및 완화 솔루션입니다. 이 SaaS 기반 서비스는 빠르고 쉽게 배포할 수 있으며, 즉각적인 가치를 제공하고, 고객의 개인 및 금융 데이터를 범죄자의 손아귀로부터 보호하며, 소비자의 신뢰를 훼손할 수 있는 데이터 손실을 방지합니다.

자세한 내용은 동영상 ' 상인이 Magecart 공격으로부터 스스로를 방어하는 방법'을 시청하고 F5 분산 클라우드 클라이언트 측 방어 데모 를 시청해 보세요.

손상된 JavaScript 소스로 인해 회사와 고객의 휴일이 망가지지 않도록 하세요.