© 2020 Akamai1

Akamai Technologies

써드파티스크립트애플리케이션보안: 침입 vs 탐지

신동곤 상무기술영업 상무, 북아시아, 한국/중국/홍콩/대만

WEBINAR

© 2020 Akamai2

2019년 10월 11일

https://www.forbes.com/sites/leemathews/2019/10/11/over-18000-websites-infested-with-magecart-card-skimming-malware/#c78d66f7b1d9

https://www.newsweek.com/fbi-warns-hidden-online-shopping-threats-including-e-skimming-magecart-attacks-1467311

신용카드를 훔치는 멀웨어가2곳의 글로벌 호텔 체인웹사이트를 공격

신용카드를 훔치는 멀웨어가 야구명예의 전당(Baseball Hall of Fame) 웹사이트를 해킹

영국항공 승객 38만 명이 해킹당한방법

E-스키밍(E-Skimming)을 비롯해숨은 온라인 쇼핑 위협인 ‘Magecart 공격’에 대해 경고하는 FBI

© 2020 Akamai3

© 2020 Akamai4

Magecart• 해커 그룹은 써드파티 스크립트를 통해민감한 데이터를 유출시킴

• 신용 카드를 처리하는 사이트는 지속적인리스크에 놓여 있는 상황

○ 한 번 감염되면 1번의 업데이트를 통해수천 개의 사이트를 감염시킬 수 있음

○ 20%의 사이트가 마지막 공격1 이후1달 이내에 재감염됨

https://sansec.io/labs/2018/11/12/merchants-struggle-with-magecart-reinfections/

1 출처: SANGUINE SECURITY, 2018

© 2020 Akamai5

48

퍼스트파티

62

써드파티

페이지당 평균 리소스(2017)

출처: Security and Frontend Performance, Challenge of Today: Rise of Third Parties, Akamai Technologies and O'Reilly Media, 2017

140%증가

써드파티스크립트요청

2011-2018

출처: JavaScript growth and third parties, SpeedCurve, 2018

706%증가

써드파티스크립트크기

2011-2018

스크립트 요청 및 크기(2018)

써드파티 스크립트의 증가써드파티 스크립트 사용이 증가하는 원인은 디지털 혁신

• 웹 경험 강화

• 간편한 추가/수정

• 경험의 일관성 유지• 써드파티 서비스와의 통합

• 써드파티에 의한 유지 관리

© 2020 Akamai6

써드파티 스크립트 예: Akamai.comwww.akamai.com 완료

써드파티 스크립트50% 이상

출처: https://requestmap.herokuapp.com/render/200107_S4_75af286693538a095b33ac5e4740b0b8/

© 2020 Akamai7

취약점을 발생시키는 써드파티 스크립트공격자가 무너뜨릴 수 있는 복잡한 공급망

2018 공격 건수

4,800매달 감염되는

웹사이트

78%출처: Symantec 2019 Internet Security Threat Report, 매달 평균 4,800개의 웹사이트가감염됩니다.

Alpaca

Magecart

• 제어 및 가시성 범위 밖에 있음

• 다른 팀에서 추가한 스크립트

• 신뢰할 수 있는 소스에서 발생

• 빈번한 재감염

PII 스키밍공급망을통해 이동

해커에게 다시전송

악성 코드실행

써드파티업데이트에추가된 악성

코드

© 2020 Akamai8

스크립트 감염과 사례

데이터 스키밍 북미 대형 리테일 기업(2019년 4분기)결제 페이지에서 도난 당한 신용카드 정보

우발적인 exfil 주요 온라인 검색 서비스(2019년 4분기)2억5천만명의 고객 기록에 대한 비보안 접속

위험한 서비스 글로벌 리테일 기업(2019년 4분기)1.3TB의 고객 데이터에 대한 비보안 접속

(CVEs) 알려진취약점

여행 서비스(2019년 4분기)380,000명이 넘는 고객의개인 및 결제 정보가 노출됨

© 2020 Akamai9

써드파티 스크립트를 보호하는 방법

통합 사이트스캐닝

• 간단한 웹사이트• 정책 업데이트에 유용함• 지속적인 수동 분석 및 테스트 필요

콘텐츠 보안 정책화이트리스트

• 엄격한 CSP 지원• 사전 예방적 접근• 지속적인 수동 분석 및 테스트 필요

접속 제어/샌드박싱• 간단한 웹사이트, 낮은 PII• CSP와 결합• 지속적인 수동 분석 및 테스트 필요

앱 내탐지

• 애플리케이션 스크립트 행동• 탐지 중심• 빠른 방어, 비즈니스 영향 낮음

© 2020 Akamai10

Magecart를 효과적으로 방어하는 서비스의 특징

• 앱 내에서 의심스러운 행동 탐지

• 간편한 설정 및 관리

• 항상 자동화 됨

• 문제를 걸러내 해결

• 알려진 위협을 차단하는 위협 인텔리전스

• 피드백 루프를 통해 제어 정책에 접속

© 2020 Akamai11

써드파티 스크립트 웹사이트 사례Films For All: 구독 신청

* Films For All은 가상 사이트입니다. 실제 서비스와 유사한 점이 있다면 전적으로 우연입니다.

Films For All

이메일 주소 신청

추천 자료

도움말 | 광고 | 언론 | RSS | 사이트맵

이메일주소를입력하면온가족이언제어디서나볼수있는수천개의클래식영상을감상할수있습니다

Films For All

© 2020 Akamai12

Films For All: 구독 신청

일반적인 사이트 구조:• 수십 개의 호스트네임• 평균 스크립트 110개• 여러 명의 태그 관리자• A/B 테스팅 툴

Films For All

이메일 주소 신청

추천 자료

도움말 | 광고 | 언론 | RSS | 사이트맵

이메일주소를입력하면온가족이언제어디서나볼수있는수천개의클래식영상을감상할수있습니다

Films For All

© 2020 Akamai13

Films For All: 계정 생성

Films For AllFilms For All

플랜선택

계정생성

입력주소

결제형태

매월

유연한선불제언제든지취소가능

첫 달 무료!

매월 $7.99

선택

연간

연간할인매년갱신

1개월 무료!

$79.99/년

선택

2년 계약

최대할인특가

1개월 무료!

$129.99/2년

선택

© 2020 Akamai14

현재 스크립트 구성 요소 분석 중

로그인 및 신청스크립트

써드파티공격면

알려진위협과의 비교

© 2020 Akamai15

기억해야 할 사항

• 써드파티 스크립트는 최신 웹 사이트에 반드시 필요합니다

• 스키밍 위협은 점점 더 빈번하게 발생하고 더 많은 영향을

미칩니다

• 신뢰할 수 있는 써드파티 모니터링은 새로운 요구 사항입니다

• 앱 내 스크립트 행동 탐지가 중요합니다

• 앱 내 스크립트 보호는 접속 제어 솔루션과 함께 작동합니다

© 2020 Akamai16

다음 단계

• 써드파티 스크립트의 상황 분석하기

• 적합한 스크립트 보안 접근 방식에 대해 고려하기

• Akamai와 함께 고민하기

• 아이디어 테스트하기

• 문의 : korea-marketing@akamai.com

© 2020 Akamai17 문의: korea-marketing@akamai.com