비자(Visa)가 카드 결제 정보를 훔쳐낸 후, 메모리 상에서 스스로를 제거하는 정교한 악성코드 ‘바카(Baka)’가 유포되고 있다며 이에 대한 주의를 당부했다.
바카는 지난 2월 비자의 PFD(Payment Fraud Disruption) 이니셔티브가 여러 사이버 공격의 C2 서버를 분석하며 처음 발견됐다.
바카는 웹페이지에 자바스크립트 파일을 로드하는 태그를 동적으로 추가해 작동한다. 정적 악성코드 탐지를 피하기 위해 동적으로 로드되며, 각 피해자에 대한 고유 암호화 매개 변수를 사용해 난독화한다.
PFD 전문가들은 비자의 전자 상거래 보안 서비스인 eTD(eCommerce Threat Disruption) 기능을 사용하는 여러 가맹점에서 바카 악성코드를 발견했으며, 바카는 결제 양식에서 카드 데이터를 훔쳐낸 후 스스로를 메모리에서 제거해 감지와 분석을 회피하도록 설계됐다고 밝혔다.
연구원들은 바카와 같이 신용카드 번호를 훔치는 악성코드 피해를 방지하기 위해 다음과 같은 보안 조치를 실시할 것을 권고했다.
-전자 상거래 환경에 대한 주기적 점검
-전문적인 보안 업체를 통한 전자 상거래 환경 보호
-CDN(Content Delivery Networks)과 기타 타사 리소스 조사
-전자 상거래 환경 관련 서비스와 소프트웨어 최신 업데이트 패치
-관리자 계정 접근 제한
-강력한 암호 관리, 2FA 인증 활성화
-고객이 결제 정보 입력할 때 완전 호스팅 결제 솔루션을 통해 결제되도록 조치(매우 중요)
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Security Affairs)’의 설립자이자 유럽네트워크정보보안기구 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성되었습니다.
