한 보안 연구원이 글로벌 온라인 결제 시스템 페이팔(Paypal)에서 돈을 훔칠 수 있는 보안 취약점이 발견됐다고 말했다.
외신 해커 뉴스(HackerNews)에 따르면, 이 결함을 통해 해커는 사용자를 속여 자신이 조종하는 대로 거래를 유도할 수 있다. 이 공격은 보이지 않는 오버레이 페이지, 보이는 페이지 상단에 표시되는 HTML 요소를 이용한다. 이 페이지를 클릭하면 사용자는 해커가 제어하는 요소를 클릭하게 된다.
이번 취약점을 발견한 보안 연구원은 약 7개월 동안 페이팔의 취약점에 대해 보고했으며, 해커가 클릭재킹(해커가 원하는 것을 클릭하도록 사용자를 속이는 공격 기법)을 악용해 사용자의 돈을 훔칠 수 있음을 시연했다.
연구원은 청구 계약을 위해 설계된 ‘www.paypal[.]com/agreements/aprove’ 엔드포인트에 취약점이 있다고 주장했다. 그는 “해커는 아이프레임(Iframe)에 민감한 paypal.com 엔드포인트를 로드할 수 있다. 피해자는 페이지의 모든 곳을 클릭해야 하며 이때 해커의 PayPal로 돈이 송금된다. 더 큰 문제는 PayPal의 결제 서비스를 구독하는 데에도 이 방법이 악용될 수 있다는 점이다”라고 경고했다.
보안 연구원에 따르면, 이번 취약점은 아직 패치되지 않은 것으로 알려졌다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
