WebRTC로 CSP 우회: 신종 웹 스키머 공격 등장과 E-Commerce 보안의 허점

작성자:

요약

  • WebRTC 이용한 CSP 우회: 새롭게 발견된 웹 스키밍 공격이 WebRTC 데이터 채널을 악용해 결제 정보를 유출함
  • 전통적 방어체계 한계 노출: 기존 CSP, WAF, 네트워크 모니터링만으로는 탐지와 차단에 어려움이 발생
  • 다층적 대응과 정책 전환 필요: 실시간 모니터링, 서드파티 스크립트 엄격 관리, 결제 정보 최소화가 필수

웹 보안, 이제는 브라우저 내부 채널까지 주시해야 할 때입니다.

2. 사건 개요 및 배경: WebRTC 스키머 악성코드 공개

전자상거래 사이트를 노린 결제 정보 탈취 공격인 웹 스키밍(Web Skimming)이 한층 정교해지고 있습니다. 최근 보안 기업 Sansec와 The Hacker News 보도에 따르면, 최신 웹 스키머 악성코드가 WebRTC(웹 실시간 통신) 데이터 채널을 활용해 악성 페이로드를 유입시키고 결제 데이터를 외부로 유출하는 것이 포착됐습니다. 이번 공격은 기존 웹 스키밍 방어의 주요 수단인 CSP(Content Security Policy)까지 효과적으로 우회해 보안 업계에 큰 경각심을 불러일으키고 있습니다.

WebRTC는 브라우저 간 실시간 통신(P2P 기반 메시지 교환)을 위해 설계된 기술입니다. 이게 공격에 악용될 경우, 공격자는 일반 HTTP 요청이 아닌 브라우저의 내부 네이티브 채널을 통해 데이터를 자유롭게 전송할 수 있고, 기존 네트워크 모니터링 시각에서는 탐지가 매우 어렵다는 점이 문제로 지적됩니다.

3. 기존 웹 스키밍 공격 방식과 한계

웹 스키밍은 공격자가 공격 대상 사이트에 악성 스크립트를 삽입해 고객의 결제 카드 정보를 가로채는 공격입니다. OWASP 공식 자료에 따르면 주된 방식은 세 가지로 나뉩니다:

  • HTTP 요청 전송: 입력된 결제정보를 외부 서버로 직접 전송
  • 이미지 비콘 방식: 투명 이미지를 활용, 결제정보를 URL 파라미터에 넣어 송신
  • 서드파티 스크립트 변조: 외부 스크립트 변조로 정보 탈취

이들 방식의 공통점은 데이터 전송이 HTTP 트래픽을 기반으로 하기에 대부분 CSP, WAF, 네트워크 트래픽 분석 같은 정책으로 차단·탐지가 가능하다는 점입니다. 하지만 WebRTC 기반 공격의 등장은 이들 기존 방어 체계에 명확한 한계를 드러내고 있습니다.

4. WebRTC를 이용한 CSP 우회 방식 분석

WebRTC 데이터 채널을 통한 CSP 우회 메커니즘은 다음과 같습니다.

  • 공격자가 사이트 취약점 또는 공급망 공격을 통해 악성 스크립트 주입
  • 주입된 스크립트가 브라우저 내에서 WebRTC 데이터 채널을 생성, 결제정보를 직통(P2P)으로 외부 전송

문제는 CSP 정책이 WebRTC 통신을 기본적으로 통제하지 못한다는 점에 있습니다. CSP는 HTTP/HTTPS 리소스 로딩과 스크립트 실행만 통제하며, WebRTC 채널 수립 및 메시지 교환은 범위 밖입니다. 또한 WebRTC는 DTLS 암호화가 적용되어 있어 네트워크 감시 장비나 DPI(심층 패킷 분석)로는 실제 트래픽 해석이 어렵고, TLS 검사 장비 또한 WebRTC 트래픽을 감지하지 못합니다.

5. 기존 보안 체계의 취약점

현재 일반적으로 활용하는 세 가지 방어 체계의 한계

  • CSP의 한계: 악성 스크립트 완벽 차단 불가, WebRTC 같은 정책 사각지대 존재
  • 네트워크 모니터링의 한계: 내부 브라우저 P2P 트래픽은 기존 WAF 등으로 탐지가 불가
  • 서드파티 스크립트 위험성: 정상 출처로 위장, 변조된 서드파티 스크립트로 정보 탈취 우려

6. 대응 방안 및 제언

WebRTC 기반 웹 스키밍에는 다층적 보안이 필수입니다.

  • 실시간 브라우저 보안 강화: CSP 위반 리포트 URl/To, 클라이언트 사이드 보안 확장프로그램과 devtool 연동 도구를 도입해 WebRTC 데이터 채널 생성 및 메시지를 감시
  • 결제 정보 직접 수집 최소화: PCI DSS 인증된 결제 게이트웨이·토큰화 등 외부 위임 체계 활용
  • 서드파티 스크립트 엄격 관리: SRI(서브 리소스 무결성) 적용 시 실행 차단, 미확인 서드파티의 권한 최소화
  • 보안 정보 및 사건 관리(SIEM) 연동: 다양한 보안 로그와 웹 리포트를 통합, 상관관계 분석으로 위협 조기 탐지 강화

7. 결론: 운영자의 대응 방향

WebRTC로 CSP를 우회하는 웹 스키머 공격의 등장은 웹 보안 환경에 경고를 던집니다. 운영자는 즉시 기존 전략을 재점검하고, 브라우저·네트워크·애플리케이션을 연결하는 다층적 보안 체계와 실시간 대응 체계를 마련해야 합니다. 특히, 결제 정보 수집 최소화와 서드파티 통제 및 모니터링은 선택이 아니라 필수로 자리 잡고 있습니다. 웹 보안은 한 번의 프로젝트가 아니라 지속적 관리로만 공고하게 유지됨을 명심해야 할 시점입니다.

  • WebRTC 채널 통한 은밀한 정보 유출, 기존 보안 정책 한계 드러남
  • 브라우저 내 통신, 네트워크 관점 차단 전략만으로는 부족함
  • 다층대응·실시간 모니터링·서드파티 꼼꼼한 관리 필수

TAG : WebRTC, CSP 우회, E-Commerce 보안, 웹 스키머, 신종 웹 공격, Content Security Policy, 실시간 통신 보안

댓글 남기기