오중호랑이의 비밀로그

쇼핑몰 가격 조작 해킹, 직접해보니 본문

개발이야기

쇼핑몰 가격 조작 해킹, 직접해보니

오중호랑이 2012.04.20 11:46

IT과학베스트에 등록된 글 입니다.

어제, 20대 남성이 쇼핑몰 결제 금액을 조작하여 수억을 챙겼다는 인터넷 기사를 봤습니다.

쇼핑몰 결제 금액을 조작하여 결제에 성공, 실제 물품을 받은 후 되파는 방식으로 수억상당을 챙겼다고 나오는데요.

또, 헐값에 되팔은 현금을 이용해서 해외여행등 호화생활을 영위했고, 인터넷 커뮤니티 사이트인 P사이트에서 왕성한 활동을 하면서 고급 수입 차량등 여러 인증을 많이 해놔서 논란이 되고 있네요. 실제로 P사이트에 접속하면 피해자가 수년전 부터 작성한 게시글들을 볼 수 있습니다.

PG사 결제 대행 시스템 작업을 처음 했을때, 이렇게 이렇게 조작하면 실제 물건이 배송 되지 않을까 라고 생각한적이 있었는데, 설마 정말 되겠어? 라고 생각만 했지만 실제 결제를 통해 물품을 받았다는건데요.

이번 기회에 한번 해봤습니다.

아이맥입니다. 2백여만원의 상당의 물건이지만 개발자도구를 이용해서 간단한 조작만으로 20192원으로 조작이 됩니다. 이런식의 방법으로 결제에 성공해서 실제물품을 받으면 인터넷을 이용하여 되파는 방법으로 돈을 챙긴것 같네요.

개발자 도구는 웹 개발자들이 개발의 편리함을 줄 수 있는 도구 입니다. 자바스크립트나, CSS HTML의 input필드 등, 클라이언트에서 실행 및 입력되는 수치를 조작 및 테스트 할 수 있게끔 만들어져 있고, 실제 사용 이유는 개발의 편리함입니다.

저같은 경우도 '주민등록번호'등 개인정보를 필수로 요구하는 사이트 등에 가입할때 개발자 도구를 이용하여 해당 필드를 삭제하여 주민등록번호 없이 가입한다거나와 같은 방법으로 사용하고는 했었는데, 결제 금액을 조작하고, 또 손쉽게 결제가 이루어 진다고 하니 놀랄 수 가 없네요.

이용자, PG사, 쇼핑몰 결제 운영 프로세스

PG사에서 결제가 완료된 금액과 실제 상품의 금액을 비교하지 않고 입금을 완료 시켜버리면 쇼핑몰에서는 입금이 완료된줄 알고 상품 배송을 했습니다. PG사에서 쇼핑몰측으로 결제대금 입금은 한번에 처리가 되기 때문에 손실나는 부분에 대해서 전산상의 오류로 치부했다고 하네요.

위 사이트 말고 다른 현재 운영중인 사이트들 몇군대를 테스트 해봤습니다.

게임 7일 정액권이 1천원으로 쉽게 변경이 가능하다.

다른 백화점 쇼핑몰. 49,800원의 상품이 조작을 통해 4,980원으로 조작됐다.

물론 결제를 끝까지 안했지만, 약 10초정도면 너무나 쉽게 가격조작이 가능하였습니다.

'해킹' 이라고 단정짓기 보단 개발자 도구 (말그대로 도구)를 열심히 사용한 악의 적인 목적을 가진 사용자와 일단 돈만 받고 보는 PG사, 회계에서 깊숙히 들어가지 못한 안일한 보안의식이 탄생시킨 어처구니 없는 사태라고 볼 수 있겠습니다.

신고
3 Comments
  • 결재직전 2012.04.20 14:15 신고 결재 직전으로 넘기시면 거기서 대부분 필터되는 부분이 많을텐데요..

    당연히 단순히 파라미터만 조작해서 특정 페이지에서 위에 보인것 같이

    표면상 값을 바꾸는건 의미가 없지 않을까싶어여..

    위에 예중에도 마치 위에 사이트들이 다 취약한 결재 시스템을 가진것으로 오해할만하게 글을 써주셨는데 .. 제생각엔 그렇지 않을 것 같은데 다음 결재 직전의 처리 컴포넌트에서도 그 값들이 그대로 이용되었나요??
  • 오중호랑이 2013.07.11 01:56 신고 넵 취약한곳만 찾아서 했을껍니다.
    한두군대 정도는 아니었겠고, 물품은 타이어라 알려져 있고.
    가격은 900만원정도 한다네요
  • 김두일 2017.09.25 17:22 신고 제가 궁금한 사항을 찾아보다 해킹에 속하는 것 같아서 문의드립니다.
    가령 제 소유가 아닌 타인의 쇼핑몰을 그대로 복사해와서 가격만 다르게 보일 수 있는 기술도 있나요? 이 때 지속적으로 연동될 수 있는지 궁금합니다.
    불법적으로 사용하고자 하는 것은 아닙니다. 혹시 이 글을 보시고 답변 주시면 대단히 감사하겠습니다. 4004di@naver.com
댓글쓰기 폼