인기 높은 CMS에 무작위로 디폴트 크리덴셜 대입해 침투
침투 이후에는 신용카드 정보 훔치거나 암호화폐 채굴하거나

[보안뉴스 문가용 기자] 사이버 범죄자들이 마젠토(Magento)로 만들어진 웹 사이트의 관리자 접근 권한을 훔쳐내고 이를 통해 신용카드 정보를 빼돌리거나 암호화폐 채굴 코드를 퍼트리기 위해 브루트포스 공격 기법을 사용하고 있다고 보안 업체 플래시포인트(Flashpoint)가 경고했다.


플래시포인트에 의하면 “최소 1천개의 마젠토 기반 웹사이트들에서 브루트포스 공격이 성공했다”며 “범죄자들은 흔하거나 디폴트인 크리덴셜을 활용했다”고 설명한다. 공격자들이 침투한 곳은 콘텐츠 관리 시스템(CMS)의 관리자 패널이다. “그래서 피해를 입은 사이트들 대부분 관리자가 디폴트 비밀번호를 바꾸지 않은 곳”이라고도 한다. “이번에 발견된 1천개의 침해 사이트는 빙산의 일각일 가능성이 높습니다.”

관리자 권한을 탈취하는 데 성공한 공격자들은 마젠토 시스템에 악성 코드를 주입해 지불카드와 관련된 정보가 서버로 전송되거나 돌아오는 것을 가로챘다. 다른 악성 행위를 하는 사례도 일부 발견됐다.

플래시포인트의 연구 부문 책임자인 비탈리 크레메즈(Vitali Kremez)는 “플래시포인트에서 확보한 1000개의 침해 사이트의 경우, 공격자들 대부분 러시아어를 구사하는 부류였다”고 말한다. “공격자들은 교육과 의료를 포함해 다양한 분야를 겨냥하고 이번 브루트포스 캠페인을 진행하고 있습니다. 침해된 패널 맵의 IP 주소는 거의 대부분 유럽과 미국에 있고요.”

규모면에서도 표적이 된 침해 사이트를 분류해봐도 다양하다고 한다. “작은 규모의 조직에서 중간 규모까지, 마젠토를 기반으로 상거래를 하는 곳들은 크기에 상관없이 당하고 있습니다. 당연히 온라인 쇼핑몰이 가장 큰 피해를 보고 있고, 그 다음은 의료 분야와 교육 분야입니다.”

공격자들은 관리자 패널에 침투 성공한 뒤, 어떤 방식으로 이득을 챙길까? 크레메즈는 세 가지 방식이 있다고 정리한다. “가장 선호하는 방법은 자바스크립트 스니퍼를 심어서 지불카드 정보를 훔치는 겁니다. 그리고 이 정보를 다크웹에 파는 거죠. 만약 지불과 전혀 관계 없는 웹사이트를 침해했다면 암호화폐를 채굴하는 툴을 업로드해서 돈을 법니다.”

이 두 가지 외 세 번째 방법은 침해 사이트를 사용해 코드를 호스팅하는 것이다. 이 때 가짜 플래시 플레이어 업데이트를 주로 활용한다. 방문자가 사이트에 접속했을 때 가짜 업데이트를 설치하도록 유도하는 것이다. ‘확인’을 누른 사용자들은 AZORult라는 데이터 탈취 멀웨어를 설치하게 된다. AZORult는 Rarog라는 암호화폐 채굴 코드를 추가로 다운로드 받아 실행시킨다.

또한 놀라운 건 공격자들이 악성 파일을 매일 업데이트해 시그니처 기반의 안티 멀웨어 툴들을 우회한다는 것이다. “이 정도 정성이면 공격자들이 일시적으로 마젠토를 노리고 있다고 볼 수 없습니다. 꾸준히 마젠토를 노릴 것이라고 보는 것이 타당하고, 그렇기에 저희가 발견한 1천개의 웹사이트가 빙산의 일각이라고 보입니다.”

크레메즈는 “마젠토는 전자상거래 플랫폼 중에서 가장 인기가 높은 것들 중 하나”라며 “이전부터도 사이버 범죄자들이 심심찮게 노려왔다”고 설명한다. 비슷한 인기와 위험을 가지고 있는 플랫폼으로는 파워프론트(Powerfront)와 오픈카트(OpenCart) 등이 있다고 크레메즈는 추가로 경고했다.

한편 이번 공격을 통해 “디폴트 크리덴셜을 바꾸지 않았을 때 얼마나 큰 위험에 노출될 수 있는지가 드러나”기도 했다. “관리자들이라면 반드시 크리덴셜에 관심을 가지고 관리해야 합니다. 최소한 디폴트나 흔히들 사용한다는 비밀번호를 사용하면 안 되겠죠. 여유가 되는 단체라면 이중 인증 시스템을 도입하는 것도 좋은 방법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>