고객 행동 패턴 분석해 실시간 푸시 알람 보내주는 서비스 업체 당해
1달 동안 서버에 잠입해 있던 것으로 보여...전형적인 메이지카트 수법

[보안뉴스 문가용 기자] 티켓마스터(Ticketmaster) 등 전 세계 온라인 상거래 시스템을 계속해서 공격하고 있는 단체 메이지카트(Magecart)가 다시 한 번 공격에 성공했다. 이번에는 고객 관리 서비스 업체인 피디파이(Feedify)에서 고객들의 카드 정보가 새나간 것으로 보인다.


피디파이는 약 4000개의 고객사를 두고 있는 기업으로, 다양한 도구들을 사용해 고객들이 원하는 표적 소비자들의 행동 패턴을 분석해 실시간으로 푸시 알람을 보내는 서비스를 제공한다.

그런데 피디파이의 서비스를 받으려면 고객사들은 자바스크립트를 웹사이트에 추가해야만 한다. 이 스크립트는 피디파이의 서버로 연결돼 다양한 자원을 로딩시킨다. 여기에는 feedbackembad-min-1.0.js라는 라이브러리도 포함되어 있는데, 이 라이브러리는 수백 개의 사이트에서 사용되고 있는 중이다. 메이지카트는 이 스크립트를 노리고 침해했다.

그렇다는 건 피디파이 고객들 중 해당 스크립트를 사용하고 있는 시스템이 침해되었고, 이를 통해 라이브러리가 로딩되어 있는 수많은 사이트에 접속한 사람들의 개인정보가 유출되었을 가능성이 높다는 뜻이 된다.

메이지카트는 2015년부터 그 흔적이 발견되어 온 단체로, 웹 기반 카드 스키머를 사용해 다양한 온라인 상거래 시스템을 침해해왔다. 웹 기반 카드 스키머란, 지불카드 정보 및 기타 민감 정보를 훔치는 악성 코드다. 최근에는 티켓마스터와 영국항공이 이들에게 당했다.

이를 발견한 건 보안 업체 리스크IQ(RiskIQ)로, 이곳의 전문가 요나단 클린스마(Yonathan Klijnsma)는 지난 주 “피디파이가 메이지카트에 당했다”고 발표했다. 조사를 더 해본 결과 “메이지카트가 피디파이의 서버에 한 달 가까이 숨어 있었다”는 것도 알아냈다고 한다.

피디파이는 이전에도 보안 전문가들의 신고를 참고해 침해된 라이브러리에서 악성 코드를 삭제했다고 한다. 그러나 메이지카트는 어렵지 않게 다시 침투해 들어와 같은 라이브러리를 감염시켰다. 그래서 보안 전문가들은 메이지카트가 피디파이 서버로 드나드는 지점이 있는 것으로 보고 있다.

이는 메이지카트의 흔한 수법이다. 이들은 조직 내로 침투할 수 있는 여러 지점들을 마련하고, 악성 코드를 반복적으로 주입한다. 심지어 “한 번만 더 악성 코드를 지워면 모든 파일을 암호화하겠다”는 협박을 피해자에게 보내기도 했다.

8월 말 보안 전문가인 빌렘 드 그루트(Willem de Groot)는 “메이지카트 공격자들이 신용카드 데이터 스키머 코드를 7000개가 넘는 웹사이트에 심어두었다”고 주장하기도 했다. “이 코드의 감염 속도는 매우 빠르며, 그러므로 악성 코드 차단 시도에 별 다른 영향을 받지 않습니다.”

3줄 요약
1. 티켓마스터와 영국항공 공격한 메이지카트, 이번엔 피디파이 침해.
2. 온라인 상거래 사이트 집중적으로 노리는 메이지카트, 빠르게 퍼지고 있어.
3. 수천 개 사이트가 메이지카트의 악성 코드에 감염되어 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>