• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

상거래 사이트 공격하는 메이지카트, 이번엔 마젠토 노려 2018.10.25

티켓마스터 등 유명 상거래 사이트 노리는 메이지카트, 전략 수정
마젠토 플랫폼의 서드파티 플러그인 노리기 시작...공격 효율 높이려는 듯

[보안뉴스 문가용 기자] 인터넷 상거래 시스템만 노리는 사이버 범죄 단체인 메이지카트(Magecart)가 공격의 전략을 조금 수정한 것으로 보인다. 그래서 현재는 마젠토(Magento)라는 전자 상거래 플랫폼에서 사용되는 서드파티 플러그인들의 취약점들을 노린다고 한다.

[이미지=iclickart]


메이지카트는 원래 프론트 엔드 시스템에 브루트포스와 같은 공격 기법을 사용하는 식으로 마젠토의 코어를 겨냥해 공격했다. 하지만 이제는 PHP에서 그 동안 발견된 여러 가지 취약점들을 노리고 쳐들어간다. 사용자들이 패치를 제대로 하지 않은 것을 노린 것이다. 이를 발견한 건 보안 전문가 빌렘 드 그루트(Willem de Groot)다.

“마젠토 자체는 꽤나 탄탄한 시스템입니다.” 드 그루트의 설명이다. “플랫폼의 보안은 철저해요. 버그바운티 프로그램도 실시하고, 배포 관리도 꼼꼼하게 하죠. 하지만 세상 모든 시스템의 탄탄함이란 가장 약한 고리로 결정되는 겁니다. 마젠토도 마찬가지죠. 서드파티 플러그인들이 약하면, 아무리 단단한 마젠토라도 그만큼 약해질 수밖에 없습니다.”

드 그루트의 최근 분석에 의하면 “메이지카트는 과거 워드프레스, 줌라, 드루팔 등의 콘텐츠 관리 시스템을 공격할 때 사용했던 PHP 객체 주입(POI) 기법을 여전히 사용하고 있었다”고 한다. “마젠토 플랫폼에 서드파티 플러그인들이 상당히 많은 것으로 보입니다. 메이지카트는 그 플러그인에도 POI 기법이 통하는 부분이 있다는 걸 발견한 것이죠.”

공격이 실제로 들어가는 곳은 PHP의 unserialize() 함수다. “이곳을 통해 공격자들은 자신들이 만든 PHP 코드를 주입합니다. 그렇게 한 후 데이터베이스나 다른 자바스크립트 파일들을 조작하죠. 현재도 많은 인기 PHP 애플리케이션들에는 unserialize()가 사용되고 있습니다. 마젠토는 이를 json_decode()라는 함수로 대부분 교체했지만, 이 패치가 모든 시스템과 플러그인에 적용된 건 아닙니다.”

드 그루트는 이 POI 취약점을 가지고 있는 플러그인을 십 수개 발견할 수 있었다고 한다. 전부 “아직 패치가 존재하지 않는” 플러그인들이다. “결국 각 플러그인들의 개발자들이 취약점을 스스로 패치해야 합니다. 하지만 이 플러그인들을 사용하고 있는 웹사이트들 대부분 이 취약점이 존재한다는 것조차 모를 겁니다.”

문제가 된 플러그인 중 하나는 어헤드웍스(Aheadworks)다. 마젠토 고객들이 다양한 온라인 상거래 기능을 수행할 수 있도록 돕는 기능을 가지고 있다. 개발자에 의하면 어헤드웍스는 약 5만 명의 사용자가 총 25만 번 이상 다운로드 받았다고 한다. 다행히 어헤드웍스는 이 취약점 소식을 듣고 이번 주 목요일 패치를 공개할 계획임을 발표했다.

메이지카트는 2015년부터 활동한 사이버 범죄 단체로 최근 굵직한 사이버 사건을 여럿 일으킨 바 있다. 특히 티켓마스터(Ticketmaster), 영국항공 웹사이트 등이 대표적인 피해 사례다. 또한 이번 달 초에는 쇼퍼 어프루브드(Shopper Approved)라는 서드파티 소프트웨어 등급 서비스 웹사이트를 공격하기도 했다.

드 그루트는 “전자 상거래 웹사이트를 침해하려면 정말 많은 노력이 필요하다”며 “하지만 마젠토 플러그인 하나에서 취약점을 발견하면 여러 사이트를 공략할 수 있어, 공격자들 입장에서는 꽤나 매력적인 공격 루트가 된다”고 설명했다. “메이지카트 공격에 당하지 않으려면 현재 마젠토 플러그인들 중 어떤 걸 사용하고 있는지 확인하고, 당분간 해당 플러그인들을 사용 중단하는 게 가장 안전할 겁니다. 그리고 해당 플러그인에서 패치 소식이 있을 때까지 기다려야 합니다.”

3줄 요약
1. 유명 사이버 공격 단체 메이지카트, 마젠토 플랫폼의 플러그인 노리기 시작.
2. 플러그인 노리면, 그 플러그인 설치된 여러 사이트 한꺼번에 공격 가능.
3. 마젠토 플러그인의 사용을 패치 나올 때까지 중단하는 것이 가장 안전함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>