코드 리포지토리 서비스에 호스팅 된 메이지카트 스키머 코드
마젠토가 주요 표적...온라인 상거래 사이트는 소비자 보호에 힘써야

[보안뉴스 문가용 기자] 사이버 범죄자들이 최근 지불카드 정보와 개인정보를 새로운 방식으로 수거해가고 있다고 보안 업체 멀웨어바이츠(Malwarebytes)가 발표했다. 멀웨어바이츠의 제롬 세구라(Jerome Segura)에 의하면 “ATM 카드 스키밍의 온라인 버전 방식”이라고 한다.


“공격자들은 온라인 코드 리포지토리인 깃허브(GitHub)에다가 메이지카트(Magecart)라는 스키머를 호스팅했습니다. 그리고 이를 활용해 수백~수천 개의 전자상거래 가능 웹사이트에서 데이터를 훔쳐내고 있습니다.”

스키밍을 위한 코드는 보통 공격자들이 직접 통제하는 인프라에 저장된다. 하지만 멀웨어바이츠가 자사 블로그에 올린 글에 의하면 “최근 들어 공격자들이 수천 개의 도메인 이름을 생성했는데, 전부 공격자 자신들이 공격 대상으로 삼고 있는 CMS 플랫폼(특히 마젠토(Magento))의 도메인 이름을 흉내 낸 것”이라고 한다.

이에 대해 멀웨어바이츠는 다음과 같이 분석한다. “아마 공격자들은 스키머를 점검하면서 조금씩 조정하는 중에 있는 것 같습니다. 마젠토 기반 사이트들을 침해할 경우 다른 서드파티 플러그인을 침해한 것과 비슷하게, CDATA 스크립트 직후나 /html 태그 직전에 스크립트를 로딩하는 게 가능해집니다. 그래서 특히 노리는 것으로 보입니다.” 현재까지 이런 식으로 침해된 마젠토 사이트는 200개가 넘는다고 한다.

그렇다면 깃허브에 호스팅 된 스키머 코드를 삭제하면 공격이 무산될까? 그렇지 않다고 세구라는 설명한다. “마젠토 사이트들은 계속해서 위험한 채로 남아있을 겁니다. 세상에는 리포지토리도 많고, 거기에는 하루에도 수백만 건의 코드가 공유됩니다. 일일이 잡아낼 수가 없죠. 누군가는 또 비슷한 시도를 할 것이고, 마젠토는 계속해서 비슷한 공격에 노출되어 있을 겁니다.”

실제로 이러한 생각으로 조사를 확장시켰을 때 멀웨어바이츠는 깃허브 외에 다른 유사 서비스 및 코드 공유 리포지토리들에서도 비슷한 상황을 발견하라 수 있었다고 한다. “리포지토리를 악용한 공격들이 서서히 다채로워지고 있고, 대세로 자리 잡아가는 분위기가 형성되고 있습니다.”

그래서 세구라는 “전자상거래 기능을 가지고 있는 사이트의 운영자들이라면 CMS와 플러그인들을 항상 업데이트하는 걸 기본으로 여겨야 한다”고 권고한다. “뿐만 아니라 강력한 인증 시스템을 도입하는 것도 중요합니다. 소규모 상거래 사이트들은 값이 싸고 저렴한 걸 우선으로 하는데요, 이는 소비자들에게 좋지 않은 행위입니다.”

세구라는 “온라인 상거래 사이트가 해킹을 당해 각종 정보가 새나간다고 했을 때 정말 큰 피해를 입는 건 소비자들”이라고 거듭 강조했다. “온라인 상거래 사이트의 주인이라면 소비자 보호에 더 신경을 써야 할 것입니다. 왜냐하면 소비자들이 직접 피해의 대상이 된다고 했을 때 허술한 사이트에 접속하지 않을 것이기 때문입니다.”

3줄 요약
1. 깃허브에 메이지카트 스키머 코드 호스팅 되어 있음.
2. 이 때문에 마젠토 기반의 상거래 사이트들 수백 개가 공격에 당함.
3. 코드 리포지토리 서비스를 공격 인프라에 가담시키는 공격 기법 늘어나고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>