퍼스트 에이드 뷰티, 5개월 동안 스키머 코드 통해 고객 정보 빼앗겨
미국 사용자와 리눅스 사용자가 접속할 경우 스키머 코드 발동되지 않아

[보안뉴스 문가용 기자] 인기 높은 스킨 케어 브랜드인 퍼스트 에이드 뷰티(First Aid Beauty)의 웹사이트가 전자상거래 공격을 전문으로 하는 해킹 집단인 메이지카트(Magecart)에 해킹을 당해왔다는 사실이 밝혀졌다. 이 사이트에 디지털 카드 스키머를 심어 무려 5개월 동안 고객의 지불카드 정보를 빼내갔다고 한다.


퍼스트 에이드 뷰티는 스킨 케어 전문 브랜드로, 공식 웹사이트는 매달 89,689명의 방문자를 기록하고 있다. 따라서 5개월 동안 잠복해서 고객들의 정보를 빼갔다면 꽤나 많은 사람들이 피해를 입었을 수 있다고 스키머를 최초로 발견한 보안 전문가 빌렘 드 그루트(Willem de Groot)는 설명한다. 이 스키머는 5월 5일부터 작동을 시작했고, 지난 주 금요일에 삭제됐다.

디지털 카드 스키머란, 일종의 악성 스크립트로 웹사이트에 주입되며, 사용자가 온라인 거래 시 입력하는 카드 정보 등을 다른 곳으로 빼돌리는 역할을 한다. 메이지카트라는 이름으로 활동하는 공격자들이 가장 선호하는 공격 도구라고 알려져 있다. 이번 퍼스트 에이드 뷰티 웹사이트에서 발견된 스키머의 경우, 신용카드 번호와 주인의 이름, 만료일, CVV 번호를 훔친다.

흥미로운 건 이번 스키머는 두 부류의 사용자들에 한해서는 악성 행위를 하지 않는다는 것이다. “미국이 아닌 곳에서 웹사이트를 방문하는 사람들과 리눅스 운영체제를 사용하는 사람들의 경우 공격을 받지 않는 것으로 나타났습니다. 보안 전문가들을 회피하기 위한 것으로 보입니다. 이 공격을 실시한 단체는 규모가 그리 크지 않은 것으로 보이지만 고급 기술을 갖춘 것 같습니다. 메이지카트에 속한 다른 단체들이 이런 식의 접근법을 활용하는 걸 본 적이 없습니다. 어쩌면 새롭게 가입한 단체일지도 모르겠습니다.”

드 그루트는 이 툴을 발견한 직후 퍼스트에이드뷰티 측에 이를 알렸다. 하지만 임원진, 고객 지원팀, 소셜 미디어 팀의 그 누구도 답장을 보내거나 조치를 취하지 않았다. 드 그루트는 하는 수 없이 지난 주 금요일 이 사실을 트위터를 통해 공개했고, 그러자 퍼스트에이드뷰티의 모회사 측에서 조치를 취했다고 한다.

현재 퍼스트에이드뷰티 웹사이트는 오프라인으로 변환된 상태다. 사건을 조사 중에 있기 때문인 것으로 보인다. 퍼스트에이드뷰티의 모회사인 프록터 앤 갬블(Proctor & Gamble)은 공식 발표를 통해 “사건을 조사 중에 있으며, 아직까지 프록터 앤 갬블의 다른 자회사로 공격이 영향을 미쳤다는 증거를 찾지 못했다”고 주장했다. “현재는 멀웨어의 출처를 찾아내기 위해 애쓰고 있으며, 피해를 입은 고객들을 지원하기 위한 방안을 마련 중에 있습니다.”

메이지카트는 2015년부터 활동을 한 조직으로, 여러 사이버 범죄 단체로 구성되어 있다. 지난 8월에는 전 세계 80여 개의 전자상거래 웹사이트들이 침해당했다는 사실이 드러나기도 했으며, 9월에는 메이지카트에 소속된 일부 단체들이 라우터를 공략하기 위한 코드를 실험 중에 있는 것이 발각되기도 했다. 지난 주에는 FBI가 중소 기업과 정부 기관을 대상으로 한 스키밍 코드에 대한 보안 경고문을 발표했다.

“웹사이트 운영자들의 경우 현재까지 공개된 메이지카트의 공격을 막으려면, 서버에서 운영되는 멀웨어 및 취약점 탐지 소프트웨어를 사용해야 합니다. 그러면서 결제 정보가 입력되는 페이지에서 자바스크립트를 최소화 하는 방법도 마련해야 합니다. SRI(하위 자원 무결성)와 CSP(콘텐츠 보안 정책)를 도입해 웹사이트 콘텐츠에 대한 모니터링도 실시하는 것이 좋습니다.” 드 그루트의 설명이다.

3줄 요약
1. 메이지카트, 퍼스트 에이드 뷰티라는 웹사이트에 스키머 코드 심음.
2. 5개월 만에 발견됐으나, 회사 측은 즉각적인 조치 취하지 않음.
3. 이번 스키머 코드는 미국 사용자와 리눅스 사용자가 접속했을 때 활동하지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>