2020 하계올림픽과 UEFA 축구 입장권 판매하는 사이트에 스키머 코드 심겨
스키머 코드 추적해보니 중국의 DNS 업체 나와...렛츠인크립트 무료 인증서 활용 중

[보안뉴스 문가용 기자] 메이지카트(Magecart)라는 사이버 공격 단체에 소속된 12번째 그룹이 올림픽 경기장 입장표와 응급 장비를 판매하는 사이트들에 카드 데이터 스키머를 심고 있는 것으로 나타났다. 이 때문에 적잖은 피해가 발생한 것으로 예상된다.


지난 수주 동안 메이지카트는 두 개의 티켓 판매 사이트들을 공격해왔다. 하나는 올림픽 티켓(Olympic Tickets)라는, 2020년 하계올림픽 티켓 판매 대행 사이트이고, 다른 하나는 유로 2020 티켓(Euro 2020 Tickets)이라는, 2020 UEFA 경기 입장권 판매 사이트다.

조사를 진행하면서, 이 두 사이트에서 발견된 스키밍 코드가 또 다른 사이트에서 발견되기도 했다. 바로 BePrepared.com이란 곳으로, 응급 처치 및 비상 장비를 파는 사이트다. 비상식량을 전문적으로 파는 기업인 오가손 팜즈(Augason Farms) 역시 같은 공격에 피해를 입은 것으로 나타났다.

보안 업체 리스크아이큐(RiskIQ)의 위협 분석가인 조단 허만(Jordan Herman)은 “이 네 가지 사이트들은 전부 OpenDoorCDN.com이라는 도메인을 활용하는 스키머에 감염됐다”고 밝혔다. “그런데 알렉사 선정 탑 20만 사이트에도 선정되기도 한 다른 웹사이트들에서도 비슷한 스키머 코드가 발견됐습니다. 이 경우 storefrontcdn.com이라는 도메인이 활용되기도 했습니다.”

리스크아이큐가 올림픽과 UEFA 티켓 사이트에 문제가 있다는 걸 알아낸 것은 1월 17일의 일이었다. 어느 정도 기간 동안 스키밍 코드가 사이트에서 활동했었는지는 정확히 알 수 없지만, “최대 50일 정도”로 보고 있다. 스키머 코드가 처음 색인화 된 것인 12월 3일이었기 때문이다. 현재 스키머 코드는 삭제된 상태다. 이 두 사이트의 스키머 코드는 OpenDoorCDN.com에 호스팅 되어 있었다.

한편 BePrepared.com과 오가손 팜즈의 웹사이트들에서도 스키머가 발견됐는데, 이 경우 감염이 발생한 일자가 1월 16일~19일 사이인 것으로 보인다. storefrontcdn.com에 호스팅 된 스키머가 사용됐으며, 현재는 사이트에서 삭제된 상태다. 아직까지 피해 규모가 정확히 밝혀지지는 않고 있다.

소스 코드 분석과 난독화 기술 분석을 통해 리스크아이큐는 메이지카트 내 12번째 그룹의 소행이라는 결론을 내렸다. 메이지카트는 지난 몇 해 동안 온라인 상거래 웹사이트에 스키머 코드를 심어 지불 카드 정보를 훔쳐내 오던 공격 단체로, 산하에 여러 공격 단체를 거느리고 있지만, 이 단체들이 강력한 유대관계를 맺으며 똘똘 뭉친 건 아니다.

12번째 그룹의 경우 이전에 프랑스의 광고 회사인 아드베린느(Adverline)를 공격한 전적을 가지고 있다. 이번 올림픽 티켓 판매 사이트 등에 대한 공격은 아드베린느를 겨냥했던 공격과 가장 많이 닮아 있다고 한다. “이들은 이전 공격에서 베이스64(Base64)로 인코딩 된 확인 코드를 사용해 웹사이트의 URL을 확인했습니다. 이들이 찾던 건 checkout(결제)과 같은 단어였습니다. 꽤나 기초적인 기술력을 가진 공격이라고 볼 수 있죠.”

하지만 최근 캠페인에서는 이 기법이 사라졌다. “EventsListenerPool이라고 불리는 변수를 통해 스크립트롤 로딩하는 수법으로 대체되었는데, 아직 리스크아이큐는 이 기법의 장점이나 작동 원리를 아직 정확히 파악하지 못하고 있다. 다만 탐지를 회피하는 데 좀 더 효과적이지 않을까, 하는 추측만 하고 있을 뿐이다.

“또한 최신 캠페인에서는 난독화를 위한 코드도 사라졌습니다. URL 확인 기능도 없어졌고요. 이제는 난독화가 되지 않았지만, 간단하고 짧은 코드를 통해 스키머 스크립트를 로딩하는 수법을 활용하기 시작했습니다. 이것의 특별한 장점이나 특징은 현재 조사 중에 있습니다.”

메이지카트는 원래 스키머 코드 호스팅을 위해 다양한 도메인을 사용한다. 블랙리스트 처리되는 것에 대한 대비책이다. “이번에도 이들은 도메인을 바꿨어요. 위에서 언급한 도메인들을 폐쇄시키자 곧바로 대응을 한 것이죠. 공격자들이 도메인을 바꾸는 건 늘 있는 일이지만, 조사가 진행되는 것에 맞춰 실시간으로 이뤄지는 건 처음 봤습니다.”

실시간으로 바뀌는 이러한 도메인들에는 한 가지 특징이 있었다. 전부 같은 DNS 제공업체와 묶여 있다는 것이다. 이 업체는 DNS팟(DNSPod)으로, 중국에 있다. 이 업체는 렛츠인크립트(Let┖s Encrypt)에서 무료 인증서를 발급받아 활용하고 있었다.

리스크아이큐는 “메이지카트는 쉬이 사라지지 않을 위협”이며 “늘 새로운 것을 시도하는 단체”라고 정의하며, “공격을 성공시키기 위해 이들은 온갖 방법을 동원한다”고 강조했다. “메이지카트는 늘 경계해야 합니다. 조용히, 그러나 꾸준히 움직이기 때문에, 늘 잊을만 하면 나타나는 걸 반복하죠. 잊지 않는 게 최선책입니다.”

3줄 요약
1. 메이지카트의 12번째 그룹, 올림픽과 축구 경기 티켓 판매 사이트 공격.
2. 스키머 코드 추적해보니 응급 장비 및 비상 식량 판매 사이트도 공격했음.
3. 도메인 추적해보니 렛츠인트립트 무료 인증서 활용 중인 중국의 DNS 제공업체가 나타남.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>