4월 마지막 주부터 6월 중순까지 이어진 공격...지불 카드 정보 다량 유출돼
클레어스가 온라인 운영으로 전환하자마자 움직인 메이지카트...침투에 1달 걸린 듯

[보안뉴스 문가용 기자] 유명 보석 판매상인 클레어스(Claire┖s)의 웹사이트를 통해 카드 정보가 한 달 넘게 빠져나가고 있었다는 사실이 뒤늦게 밝혀졌다. 클레어스는 코로나 사태로 인해 3월 20일부터 전 세계 매장들의 문을 닫고 온라인 상태에서만 사업을 운영해왔다. 메이지카트가 바로 이 점을 노리고 파고들었고, 카드 스키머 코드를 웹사이트에 심은 것으로 나타났다.


보안 업체 산섹(Sansec)에 의하면 “메이지카트가 늘 하던 그대로 스키머를 심고 고객들의 결제 관련 정보를 모조리 뺏어갔다”고 한다. 이러한 메이지카트는 몇 년 전부터 세력을 확장하더니 이제는 인터넷에 이들의 공격 인프라가 넘쳐날 정도로 편만하게 퍼져 있다고 보안 업체 리스크아이큐(RiskIQ)는 작년 발표한 바 있다. 현재까지 C&C로 사용하는 도메인이 570개가 넘으며 이 도메인을 활발하게 로딩하는 호스트는 1만여 개가 넘는다고 한다.

산섹은 메이지카트의 스키머 코드를 클레어스의 공식 온라인 스토어는 물론 자매 사이트인 아이싱(Icing)에서 발견했다. 4월 후반부에 삽입된 것으로 분석됐다. 그리고 이번 주말까지 사용자들의 지불 데이터를 꾸준하게 빼갔다. 클레어스 측에서 코드를 완전히 삭제한 건 6월 13일의 일이었다.

코드가 있던 곳은 결제 페이지였다. ‘제출’ 버튼에 숨겨져 있었기 때문에, 사용자가 여러 정보를 기입해 버튼을 누르면 엉뚱한 곳으로 전송됐다. 데이터는 베이스64(base64) 알고리즘으로 암호화 된 후에 정보 수집을 위해 마련된 웹사이트로 보내졌다. 이 사이트는 claires-assets.com이다. 이 사이트가 호스팅된 서버는 미국에 있었고, 미국 사법부가 곧 조치를 취할 것으로 예상된다.

클레어스는 세일즈포스 커머스 클라우드(Salesforce Commerce Cloud)를 기반으로 한 온라인 쇼핑 사이트를 운영하고 있었다. 산섹 측은 아직까지 최초 침투가 어떤 식으로 이뤄졌는지 알아내지 못했다. 하지만 관리자 크리덴셜 탈취, 클레어스 직원을 겨냥한 스피어피싱 공격, 내부 네트워크망 침해 등 기존의 방법들에서 크게 달라지지 않았을 것으로 예상된다. “세일즈포스 플랫폼의 취약점이 익스플로잇 되었을 것 같지는 않다”는 게 현재까지의 분석 결과다.

흥미로운 건 수집된 정보를 모으는 사이트인 claires-assets.com이 개설된 것이 3월 21일이라는 것이다. 클레어스가 오프라인 매장 문을 닫은 바로 그 다음 날이다. 메이지카트가 정말 빠르게 움직였다는 걸 알 수 있다. 다만 실제 침해와 악성 코드 삽입 등의 행위는 4월 마지막 주에 가서야 일어났다. “약 4주 동안 침투 작업이 이뤄진 것으로 보입니다.”

산섹이 이를 알렸을 때 클레어스 측은 즉각 조치를 취했다. 그러면서 웹사이트를 통해 “클레어스는 해당 사실을 인지하고 즉각적인 수사를 시작했다”며 “현재는 문제가 되는 코드를 찾아 삭제한 상태”라고 밝혔다. “앞으로 같은 일이 일어나지 않도록 보안을 강화하겠다”는 약속도 덧붙였다.

하지만 정확한 피해 규모가 어느 정도인지, 어떤 고객들이 피해를 입었는지는 아직 다 공개되지 않은 상황이다. 클레어스 측은 이 부분을 알게 되는 대로 해당 고객들에게 알릴 것이라고 한다. 발표를 통한 공개는 없을 것으로 보인다. 산섹 측도 이 점에 대해서는 정확히 알 수 없다고 설명했다.

3줄 요약
1. 유명 보석 브랜드인 클레어스에서 메이지카트의 악성 코드 발견됨.
2. 1달 넘는 기간 동안 고객들의 지불 정보를 빼간 것으로 보임.
3. 피해 규모 밝혀지지 않고 있는데, 해당 고객들에게 개별 연락 갈 것으로 예상됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>