온라인 쇼핑몰 플랫폼 Magento, 카드정보 털리고 암호화폐 채굴까지

결제 페이지 내 자바스크립트 스니퍼 심어 카드정보 중간에서 탈취
암호화폐 채굴 툴 업로드, 가짜 플래시 플레이어 이용해 악성코드 다운로드 유도

[보안뉴스 김경애 기자] 전 세계적으로 점유율 상위권을 차지하고 있는 오픈소스 온라인 쇼핑몰 플랫폼 마젠토(Magento)를 타깃으로 카드정보를 빼내고 암호화폐 모네로를 채굴하는 공격이 발생해 이용자들의 각별한 주의가 필요하다. 해당 공격은 본지에서도 이미 소개한 바 있는데, 피해가 계속 이어지고 있는 것으로 알려졌다.

[이미지=https://www.flashpoint-intel.com/blog]

이번 이슈는 플래시포인트(Flashpoint)가 발견한 것으로, 디폴트 관리자 계정을 사용하는 홈페이지 대상으로 데이터를 탈취하고, 모네로를 채굴하는 크립토마이닝 공격을 펼치고 있다.

공격자는 디폴트 계정을 사용하는 관리자 패널을 찾기 위해 무작위로 대입하는 브루트포스(Brute-force) 공격을 수행해 관리자 패널에 침투를 성공한 뒤, 3가지 방법으로 이득을 취한 것으로 분석됐다.

첫 번째 방법은 결제 페이지 내 자바스크립트 스니퍼를 심어서 카드정보를 중간에서 탈취, 두 번째 방법은 지불과 관계없는 웹사이트를 침해했을 때는 암호화폐(모네로)를 채굴하는 툴을 업로드하며, 세 번째 방법으로는 가짜 어도비 플래시 플레이어(Adobe Flash Player) 다운로드 페이지로 리다이렉트해 악성 프로그램(AZORult)을 다운로드하도록 유도하고 있다.

AZORult는 데이터 탈취 악성코드이며, Rarog라는 모네로 채굴 악성코드를 추가로 다운로드한다. 또한, 공격자들은 악성 파일을 매일 업데이트해 시그니처 기반의 안티 멀웨어 툴을 우회한다. 주로 온라인 쇼핑몰이 가장 큰 피해를 보고 있고, 그 다음은 교육 및 의료 분야의 홈페이지인데, 피해 IP 주소가 미국과 유럽에 집중되어 있는 것으로 분석됐다.

피해 홈페이지가 1,000여개가 넘어 대응을 위해 법 집행기관과 현재 협력 중인 것으로 알려졌으며, Magento 외에 Powerfront, OpenCart 등의 쇼핑몰 플랫폼에 대해서도 주의가 전파되고 있다.

이번 이슈와 관련해 한국인터넷진흥원 침해대응단 탐지1팀은 크리덴셜(계정 정보)에 관심을 가지고 관리해야 하며, 최소한 디폴트나 흔히 사용하는 비밀번호는 사용하지 말 것을 당부했다. 또한, 이중 인증 시스템을 도입하는 것도 좋은 방법이며, 파일이 변조되지 않았는지 주기적인 검증이 필요하다고 덧붙였다.

[출처]
1. Flashpoint, “Compromised Magento Sites Delivering Malware”, 2018.4.2.
2. Bleeping Computer, "Over 1,000 Magento Stores Hacked to Steal Card Data, Run Cryptojacking Scripts“, 2018.4.4

[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)