온라인 쇼핑몰 플랫폼 Magento, 카드정보 털리고 암호화폐 채굴까지

결제 페이지 내 자바스크립트 스니퍼 심어 카드정보 중간에서 탈취
암호화폐 채굴 툴 업로드, 가짜 플래시 플레이어 이용해 악성코드 다운로드 유도

[보안뉴스 김경애 기자] 전 세계적으로 점유율 상위권을 차지하고 있는 오픈소스 온라인 쇼핑몰 플랫폼 마젠토(Magento)를 타깃으로 카드정보를 빼내고 암호화폐 모네로를 채굴하는 공격이 발생해 이용자들의 각별한 주의가 필요하다. 해당 공격은 본지에서도 이미 소개한 바 있는데, 피해가 계속 이어지고 있는 것으로 알려졌다.

[이미지=https://www.flashpoint-intel.com/blog]

이번 이슈는 플래시포인트(Flashpoint)가 발견한 것으로, 디폴트 관리자 계정을 사용하는 홈페이지 대상으로 데이터를 탈취하고, 모네로를 채굴하는 크립토마이닝 공격을 펼치고 있다.

공격자는 디폴트 계정을 사용하는 관리자 패널을 찾기 위해 무작위로 대입하는 브루트포스(Brute-force) 공격을 수행해 관리자 패널에 침투를 성공한 뒤, 3가지 방법으로 이득을 취한 것으로 분석됐다.

첫 번째 방법은 결제 페이지 내 자바스크립트 스니퍼를 심어서 카드정보를 중간에서 탈취, 두 번째 방법은 지불과 관계없는 웹사이트를 침해했을 때는 암호화폐(모네로)를 채굴하는 툴을 업로드하며, 세 번째 방법으로는 가짜 어도비 플래시 플레이어(Adobe Flash Player) 다운로드 페이지로 리다이렉트해 악성 프로그램(AZORult)을 다운로드하도록 유도하고 있다.

AZORult는 데이터 탈취 악성코드이며, Rarog라는 모네로 채굴 악성코드를 추가로 다운로드한다. 또한, 공격자들은 악성 파일을 매일 업데이트해 시그니처 기반의 안티 멀웨어 툴을 우회한다. 주로 온라인 쇼핑몰이 가장 큰 피해를 보고 있고, 그 다음은 교육 및 의료 분야의 홈페이지인데, 피해 IP 주소가 미국과 유럽에 집중되어 있는 것으로 분석됐다.

피해 홈페이지가 1,000여개가 넘어 대응을 위해 법 집행기관과 현재 협력 중인 것으로 알려졌으며, Magento 외에 Powerfront, OpenCart 등의 쇼핑몰 플랫폼에 대해서도 주의가 전파되고 있다.

이번 이슈와 관련해 한국인터넷진흥원 침해대응단 탐지1팀은 크리덴셜(계정 정보)에 관심을 가지고 관리해야 하며, 최소한 디폴트나 흔히 사용하는 비밀번호는 사용하지 말 것을 당부했다. 또한, 이중 인증 시스템을 도입하는 것도 좋은 방법이며, 파일이 변조되지 않았는지 주기적인 검증이 필요하다고 덧붙였다.

[출처]
1. Flashpoint, “Compromised Magento Sites Delivering Malware”, 2018.4.2.
2. Bleeping Computer, "Over 1,000 Magento Stores Hacked to Steal Card Data, Run Cryptojacking Scripts“, 2018.4.4

[김경애 기자(boan3@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다