Home > 전체기사
코로나 때문에 활기 띈 메이지카트, 요즘엔 마젠토 노린다
  |  입력 : 2020-05-20 11:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전자상거래 웹사이트 집중적으로 노리는 공격 단체...코로나로 황금기 맞아
최근 마젠토의 CVE-2017-7391 취약점 노리기도...FBI가 나서서 경고할 정도


[보안뉴스 문가용 기자] 메이지카트(Magecart)라는 이름으로 활동하는 사이버 범죄 단체가 마젠토(Magento) 플러그인에서 발견된 오래된 취약점을 최근 들어 적극적으로 익스플로잇 하고 있다는 소식이다. 이 취약점을 통해 자신들의 주무기인 카드 데이터 스키머를 심고 있다고 한다.

[이미지 = iclickart]


이러한 경고는 미국 FBI로부터 나왔다. 문제의 취약점은 CVE-2017-7391로, 이미 3년 전에 패치까지 나온 마젠토의 취약점이라고 한다. 보다 정확히는, 마젠토 내의 임포터인 매그미(Magmi) 0.7.22 버전에서 발견된 XSS 취약점이다.

FBI에 의하면 공격자들은 마젠토를 기반으로 한 미국 전자상거래 사이트에 침투해 악성 자바스크립트를 심는 데 성공했는데, 이 때 이들이 익스플로잇 한 것이 바로 CVE-2017-7391이라고 한다. 악성 자바스크립트는 결제 페이지에서 발견됐으며, 이를 통해 결제 정보, 개인정보, 관리자 크리덴셜, 웹셸 등을 다운로드 받은 것으로 알려져 있다.

메이지카트는 자신들이 스키머를 통해 훔친 정보를 암호화 해서 jpg 덤프 파일 내에 저장했다. 물론 이 덤프 파일 역시 메이지카트가 만든 것이다. 또한 훔친 웹셸과 HTTP GET 요청을 활용해 자신들이 만든 덤프 파일을 C&C 서버로 가져올 수 있었다. FBI는 이러한 공격 수법에 대한 설명과 함께 침해지표도 함께 공개해 마젠토 사이트 운영자들이 참고할 수 있도록 했다.

메이지카트는 거대 사이버 범죄 집단으로, 현재까지는 총 7개의 범죄 단체가 여기에 소속되어 있는 것으로 알려져 있다. 주로 카드 스키머를 전자상거래 결제 페이지에 심어 지불 카드 정보를 빼내는 걸 목표로 움직인다. 현재까지 전 세계 수만 개의 사이트가 메이지카트에 당했다고 한다. 일각에서는 메이지카트에 당한 웹사이트의 누적 수가 2백만에 달한다고 보기도 한다.

메이지카트가 사용하는 스키머는 대단히 작은 용량의 자바스크립트 코드다. 주로 플러그인 등 서드파티 요소들에서 발견되는 취약점을 통해 심겨진다. 사이트 내에 안착하고 나면, 지불 카드 정보나 개인 식별 정보 등 결제 페이지에서 유통되는 정보들을 캡쳐 및 저장하고, 이를 공격자에게 전송한다.

보안 업체 룩아웃(Lookout)의 수석 관리자인 행크 슐레스(Hank Schless)는 “메이지카트가 사용하는 카드 스키머는 포착하기가 매우 어렵다”고 말한다. “정상적으로 보이지만 사실은 악성 기능을 가지고 있는 모바일 앱이라든지, 은행에서 보낸 것과 똑같이 생긴 URL 링크와 같습니다. 그냥 지나치기 매우 쉬운 형태로 배포됩니다. 공격자들이 그만큼 교묘한 것이죠.”

코로나 때문에 많은 사람들이 실내에서 보내는 시간이 늘어난 지금이 메이지카트가 활동할 적기이기도 하다. 실제 온라인 쇼핑 인구가 훨씬 늘어났다고 하니, FBI까지 나서서 메이지카트에 대한 경고를 발표한 것이다. 슐레스는 “메이지카트만이 아니라 모방 범죄도 늘어날 것”이라고 전망하고 있다.

또 다른 보안 업체 디지털 셰도우즈(Digital Shadows)의 위협 분석가인 알렉스 구이라쿠(Alex Guirakhoo)는 “코로나 때문에 사이버 공격자들이 황금기를 맞게 되었다”며 “컴퓨터나 모바일에 대한 대중들의 의존도가 높아졌기 때문”이라고 말한다. “실제 다크웹에 가보면 해커들이 지금 이 상황을 자신들에게 유리하게 활용할 방법이 무엇인지, 활발히 논의하고 있는 걸 볼 수 있습니다.”

구이라쿠는 “코드 삽입 공격을 방어하기 위해서는 먼저 관리자가 승인하지 않았는데 코드가 변경되는 걸 한다”고 말한다. “코드가 잘 유지되는지 항상 모니터링 하는 게 중요합니다. 특히 결제 페이지 등 온갖 정보가 입력되는 페이지를 유심히 살펴야 하지요. 또한 공개된 취약점들 정보도 미리 파악한 후, 그 취약점이 자신의 환경에도 해당되는지 점검하는 것도 중요합니다.”

3줄 요약
1. 코로나 때문에 인터넷 트래픽 늘어나고 있는 때, FBI가 메이지카트 관련 경고 발표.
2. 최근 메이지카트는 마젠토에서 발견된 오래된 취약점인 CVE-2017-7391 익스플로잇 중.
3. 웹사이트 운영자는, 허가 없이 코드가 변경되지 않도록 항상 주시해야 함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)