마젠토 생태계에 적색 신호! 메이지카트, 최대 규모 캠페인 펼쳐
  |  입력 : 2020-09-15 10:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
마젠토, 가장 인기 높은 온라인 상거래 플랫폼 중 하나...버전 1은 지원 종료
주말 동안 2000여개 사이트 침해한 메이지카트...공격 투자 과감히 넓히는 중


[보안뉴스 문가용 기자] 현재까지 기록된 것들 중 가장 거대한 메이지카트(Magecart) 캠페인이 주말 동안 진행됐다. 이 캠페인을 통해 약 2000개의 전자 상거래 사이트들이 침해를 당했다. 자동화 기술이 활용된 것으로 보이며, 제로데이 익스플로잇이 연루되었을 가능성이 높게 점쳐지고 있다. 이 때문에 수많은 사람들의 신용카드 정보 등이 유출됐다.

[이미지 = utoimage]


이러한 상황을 발견해 공개한 보안 업체 샌섹(Sansec)에 따르면 이 거대 캠페인의 표적은 마젠토(Magento)라는 온라인 상거래 솔루션 버전 1~2를 기반으로 운영되던 사이트들이라고 한다. 공격 수법은 전형적인 ‘메이지카트식’이었다. “취약점 익스플로잇이나 탈취 크리덴셜 활용을 통해 사이트를 해킹하고 카드 스키밍 코드를 결제 페이지에 심는 것을 말합니다. 그리고 이 코드를 통해 사용자들이 입력하는 각종 정보를 빼내는 것이죠.” 샌섹이 블로그를 통해 설명한 내용이다.

샌섹이 조사한 바에 따르면 고유한 스키머가 결제 페이지에 존재하는 마젠토 기반 사이트들은 총 1904개라고 한다. “금요일에는 10개의 온라인 스토어들이 침해됐어요. 그랬다가 갑자기 토요일에 1058개가 감염됐고, 일요일에 603개, 월요일에 233개가 추가됐습니다. 거의 대부분 마젠토 1을 기반으로 운영되고 있었습니다. 마젠토 1은 지난 6월 지원이 종료된 솔루션입니다. 하지만 이중에는 안전하다고 하는 마젠토 2 사이트도 있었습니다.”

게다가 이번에 당한 사이트들 거의 대부분이 그 동안 보안 사고를 겪지 않았던 곳이라고 한다. 즉 마젠토를 겨냥한 새로운 공격 방법이 해커들 사이에서 등장했을 가능성이 높다는 것으로 해석된다. “실제 지난 8월 한 다크웹 포럼에서 새로운 마젠토 익스플로잇이라고 광고되는 물건이 5천 달러에 판매되기도 했습니다. 판매자는 패치가 잘 된 사이트들도 공략할 수 있다고 홍보했었고요.”

해당 익스플로잇은 교육 영상과 함께 제공되었는데, 이에 따르면 마젠토 관리자 계정을 침해하지 않아도 공격이 가능하다고 샌섹은 설명한다. “왜냐하면 마젠토 1은 지원 기간이 끝나서 패치가 더 이상 나오지 않을 것이기 때문이죠. 이 점이 강조된 것을 보면 제로데이 취약점을 찾아낸 것이 아닐까 하는 생각이 듭니다.” 현재까지 알려진 바, 지원이 종료된 마젠토 1을 그대로 사하고 있는 온라인 스토어는 9만 5천여 개 정도다.

마젠토 1 온라인 스토어의 경우 스키머 코드는 prototype.js라는 파일에 주입된 것으로 밝혀졌다. 마젠토 2의 경우는 jquery.js가 공격 대상이었다. 이 두 가지 파일을 통해 주입된 악성 스크립트는 동일했고, 출처 역시 mcdnn.net이라는 도메인으로 동일했다. 수집된 데이터는 모스코바에 호스팅된 사이트인 image.pw/502.jsp로 전송됐다. mcdnn.net과 같은 네트워크에 있는 사이트로 밝혀졌다.

웹서버 로그를 분석하니 주말 동안 악성 파일을 심으려는 시도가 집중된 것으로 나타났다. “자동으로 익스플로잇 하고 악성 코드를 심으려는 시도가 있었습니다. 현재까지 발견된 메이지카트 캠페인 중 규모가 가장 큰 수준이었습니다. 작년 7월 한꺼번에 962개의 온라인 스토어들을 감염시킨 것이 최고 기록이었는데 이번 주말에 깨졌습니다. 이처럼 메이지카트가 이 공격에 투자를 한다는 건, 카드 스키밍 공격이 이윤이라는 측면에서 훌륭하다는 뜻입니다. 따라서 앞으로 더 발전된 공격들이 등장할 확률이 높습니다.”

그 분석대로 최근 전자 상거래 사이트에 대한 해커들의 공격이 빈도나 수위 측면에서 높아지고 있다. 코로나 사태로 인해 외출 대신 집에서 온라인 쇼핑을 하는 사람들이 많아지면서 산업 자체가 성장하고 있으며, 주요 플랫폼인 마젠토 1의 지원이 종료된 것이 공격자들에게 호재로 작용하고 있다. 메이지카트는 최근 텔레그램(Telegram)을 공격 인프라로 활용하기도 하는 등 온라인 상거래 생태계 공격에 더 많은 투자를 감행 중이기도 하다.

3줄 요약
1. 메이지카트, 지난 주말 동안 사상 최대 규모의 공격 캠페인 펼침.
2. 전자 상거래 사이트들 중 마젠토 1을 기반으로 하는 경우 특히 위험함.
3. 이런 공격의 수익성 높기 때문에 공격자들의 투자 계속 이어질 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)