2018년부터 본격적으로 활동 시작...상거래 사이트에 대한 가장 큰 위협

[이미지 = iclickart]

보안 전문가들은 이 공격의 배후에 메이지카트(Magecart)가 있을 것으로 추측하고 있다. 메이지카트는 여러 사이버 범죄 단체들이 결성한 거대 범죄 조직으로, 온라인 상거래 사이트에 탑재된 쇼핑 카트에 스키밍 코드를 심는 걸 주 수법으로 삼고 있다. 초기에 마젠토(Magento)라는 플랫폼을 주로 노렸기에 메이지카트라는 이름이 붙었다.

이들은 왜 굳이 뭉쳐서 범죄를 저지르는 것일까? 정보 수집과 공유를 보다 원활히 함으로써 공격을 더 효과적으로 하기 위해서라고 전문가들은 보고 있다. 보안 업체 리스크아이큐(RiskIQ)는 12월 19일 위 사건을 분석한 후 “(메이지카트 내 범죄 단체들은)서로가 가지고 있는 정보 수집 도구들을 혼합해 활용하고, 메이시즈와 같은 사이트가 어떻게 구성되어 있으며 어떤 식으로 작동하는지 서로가 아는 걸 나눈다”고 발표했다.

리스크아이큐의 수석 분석가인 요나단 클린스마(Yonathan Klijnsma)는 “공격을 수행하는 데 필요한 실력과 스키머 코드의 면면을 보자면 메이지카트가 상거래 사이트를 노리는 사이버 공격자들 중 꽤나 독특한 위치에 있는 것을 알 수 있다”고 말한다. “이렇게까지 깔끔하고 완벽하게 만들어진 스키머를 본적도 없고 들은 적도 없습니다. 공격 표적이 된 웹사이트에서 이 스키머 코드가 늦게 발견되는 게 이상하지 않을 정도입니다.”

지난 2년여 동안 전 세계 온라인 상거래 사이트들은 유례없이 독특한 메이지카트의 위협을 받아왔다. 2018년에만 해도 메이지카트는 티켓마스터(Ticketmaster), 뉴에그(Newegg), 영국항공(BA)를 침해하는 데 성공하며 헤드라인을 장식한 바 있다. 당시 이들을 추적하던 리스크아이큐는 “메이지카트가 일곱 개 단체로 구성된 그룹”이라고 발표했었다. 2019년 들어 메이지카트는 메이시즈, 식스준(SixthJune), 미국암협회(American Cancer Society) 등을 공격했다. 그리고 그 휘하에 들어간 단체가 16개로 늘어났다는 보고도 있었다.

그렇다고 해서 메이지카트가 끈끈하게 결성된 거대 단체인 것은 아니다. 아직까지는 국가 정부 기관과도 관련이 없는 것으로 보인다. 게다가 실력이 좋은 단체들이나 스키밍 전문 단체만 메이지카트라는 깃발을 내걸고 있는 것도 아니라고 한다. 4번째 그룹이라고 알려진 단체는 난독화 기술을 고급지게 사용해 피해자 웹사이트에 감쪽같이 녹아들고, 5번째 그룹은 공급망을 노리는 걸 전문으로 한다.

어떤 식으로 구성되어 있든, 이들이 각자의 실력을 발휘해 어마어마한 양의 정보를 갈취해가는 바람에 수많은 회사들이 천문학적이라고 표현될 만한 금액의 벌금형을 받기도 했다. 때마친 GDPR이 발효된 덕분이다. 그 중 하나가 메리어트(Marriott)라는 대형 호텔 체인이다. 메리어트는 약 1억 2400만 달러의 벌금을 내야 할 것으로 보인다. 영국항공은 항소 중이긴 하지만 2억 2900만 달러의 벌금형을 받았다.

“이런 유명 사이트와 브랜드들이 제대로 정보 보호 조치를 취하지 않고 있었기 때문에 요 몇 년 메이지카트가 부유해지고 있는 겁니다.” 보안 업체 플래시포인트(Flashpoint)의 수석 분석가인 매튜 글룩(Matthew Gluck)의 설명이다. “메이지카트가 고마운 건 아니지만, 이들 덕분에 GDPR 시행으로도 잡아내지 못했던 취약한 회사들을 찾아낼 수 있었습니다.”

그리고 2020년, 상황은 더 안 좋아질 전망이다.

“방어자 입장에서 진짜 문제는 메이지카트가 엄청나게 실력이 좋다거나 주도면밀하다는 게 아닙니다. 현대의 웹사이트들이 빠른 속도로 복잡해지고 있다는 겁니다. 여태까지는 웹사이트들이 1차원적인 방식으로 구성되어 있었어요. 한 개발사가 기능과 코드를 일괄되게 웹사이트로 부여하는 식이었죠. 하지만 지금은 아닙니다. 한 개발사가 만든다 해도, 여기저기서 각종 요소들을 끌어와 짜깁기를 합니다. 그러면서 공급망과 구조 모두 복잡하게 얽히고설키게 되었습니다.” 포게스터 리서치(Forrester Research)의 위험 분석가인 샌디 카리엘리(Sandy Carielli)의 설명이다.

사이트가 복잡해진다는 건 꽤나 중요한 문제다. 보안 업체 소나타입(Sonatype)에 의하면 “자바스크립트로 만들어진 요소들 중 51%에 취약점이 존재한다”고 한다. 또한 “오픈소스 요소들에서 발견된 취약점의 양이 지난 5년 동안 71%나 증가했다”고도 한다. 따라서 메이지카트가 활동할 영역이 무궁무진할 정도로 넓다는 것이다. “10월의 어느 한 시점에는 메이지카트 스키머의 흔적이 발견된 웹사이트가 200만 개에 달했습니다.”

메이지카트가 가장 많이 공격하는 플랫폼인 마젠토(Magento)가 전 세계 모든 웹사이트의 1%에서 사용되고 있다는 것도 큰 문제다. 플래시포인트에 의하면 이 수많은 마젠토 탑재 사이트 중 3% 정도는 메이지카트의 스키머 코드에 감염된 상태라고 한다. “모든 웹사이트들 중 7%에서 전자상거래 기능이 발견됩니다. 메이지카트가 노려봄직한 사이트가 이렇게나 많다는 뜻입니다.”

글룩은 “먹잇감은 넘쳐나지, 자신들은 잘 잡히지도 않지, 인프라들은 대부분 엉성하게 구성되어 있지...공격자들에게 이상적인 환경”이라고 설명한다. “리스크는 낮은데 얻는 것은 많은 상황이니, 더 많은 공격자들이 메이지카트로 편입될 수 있습니다. 그렇지 않더라도 수많은 모방범들이 생겨나겠죠. 해커들 사이에는 모방범이 많기도 하고요.”

메이지카트 공격의 핵심은 신용카드 정보를 결제 페이지에서부터 빼앗는 것이다. 클린스마는 “여태까지 우리가 흔히 발견해오던 스키머는 기성품이었고, 따라서 대부분의 지불 페이지에서작동을 하기는 했지만, 안 되는 경우도 약 10% 정도 있었다”고 말한다. “하지만 메이지카트의 등장부터 스키머 코드가 점점 표적화 되어가고 있습니다. 즉 맞춤형으로 제작된다는 것이죠. 그러면서 기능 자체도 점점 발전해가고 있고요.”

게다가 이제는 결제 페이지만 노리는 것도 아니다. 클린스마는 “전자상거래 사이트에서 중요한 정보를 담고 있는 게 결제 페이지만은 아니며, 범죄자들도 이 사실을 잘 알고 있다”고 말한다. “메이지카트는 공격 대상에 대한 정보 수집과 조사를 잘 하는 편입니다. 따라서 어느 페이지에 어떤 정보가 저장되는지 이해하고 있죠. 그에 따라 스키머 코드를 만들고 활용합니다.”

그렇다면 앞으로 더 기승을 부릴 메이지카트를 어떤 식으로 막아야 할까? 카리엘리는 “운영 중인 웹사이트를 구성하는 요소들이 신뢰할만한지 점검하는 것부터 시작해야 한다”고 설명한다. “또한 웹사이트 및 애플리케이션 개발과 배포, 구축의 모든 과정과 주기에 있어서 악성 코드가 없다는 걸 하나하나 확인해야 합니다.” 또한 메이지카트와 유사한 공격을 막기 위한 방어 솔루션들도 시장에 하나 둘 나오고 있으니 검토하는 것도 도움이 될 것이라고 그는 강조했다.

글룩은 “웹사이트 구축에 들어갔던 모든 요소들의 업데이트도 주도면밀하게 모니터링하고 관리해야 한다”고 강조했다. “메이지카트 내에 속한 그룹들은 설정이 잘못됐거나 패치가 되지 않은 사이트들을 자주 노립니다. 비밀번호 관련 정책이 약한 곳들도 표적이 됩니다. 다중 인증이 없는 곳도 우선순위에 들어가는 듯 하고요. 그러므로 방어자 입장에서는 이 모든 것들을 반대로 하면 됩니다. 다중인증과 꼼꼼한 패치 관리가 바로 그것이죠.”

카리엘리는 “최근 메이지카트가 이 분야에서는 악명을 높이고는 있지만, 메이지카트만이 온라인 상거래 사이트를 노리는 건 아니”라고 강조한다. “수많은 해커들이 같은 목적을 가지고 움직입니다. 현 시점에서 눈에 띄는 게 메이지카트일 뿐인 거죠. 게다가 수많은 메이지카트 모방범들이 나타날 것이 뻔하기 때문에, 메이지카트 때문만이 아니더라도 반드시 방어 체제를 갖춰야 합니다.”

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=85446&page=2&mkind=1&kind=1]​