[재미있는 이야기] Ep.01 현존하는 가장 위험한 해커 집단 "메이지 카트"

 

최근 핫한 해커집단인 "메이지 카트"에 대해 이야기 해볼까 합니다.

메이지카트(Magecart)는 온라인 쇼핑 장바구니 시스템을 해킹해 고객 결제 카드 정보를 훔치는 악성 해커 집단 입니다.

이런 사이버 위협을 공급망 공격(Supply Chain Attack)이라고 하는데, VAR이나 시스템 업체의 서드파티 소프트웨어 구

성 요소를 해킹하거나 IT팀 모르게 산업 프로세스를 감염시키곤 합니다.

 

1. 공격사례

티켓마스터(Ticketmaster, 영국 사업 부문, 2018년 1월)

브리티시 에어웨이(British Airways, 2018년 8월)

전자 제품 소매업체인 뉴에그(NewEgg, 2018년 9월)

쇼퍼 어프루브드(Shopper Approved, 2018년 9월)

스포츠 관련 수집품 웹사이트인 톱스(Topps, 2018년 11월)

애틀랜타호크스(Atlanta Hawks, 팬 기념품 판매 온라인 상점, 2019년 4월)

수천 개에 달하는 대학 캠퍼스 구내 서점들(2019년 4월), 세계적인 잡지사로 유명한 포보스(Forbes, 2019년 5월) 등등...

 

 

2. 공격방법

메이지카트의  ‘작업 방식’

일반적으로 메이지카트가 해킹하는 방식은 자바스크립트 코드를 바꿔치기하는 것 입니다.

이를 위해 마젠토 소스를 수정하거나 주입 공격을 통해 악성코드가 호스팅된 웹사이트로 장바구니를 이동시킵니다.

이를 탐지하는 유일한 방법은 전자상거래의 전체 소스 스택을 줄별로 바뀐 부분이 있는지 확인하는 방법 뿐 입니다.

또한, 해커는 악성코드를 호스팅하기 위해 아주 영리한 방법도 사용합니다.

자신의 코드를 미사용 깃허브 프로젝트에 업로드하는 것입니다.

이들 사이버 범죄자는 프로젝트 소유권을 탈취한 후 악성코드가 포함된 새로운 코드 버전을 배포합니다. 수많은 웹사이트에 악성코드를 뿌려 활발히 사용되도록 하는 데 목적이 있습니다.

보안 툴이 깃허브의 코드를 스캔하지 않을 수도 있으므로, 해커는 그 안에 코드를 숨기고 이런 침해된 프로젝트를 이용해 무사히 빠져나갈 수 있습니다.

 

 

3. 공급망 공격의 피해를 줄이거나 막는 방법

이런 해킹을 막는 가장 좋은 방법은 다음과 같습니다. 이는 네트워크 보안 강화에 도움이 될 것이다. 또 메이지카트와 다른 공급망 공격 방어에도 유용할 것입니다.

- 모든 서드파티 전자상거래, 온라인 광고 업체를 파악하라. 그 후, 자체적으로 코드를 평가하거나 감사하도록 요구한다.

- 서브 리소스 무결성을 적용해 승인 없이 수정된 스크립트가 로딩되지 않도록 만든다. 이를 위해서는 데브옵스팀을 통일된 방법으로 교육하고, 철저히 코드를 검사해 이런 스크립트를 찾아낼 수 있는 시스템을 만드는 것이 중요하다.

- 공급자 서버에 호스팅하기보다 가능한 자신의 서버에 서드파티 스크립트를 많이 호스팅한다. 물론 말처럼 쉽지는 않다. 일반적으로 전자상거래 웹페이지에서 실행되는 서드파티 소스가 수십 개에 달하기 때문이다.

- 엔드포인트 보호 공급업체의 솔루션을 자세히 평가해 메이지카트와 다른 서드파티 침해 공격을 저지할 수 있는지 확인한다.

- 사이버 보험이 이런 종류의 해킹 사고에 대한 보험을 제공하는지 확인한다.

- 계약업체와 공급업체를 소속 풀타임 직원처럼 여기면서, 보안 정책을 검토해 수정한다. 이것이 공급 사슬 공격을 유발하는 이유 중 하나이기 때문이다. 해커는 평균 이하의 보안이 적용된 직원을 노린다는 점을 명심하자.

- 워드프레스를 사용하고 있다면 v5.2 버전으로 업데이트한다. 여러 플러그인 라이브러리에서 사용되는 공급망 공격을 검사해 방어하는 기능을 지원한다.