웹사이트가 Magecart에 감염되었을 가능성을 보여주는 징후로는 느린 로딩 시간이나 손상된 링크 같은 비정상적인 웹사이트 행동, 그리고 사기 구매로 인한 신용 카드 청구에 대한 고객 불만 등을 들 수 있습니다.
온라인 신용 카드 사기로부터 비즈니스 보호
디지털 시대에 온라인 쇼핑은 많은 사람들에게 일상이 되었습니다. 그러나 온라인 쇼핑의 편리함은 사이버 범죄가 발생할 리스크를 함께 수반합니다. 그러한 위협 중 하나가 바로 Magecart이며, 이는 온라인 비즈니스를 표적으로 삼아 고객의 민감한 신용 카드 정보를 훔치는 공격의 한 종류입니다. 이 문서에서는 Magecart가 무엇인지, 어떤 방식으로 작동하는지, 그리고 무엇보다도 이 위험한 위협으로부터 비즈니스를 보호하려면 어떻게 해야 하는지 살펴보겠습니다.
Magecart란 무엇일까요?
이커머스 플랫폼인 Magento에서 착안한 Magecart는 결제 카드 데이터를 포함해 민감한 정보를 훔치는 것을 목표로 온라인 비즈니스를 표적으로 삼는 사이버 공격의 한 종류입니다. 이러한 공격은 일종의 웹 스키밍이며, 2015년에 여러 유명 글로벌 브랜드를 노리고 만들어진 Magecart 해커 단체에서 파생된 것입니다. 공격자는 이커머스 및 기타 전자서비스 플랫폼의 써드파티 취약점을 악용해 브라우저 내의 온라인 리테일 기업의 결제 페이지에 악성 코드를 주입하는 방식으로 정보를 훔칠 수 있습니다. 그런 다음, 이 악성 코드는 결제 프로세스 중에 사이트 방문자가 입력한 결제 카드 정보를 캡처해 공격자가 제어하는 도메인으로 보내 수집합니다.
Magecart 공격은 탐지하기 어렵습니다. 그 이유는 이 공격이 브라우저 내에서 일어나고, 악성 코드가 리테일 기업의 웹사이트상에서 정상적인 코드 안에 숨는 경우가 많기 때문입니다. 이러한 공격은 클라이언트 측에서 실행되며 WAF(웹 애플리케이션 방화벽)와 같은 평범한 웹 보안 방법으로는 탐지할 수 없습니다. 그 결과 Magecart 공격은 오랫동안 발각되지 않은 채로 남아 있을 수 있으며, 고객은 자신도 모르는 사이에 감염된 웹사이트에 신용 카드 정보를 입력해 민감한 정보를 리스크에 빠트릴 수 있습니다.
Magecart는 어떤 방식으로 작동할까요?
표적화된 대규모 Magecart 공격은 여러 가지 방법으로 실행되지만, 대개 다음과 같은 세 가지 주요 단계를 거칩니다.
침투 - 공격자는 웹사이트의 스크립트 취약점을 악용해 악성 코드를 주입하거나, 공급망 공격을 통해 써드파티 벤더사를 표적으로 삼는 등 다양한 방법으로 리테일 기업의 웹사이트에 접속할 수 있습니다.
구축 - 공격자는 민감한 정보를 훔치고 탐지를 피하기 위해 구축 방법을 지속적으로 발전시키고 있습니다. 이러한 기법의 예는 다음과 같습니다.
- 브랜드 사이트의 민감한 결제 페이지에 악성 코드를 직접 주입해 정보를 디지털 방식으로 훔칩니다.
- 코드 주입 또는 수정을 통해 브랜드의 실제 사이트에서 직접 가짜 결제 양식을 만듭니다.
- 사용자를 리디렉션해 유사한 URL을 사용하는 사기 사이트에서 트랜잭션을 완료하도록 유도합니다.
- Google Tag Manager 같은 유명한 써드파티 벤더사 코드로 위장합니다.
데이터 탈취 - 공격자는 고객이 입력한 신용 카드 정보를 캡처해 자신이 소유한 서버로 전송합니다. 이 정보를 사용해 사기 구매를 진행하거나 다크 웹에서 해당 정보를 판매할 수 있습니다.
Magecart로부터 비즈니스를 보호하기 위한 방법
Magecart 공격으로부터 비즈니스를 보호하려면 멀티레이어 접근 방식이 필요합니다. 웹사이트를 보호하고 고객 신뢰를 지키기 위해 취할 수 있는 몇 가지 조치를 아래에서 소개하겠습니다.
써드파티 리스크 파악: 웹사이트에 존재하는 모든 써드파티 리소스의 인벤토리를 문서화된 리스크 요인과 함께 유지합니다. 벤더사에서 각 코드를 정기적으로 검사해 취약점을 발견했는지 확인합니다.
소프트웨어를 최신 상태로 유지: 콘텐츠 관리 시스템 및 결제 처리 소프트웨어를 포함해, 웹사이트에 사용된 모든 소프트웨어가 최신 보안 패치를 적용한 최신 상태인지 확인합니다.
클라이언트 측 가시성: 많은 기업에서 콘텐츠 보안 정책(CSP)을 통해 웹사이트에서 실행할 신뢰할 수 있는 도메인 목록을 만듭니다. CSP는 미승인 스크립트를 차단하는 데 효과가 있지만, 지속적인 유지 관리가 필요하며 신뢰할 수 있는 소스 자체에서 발생하는 공격을 방어하지는 못합니다. 브라우저 내에서 실행되는 소스의 스크립트 행동을 모니터링하고 가시성을 제공하는 솔루션을 구축하는 건 공격을 탐지하고 방어하는 데 있어 매우 중요합니다.
결론
Magecart 공격은 온라인 비즈니스와 고객에게 심각한 위협을 가합니다. 다행히 Akamai Client-side Protection & Compliance는 웹 스키밍, 폼 재킹, Magecart 공격차단하기 위해 특별히 제작되었습니다. 웹 페이지의 스크립트 실행 행동에 대한 가시성을 제공하고 페이지에서 실행 중인 여러 스크립트의 동작 및 다른 스크립트와 관계를 비롯해 해당 스크립트에 대한 정보를 수집합니다.
자주 묻는 질문(FAQ)
Magecart 공격은 악성 코드를 결제 페이지에 주입해 이커머스 사이트를 표적으로 삼는 사이버 공격의 한 종류로, 공격자가 HTML 양식에 입력된 사용자의 신용 카드 정보를 '훔칠' 수 있도록 합니다. 그런 다음, 해당 신용 카드 정보는 서버로 직접 전달되어 공격자가 악용하거나 다크 웹에서 판매됩니다. 매우 교묘한 공격자들은 난독화 방법을 사용해 악성 코드를 위장하고, 지오펜싱을 사용해 자신의 위치를 숨기기 때문에 Magecart 공격은 이커머스 사이트 및 사용자 정보를 수집하는 그 밖의 모든 사이트에 상당한 리스크를 초래합니다.
Magecart 공격이 발생하는 걸 완벽하게 예방하기는 어렵지만, 강력한 웹사이트 보안 조치를 구축하고 악성 활동에 대한 스크립트 행동을 정기적으로 모니터링하면 공격이 일어날 리스크를 줄일 수 있습니다.
웹사이트가 Magecart에 감염되었다는 의심이 든다면 즉시 조치를 취해 악성 코드를 제거하고 고객에게 유출 사실을 알리시기 바랍니다. 웹사이트를 보호하고 향후 공격을 예방하는 데 도움이 필요할 경우 사이버 보안 전문가에게 문의하세요.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로, 앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.