by Wizard

OpenCart 쇼핑몰을 노리는 은밀한 공격: 가짜 결제 폼 삽입으로 카드 정보 탈취

최근 OpenCart CMS를 사용하는 이커머스 웹사이트를 대상으로 Magecart 스타일의 공격이 발생하여 사이버 보안 업계에 큰 우려를 낳고 있습니다. 공격자들은 웹사이트에 악성 JavaScript 코드를 삽입하여 사용자들의 결제 정보를 몰래 빼돌리는 수법을 사용했습니다. 특히, 페이스북 픽셀, 메타 픽셀, 구글 태그 매니저와 같은 정상적인 분석 및 마케팅 태그 속에 악성 코드를 숨겨 탐지를 더욱 어렵게 만들었습니다.

악성 코드 숨기기: 위장과 난독화

공격자들은 Base64 인코딩을 사용하여 악성 페이로드 URL을 숨기고, /tagscart.shop/cdn/analytics.min.js와 같은 의심스러운 도메인을 통해 트래픽을 라우팅하여 추적을 어렵게 만들었습니다. 겉으로는 일반적인 구글 애널리틱스 또는 태그 매니저 스크립트처럼 보이지만, 자세히 살펴보면 악성 코드가 숨겨져 있습니다.

가짜 결제 폼 삽입 및 정보 탈취

악성 코드는 동적으로 새로운 HTML 요소를 생성하여 기존 스크립트 앞에 삽입하고, 추가 코드를 실행합니다. 이 코드는 난독화 기술을 사용하여 숨겨져 있으며, 16진수 참조, 배열 재조합, eval() 함수를 사용하여 동적으로 디코딩됩니다. 핵심 기능은 결제 과정에서 진짜처럼 보이는 가짜 신용카드 입력 폼을 삽입하는 것입니다.

결제 정보 탈취 과정

가짜 폼은 신용카드 번호, 유효 기간, CVC와 같은 정보를 입력하도록 유도합니다. blur, keydown, paste 이벤트 리스너를 통해 사용자가 입력하는 모든 정보를 실시간으로 가로챕니다. 클립보드 스크래핑 방식이 아닌, 사용자가 직접 정보를 입력하도록 유도하는 것이 특징입니다. 탈취된 데이터는 즉시 ultracart[.]shop/g.php와 hxjet.pics/g.php라는 두 개의 C2(Command-and-Control) 서버로 전송됩니다.

추가적인 위협: 은행 거래 정보 요구

카드 정보가 제출되면 원래 결제 폼은 숨겨지고, 추가적으로 은행 거래 정보를 입력하라는 메시지가 나타납니다. 이는 사용자를 더욱 혼란스럽게 만들고, 더 많은 개인 정보를 탈취하려는 의도로 보입니다.

탈취된 카드 정보 사용 지연

이번 공격에서 특이한 점은 탈취된 카드 정보가 사용되기까지 상당히 오랜 시간이 걸렸다는 것입니다. 일반적으로 며칠 내에 사용되는 것과 달리, 몇 달이나 지난 후에 사용된 사례가 발견되었습니다. 이는 공격자들이 장기간에 걸쳐 정보를 수집하고, 최적의 시기를 기다렸다가 사용하는 전략을 취했을 가능성을 시사합니다.

SaaS 기반 이커머스의 취약점

이번 공격은 OpenCart와 같은 CMS 플랫폼을 사용하는 SaaS 기반 이커머스 환경이 사이버 공격에 취약하다는 것을 보여줍니다. 기본적인 방화벽만으로는 이러한 공격을 막기 어렵습니다.

자동화된 보안 솔루션의 필요성

난독화된 JavaScript, 무단 폼 삽입, 비정상적인 스크립트 동작을 탐지하는 자동화된 플랫폼이 필요합니다. 공격자들은 끊임없이 진화하고 있으므로, 소규모 CMS를 사용하는 경우에도 실시간 모니터링과 위협 인텔리전스를 통해 고객의 신뢰를 지키기 위한 노력을 게을리하지 않아야 합니다.