충격! Magento 확장 프로그램 공급망 공격 발생: 즉시 점검 및 보안 강화 필요
Magento 사용자 여러분, 충격적인 소식이 있습니다. Sansec의 조사 결과, Tigren, Meetanshi, MGS 세 회사의 Magento 확장 프로그램 21개에서 악성 코드가 발견되었습니다. 이미 수백 개의 이커머스 웹사이트가 영향을 받았으며, 심지어 400억 달러 규모의 다국적 기업도 포함되어 있다고 합니다. 지금 즉시 여러분의 Magento 스토어를 점검하고 필요한 조치를 취해야 합니다.
악성 코드, 6년간 잠복 후 활성화
Sansec에 따르면, 일부 확장 프로그램은 2019년부터 백도어에 감염되어 있었습니다. 공격자는 벤더의 공식 다운로드 서버를 해킹하여 악성 코드를 심었고, 2025년 4월에 이르러서야 이를 활성화했습니다. 그동안 수백 개의 웹사이트가 문제의 확장 프로그램을 설치했고, 이로 인해 약 500~1,000개의 웹사이트가 해킹당한 것으로 추정됩니다.
공격 방식: PHP 백도어
공격자들은 모든 확장 프로그램의 라이선스 확인 파일에 PHP 백도어를 추가했습니다. 이를 통해 원격으로 임의의 PHP 코드를 실행할 수 있게 되었고, 감염된 스토어에 대한 완전한 통제권을 확보했습니다. 그 결과, 고객의 민감한 데이터와 금융 거래 정보가 유출될 위험에 처하게 되었습니다.
문제의 확장 프로그램 목록
다음은 악성 코드가 발견된 Magento 확장 프로그램 목록입니다. 혹시 여러분의 스토어에서 이 확장 프로그램들을 사용하고 있다면 즉시 제거하고, 시스템 전체를 정밀 검사해야 합니다.
- Tigren: Ajaxsuite, Ajaxcart, Ajaxlogin, Ajaxcompare, Ajaxwishlist, MultiCOD
- Meetanshi: ImageClean, CookieNotice, Flatshipping, FacebookChat, CurrencySwitcher, DeferJS
- MGS: Lookbook, StoreLocator, Brand, GDPR, Portfolio, Popup, DeliveryTime, ProductTabs, Blog
벤더들의 엇갈린 반응
Sansec은 세 벤더에게 이 사실을 알렸지만, 반응은 제각각이었습니다. Tigren은 해킹 사실을 부인하며 여전히 백도어에 감염된 확장 프로그램을 제공하고 있는 것으로 알려졌습니다. Meetanshi는 해킹 사실은 인정했지만 확장 프로그램 감염은 부인했습니다. MGS는 Sansec의 문의에 아예 응답하지 않았습니다. 하지만 BleepingComputer는 MGS 웹사이트에서 무료로 제공되는 확장 프로그램 중 최소 하나에서 백도어가 발견되었다고 밝혔습니다.
즉각적인 대응이 필요합니다
만약 여러분이 위에서 언급된 확장 프로그램 중 하나라도 사용하고 있다면, 즉시 조치를 취해야 합니다. 다음 단계를 따르세요.
- 해당 확장 프로그램 제거: Magento 관리자 패널에서 해당 확장 프로그램을 제거합니다.
- 시스템 전체 스캔: 바이러스 및 악성 코드 스캔 도구를 사용하여 시스템 전체를 정밀 검사합니다.
- 비밀번호 변경: 모든 계정의 비밀번호를 강력하게 변경합니다 (Magento 관리자, 데이터베이스, FTP 등).
- 보안 업데이트: Magento 플랫폼과 모든 확장 프로그램을 최신 버전으로 업데이트합니다.
- 보안 강화: 방화벽, 침입 탐지 시스템 등 추가적인 보안 조치를 적용합니다.
맺음말
이번 Magento 확장 프로그램 공급망 공격은 이커머스 플랫폼의 보안 취약점을 여실히 드러낸 사건입니다. 사용자들은 확장 프로그램을 설치할 때 신뢰할 수 있는 벤더의 제품인지 꼼꼼히 확인하고, 정기적으로 보안 점검을 실시해야 합니다. 또한, 최신 보안 정보를 지속적으로 습득하고, 유사한 공격에 대비하는 것이 중요합니다. 지금 바로 여러분의 Magento 스토어를 점검하고, 안전한 온라인 환경을 구축하세요.
