GTM 악용해 신용카드 정보 유출 시도
해커들이 Google Tag Manager(GTM)를 이용해 전자상거래 웹사이트에서 신용카드 정보를 훔치는 악성코드를 배포하고 있다는 사실이 밝혀졌다. GTM을 통해 Magento 기반의 전자상거래 웹사이트에 암호화된 스크립트를 주입, 체크아웃 과정 중에 사용자들의 신용카드 정보를 수집하는 방식이다.
악성 PHP 백도어를 사용해 데이터 유출
보안 연구팀 수쿠리(Sucuri)에 따르면, 이 악성코드는 cms_block.content라는 데이터베이스 테이블에서 로드된다. 코드는 일반적인 GTM 스크립트처럼 보여 탐지를 회피할 수 있도록 설계되었으며, 백도어 PHP 파일이 사용되어 추가 데이터 유출 및 악성코드 유지가 가능하다.
이 악성코드는 특정 서버로 신용카드 정보를 전송하며, 해당 서버는 해커가 완전히 제어하고 있다. 또한, 이 파일은 Magento 외에도 WordPress 및 Joomla와 같은 다양한 콘텐츠 관리 시스템에서 작동할 수 있는 것으로 분석됐다.
다수의 사이트에서 감염 사례 발견
현재까지 최소 6개의 웹사이트에서 특정 Google Tag Manager ID를 악용한 감염 사례가 확인되었으며, 해당 캠페인은 적극적으로 여러 웹사이트에 영향을 미치고 있는 것으로 드러났다. 공격에 사용된 'eurowebmonitortool[.]com'이란 도메인은 이미 여러 보안 업체에 의해 블록리스트에 추가됐다.
보안 전문가가 제시한 해결 방안
수쿠리는 해당 보안 위협을 제거하기 위한 여러 단계적인 해결 방안을 제시했다. 여기에는 의심스러운 GTM 태그 제거, 전체 웹사이트 스캔, 악성 스크립트 및 백도어 파일 삭제, Magento와 모든 확장 기능 최신화, 그리고 GTM 및 사이트 트래픽 모니터링 등이 포함된다.
이번 사건은 웹사이트 운영자들에게 GTM 및 시스템 보안 관리의 중요성을 다시금 강조하고 있다. 정기적인 관리로 보안을 강화하는 것이 필요하다.
출처 : 원문 보러가기