영국 전자상거래 소프트웨어 개발사이자 마젠토-워드프레스(Magento-WordPress) 판매사인 피쉬피그(FishPig)가 고객사에 보안 공격을 경고했다
미국 테크 전문 매체 Ars테크니카에 따르면, 피쉬피그가 자사 시스템의 통제 권한을 악용한 공급망 공격을 발견했다. 공격은 지난 6월 발견된 백도어인 '리쿠베(Rekoobe)'를 이용해, 피쉬피그의 시스템을 통제하면서 고객사 시스템을 감염시키는 수법으로 발생했다.
리쿠베는 양성 SMTP 서버로 위장한 뒤 시작 처리와 관련된 비밀의 명령으로 활성화할 수 있다. 자칫하면, 사이버 공격 세력이 악성 프로그램에 감염된 서버로 원격 명령을 실행할 수도 있다.
피쉬피그 측은 피쉬피그의 대다수 확장 프로그램을 포함한 악성 PHP 코드를 Helper/License.php 파일에 주입해, 자사 시스템에 침입한 사실을 확인했다. 이후 리쿠베는 디스크에서 모든 멀웨어 파일을 삭제한 뒤 메모리에서만 실행한다.
벤 타이스웰(Ben Tideswell) 피쉬피그 수석 개발자는 현재 정확한 사이버 보안 피해 규모를 조사 중이라고 밝혔다. 일각에서는 피쉬피그가 전자상거래 웹사이트 20만 곳에 소프트웨어를 공급한다는 점에서 피해 범위가 클 것으로 우려한다.
타이스웰은 “이번 공격 자체는 서버나 애플리케이션을 악용한 상태에서 발생했다. 현재 애플리케이션 자동화 악용 사례를 발견했다. 해커 세력이 이를 이용해 피쉬피그의 시스템 접근 권한을 확보한 것으로 추정된다. 해커 세력이 피쉬피그 시스템 내부에 진입한 뒤 수동 접근 방식으로 공격 악용 지점을 선택했을 것이다”라고 설명했다.
이어서 “피쉬피그의 모든 모듈이나 확장 프로그램이 멀웨어에 감염되었다고 가정해야 한다”라며, 고객사에 모듈과 확장 프로그램 전체를 재설치하여 보안 피해를 최소화할 것을 당부했다.
한편, 이번 문제를 발견한 보안 기업 산섹(Sansec)은 피쉬피그 서버에서의 추가로 감지된 보안 공격 악용 사례는 없다고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
