마젠토에서만 피해자 나와... 마젠토인가 플러그인인가
아직 분석 중... 비카브와 트렌드 마이크로 제품만 탐지 가능해

[보안뉴스 문가용] 전자상거래 솔루션 중 가장 인기가 높은 마젠토(Magento)를 활용해 구축된 웹 사이트들만을 노리는 새로운 랜섬웨어가 등장했다. 이름은 킴실웨어(KimcilWare)로 멀웨어 헌터 팀(Malware Hunter Team)과 블리핑 컴퓨터(Bleeping Computer)의 로렌스 아브람스(Lawrence Abrams)가 힘을 합해 분석 중에 있다. 이 랜섬웨어는 서버로 침투하여 파일들을 암호화한 뒤 .kimcilwawre라는 확장자를 부착한다. 피해자들에게 요구하는 금액은 140달러 정도인 것으로 파악됐다.



이 랜섬웨어의 변종도 이미 존재하는 것으로 드러났다. 이 변종은 암호화된 파일에 .locked라는 확장자를 부여하며 1 비트코인, 약 415달러를 요구하는 것으로 분석됐다. 아브람스에 의하면 킴실웨어는 라인달(Rijndael) 암호화 알고리즘을 사용하며 아직까지 복호화하는 방법에 대해서는 알려진 바가 없다.

현재 이 랜섬웨어를 탐지할 수 있는 솔루션은 비카브(Bkav)와 트렌드마이크로(Trend Micro)의 솔루션 뿐이라고 한다. 아직 피해를 입은 사이트들이 마젠토에 기반한 곳이긴 하지만, 킴실웨어가 마젠토만 겨냥하도록 설계가 되었는지는 아직 정확히 파악된 바 없다. 전문가들은 PHP로 된 웹 사이트라면 다 공격이 가능하다는 입장이다. 킴실웨어가 어떤 방식으로 마젠토 웹 사이트들을 감염시키는지 또한 정확히 밝혀지지 않고 있다.

하지만 최근 마젠토에서 잦은 보안 업데이트가 있었고, 심지어 이번 주 수요일에도 XSS, 코드 실행, 브루트포스 공격 관련 패치가 있었다는 사실을 복기해보면, 마젠토를 노리는 공격이 이제야 발견된 것이 오히려 늦은 감이 있다. 마젠토는 “이번 공격이 마젠토만을 겨냥했다는 아무런 증거가 나오지 않은 상태에서 ‘마젠토만 위험하다’고 결론을 내리는 건 섣부르다”며 “마젠토는 꾸준한 패치를 통해 보안을 탄탄히 다져왔다”고 약간의 억울함을 표현했다.

아직은 마젠토에 삽입되는 써드파티 플러그인을 통한 감염도 가능성이 농후한 상태이며, 본지는 분석 결과가 나오는 대로 추가 보도할 예정이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>