메이지카트 일당 3명, 인도네시아에서 체포돼

인터폴과 인도네시아 경찰, 보안 사기업이 공조...세 명 외 나머지는 도주 중
VPN으로 서버 접속해 카드 정보에 접근...서버 운영비도 훔친 카드 정보로 해결

[보안뉴스 문가용 기자] 메이지카트(Magecart)의 일당으로 보이는 용의자 3명이 인도네시아에서 최근 체포됐다. 이는 인터폴의 아세안 사이버 부문(ASEAN Cyber Capability Desk)과 인도네시아 경찰국, 보안 전문 회사인 그룹IB(Group-IB)가 공조하여 올린 성과다.

[이미지 = iclickart]

지난 몇 년 동안 여러 해킹 범죄 단체들이 메이지카트라는 이름 아래 갖가지 공격 행위를 실시해왔다. 특히 전자상거래 기능을 가진 웹사이트들에서 심각한 피해가 발생했다. 메이지카트 내 단체들은 자바스크립트 코드를 결제 페이지에 심어 고객들의 신용카드 정보를 훔치는 것을 주 공격 수단으로 삼아왔다.

이번에 체포된 용의자들은 23세, 27세, 35세 청년들이었으며, 인도네시아, 호주, 영국, 미국, 독일, 브라질 등 수많은 국가에서 운영되고 있는 온라인 상거래 사이트들을 감염시킨 혐의를 받고 있다. 인도네시아 경찰에 의하면 이들은 지난 12월 20일, 자카르타와 요그야카르타에서 체포됐으며, 나머지 일당들은 도주 중에 있다고 한다.

세 명의 체포와 함께 인도네시아 경찰은 랩톱, 모바일 폰, CPU, ID, BCA 토큰, ATM 카드들을 수십 종 압수했다고 발표하기도 했다. 공조에 참여했던 그룹IB에 의하면 유죄 판결을 받을 경우 세 명 용의자는 각각 10년 징역형까지 받을 수 있다고 한다.

현재 이 세 명은 총 571개의 전자상거래 웹사이트들에 사이버 공격을 실시한 혐의를 받고 있다. 인터폴은 이번 성과를 발표하면서 “2017년부터 시작된 메이지카트 공격 전체에 있어서 이 세 명이 받고 있는 혐의는 1% 정도밖에 되지 않는다”고 말했다. 즉, 이 세 명을 잡았다고 해서 큰 성과를 올린 건 아니라는 뜻이다.

또한 세 명의 체포가 있긴 했지만 아직도 카드 정보를 수집하는 서버가 활동 중에 있을뿐만 아니라 몇 가지 설정이 최근 바뀌었다는 소식도 경고처럼 나왔다. “메이지카트 내부에서 체포에 관한 첩보가 돌고 있는 모양”이라고 인터폴은 분석한다. “설정 변경과 관련된 코드가 발견된 사이트가 27개가 넘습니다.” 인터폴의 발표문 중 일부 내용이다.

한편 인터폴을 도운 보안 업체 그룹IB는 2018년부터 특정 자바스크립트 코드 스니퍼를 추적해왔다. 그러면서 공격자들의 인프라까지 어느 정도 분석할 수 있게 되었는데, 이를 통해 메이지카트가 200개 넘는 웹사이트를 해당 스니퍼를 통해 감염시켰다는 것을 알게 되었다고 자사 블로그를 통해 설명한다. “추적을 더 하면 이 숫자는 금방 올라갈 것이라고 봅니다.”

공격자들은 지불카드 데이터를 훔쳐 각종 전자 장비나 사치품을 구매했다고 한다. 그런 후 이를 인도네시아의 여러 온라인 시장에서 정상가보다 낮게 판매함으로써 큰 이익을 거두었다고 한다.

이들은 VPN을 사용해 자신들이 운영하던 서버에 접속했고, 이 서버로부터 탈취된 데이터에 접근할 수 있었다고 한다. 해당 서버는 스키머 코드를 제어하는 서버와 연결되어 있었고, 이러한 서버들의 운영비 역시 훔친 카드 데이터로 해결한 것으로 알려져 있다.

3줄 요약
1. 메이지카트의 일당으로 보이는 3명이 인도네시아에서 체포됨.
2. 총 500여 건이 넘는 범죄 혐의를 받고 있지만, 메이지카트 전체의 1%도 되지 않음.
3. 게다가 범죄에 사용되었던 서버들은 아직 그대로 남아있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)