WebRTC Skimmer

사이버 보안 연구원들은 웹RTC 데이터채널을 활용하여 악성 페이로드를 은밀하게 수집하고 민감한 데이터를 유출하는 고도화된 결제 스키밍 악성코드를 발견했습니다. HTTP 요청이나 이미지 비콘에 의존하는 기존 스키밍 악성코드와 달리, 이 변종은 일반적인 웹 트래픽 패턴에서 벗어나 작동하므로 탐지가 훨씬 더 어렵습니다.

공격 진입점: 폴리셸 취약점

이번 공격은 Magento 오픈 소스 및 Adobe Commerce 플랫폼에 영향을 미치는 심각한 취약점인 PolyShell을 악용한 것으로 밝혀졌습니다. 이 결함으로 인해 인증되지 않은 공격자는 REST API를 통해 임의의 실행 파일을 업로드할 수 있으며, 궁극적으로 원격 코드 실행 권한을 획득할 수 있습니다.

2026년 3월 19일부터 해당 취약점이 대규모로 악용되고 있습니다. 50개 이상의 IP 주소에서 스캔 작업이 관찰되었으며, 연구원들은 취약한 온라인 상점의 약 56.7%에서 PolyShell 관련 침해를 발견했습니다.

공격 메커니즘: WebRTC를 이용한 은밀한 채널 활용

스키머는 해킹된 웹사이트에 삽입된 자체 실행 스크립트로 작동합니다. 실행되면 UDP 포트 3479를 통해 하드코딩된 IP 주소(202.181.177.177)로 WebRTC 피어 연결을 시작합니다. 이 채널을 통해 추가적인 악성 JavaScript 코드를 가져와 웹 페이지에 직접 삽입하여 결제 데이터를 수집합니다.

이 기술의 주요 특징은 다음과 같습니다.

• 기존 HTTP 기반 통신 대신 WebRTC 데이터채널 사용
• 악성 스크립트의 동적 검색 및 실행
• 결제 정보를 처리하는 웹 페이지에 직접 삽입

보안 회피: 기존 방어 체계 우회

이 접근 방식은 널리 사용되는 보안 제어를 회피할 수 있다는 점에서 스키밍 기술의 상당한 발전을 나타냅니다. 무단 외부 연결을 제한하기 위해 자주 사용되는 콘텐츠 보안 정책(CSP)은 이러한 위협을 효과적으로 완화하지 못합니다.

모든 무단 HTTP 트래픽을 차단하는 엄격한 CSP 구성이 적용된 환경에서도 WebRTC는 취약할 수 있습니다. WebRTC 트래픽은 HTTP가 아닌 DTLS로 암호화된 UDP를 통해 전송되므로 많은 네트워크 모니터링 및 검사 도구에서 감지되지 않습니다. 결과적으로 유출된 결제 데이터는 탐지를 완전히 회피할 수 있습니다.

패치 가용성 및 방어 조치

Adobe는 2026년 3월 10일에 출시된 버전 2.4.9-beta1에서 PolyShell 취약점을 해결했습니다. 악용을 방지하려면 즉시 패치를 적용하는 것이 중요합니다.

노출 위험을 줄이고 잠재적 침해를 감지하기 위해 다음과 같은 조치를 강력히 권장합니다.

pub/media/custom_options/ 디렉토리에 대한 접근을 제한합니다.
웹셸, 백도어 및 기타 악성 프로그램을 철저히 검사하십시오.

전자상거래 보안에 대한 전략적 함의

WebRTC 기반 스키밍 공격의 등장은 더욱 정교한 프로토콜 수준의 회피 기술로의 전환을 보여줍니다. 전자상거래 플랫폼을 운영하는 기업은 진화하는 위협에 효과적으로 대응하기 위해 HTTP 중심의 모니터링을 넘어 비전통적인 통신 채널에 대한 심층적인 검사를 포함하는 방어 전략을 구축해야 합니다.