펀넬 빌더 결함이 활발히 악용돼 WooCommerce 결제 스키밍을 가능하게 함
Source: The Hacker News
Ravie Lakshmanan2026년 5월 16일 취약점 / 웹사이트 보안
워드프레스용 Funnel Builder 플러그인에 영향을 미치는 중대한 보안 취약점이 실제 공격에서 활발히 악용되고 있어, 악성 JavaScript 코드를 삽입하여 WooCommerce 결제 페이지에서 결제 정보를 탈취하려 하고 있습니다.
이번 활동에 대한 상세 내용은 Sansec이 이번 주에 공개했습니다. 현재 이 취약점은 공식 CVE 식별자를 갖고 있지 않으며, 3.15.0.3 이전 버전 전부에 영향을 미칩니다. 40,000개가 넘는 WooCommerce 스토어에서 사용되고 있습니다.
이 결함을 통해 인증되지 않은 공격자는 스토어의 모든 결제 페이지에 임의의 JavaScript를 삽입할 수 있다고 네덜란드 전자상거래 보안 업체가 밝혔습니다. Funnel Builder를 유지보수하는 FunnelKit은 3.15.0.3 버전에서 해당 취약점에 대한 패치를 배포했습니다.
“공격자는 플러그인의 ‘External Scripts’ 설정에 가짜 Google Tag Manager 스크립트를 심고 있습니다.”라고 전했습니다. “삽입된 코드는 실제 태그 옆에 일반적인 분석 스크립트처럼 보이지만, 결제 시 카드 번호, CVV, 청구지 주소 등을 탈취하는 결제 스키머를 로드합니다.”
Sansec에 따르면, Funnel Builder는 공개된 결제 엔드포인트를 포함하고 있어 외부 요청이 내부 메서드 유형을 선택하도록 허용합니다. 그러나 오래된 버전은 호출자의 권한을 전혀 확인하지 않거나 호출 가능한 메서드를 제한하지 않도록 설계되었습니다.
악의적인 행위자는 인증되지 않은 요청을 보내 내부 메서드 중 하나에 접근해 공격자가 제어하는 데이터를 플러그인의 전역 설정에 직접 기록하도록 할 수 있습니다. 이렇게 추가된 코드 조각이 모든 Funnel Builder 결제 페이지에 삽입됩니다.
결과적으로 공격자는 취약한 워드프레스 사이트의 모든 결제 거래에서 실행되는 악성 태그를 심을 수 있습니다.
Sansec이 관찰한 사례 중 하나에서는, 페이로드가 Google Tag Manager (GTM) 로더로 위장해 원격 도메인에 호스팅된 JavaScript를 실행했습니다. 이후 공격자는 명령·제어(C2) 서버(“wss://protect-wss[.]com/ws”)와 WebSocket 연결을 열어, 피해자 스토어프런트에 맞춘 스키머를 받아옵니다.
공격의 최종 목표는 결제 시 입력되는 카드 번호, CVV, 청구 주소 및 기타 개인 정보를 탈취하는 것입니다. 사이트 운영자는 Funnel Builder 플러그인을 최신 버전으로 업데이트하고, Settings > Checkout > External Scripts 메뉴에서 낯선 항목이 있는지 검토 후 제거할 것을 권고합니다.
“스키머를 Google Analytics나 Tag Manager 코드로 위장하는 것은 반복되는 Magecart 패턴입니다. 검토자는 익숙한 추적 태그처럼 보이는 코드를 그대로 넘겨버리기 쉽기 때문입니다.”라고 Sansec은 말했습니다.
이번 공개는 Sucuri가 Joomla 사이트를 대상으로 한 캠페인을 상세히 밝힌 지 얼마 지나지 않아 이루어졌습니다. 해당 캠페인에서는 매우 난독화된 PHP 코드가 백도어로 삽입돼 공격자가 제어하는 C2 서버와 통신하고, 운영자 모르게 방문자와 검색 엔진에 스팸 콘텐츠를 제공하도록 설계되었습니다. 궁극적인 목적은 사이트 평판을 이용해 스팸을 주입하는 것입니다.
“스크립트는 원격 로더 역할을 합니다.”라고 보안 연구원 Puja Srivastava는 설명했습니다. “외부 서버에 접속해 감염된 사이트 정보를 전송하고, 명령을 기다립니다. 원격 서버의 응답에 따라 감염된 사이트가 제공할 콘텐츠가 결정됩니다.”
“이 방식은 공격자가 로컬 파일을 다시 수정하지 않고도 언제든지 사이트 동작을 바꿀 수 있게 해줍니다. 공격자는 스팸 제품 링크를 삽입하거나, 방문자를 리다이렉트하거나, 악성 페이지를 동적으로 표시할 수 있습니다.”
이 기사가 흥미로우셨나요? 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.