도시바·무지 사이트에 의심스러운 Polyfill 로그인 팝업이 표시됩니다.
기술 대기업인 도시바와 대형 소매업체 무지는 웹사이트에 나타나는 의심스러운 로그인 화면이 자격 증명을 수집할 수 있음을 방문자에게 경고했습니다.
두 일본 기업은 인증 화면에 계정 로그인 정보를 입력한 사용자에게 서비스를 이용하기 위해 비밀번호를 변경하라고 권고했습니다.
로그인 팝업은 polyfill[.]io에서 호스팅되는 외부 서비스에 의해 생성되었으며, 2024년에 해당 CDN이 전달한 스크립트에 악성 코드를 삽입했습니다.
“당사 웹사이트 일부에서 아래와 같은 로그인 화면이 표시될 수 있음을 확인했습니다. 현재 해당 화면을 제거하기 위해 작업 중이며, 화면이 표시될 경우 정보를 입력하지 말고 “Cancel”(취소)를 선택해 주시기 바랍니다.”라고 도시바는 짧은 안내문에서 밝혔습니다.
의심스러운 로그인 화면
출처: Toshiba
일본 소매 대기업 무지는 이번 주 초에 비슷한 공지를 발표하며, 외부 서비스 polyfill[.]io가 생성한 의심스러운 인증 화면에 대해 웹사이트 방문자에게 경고했습니다.
“현재까지 이 사이트에 대한 무단 접근이나 정보 유출이 확인되지 않았지만, 고객의 안전을 위해 대응 방안을 검토해 주시기 바랍니다.”라고 무지는 밝혔습니다.
도시바와 무지는 모두 문제를 해결하고 해당 서비스를 중단했습니다.
일본 언론은 Zojirushi, FiNC Technologies, Ishiyaku Publishers, 그리고 온라인 출판 브랜드 Hobonichi도 동일한 문제의 영향을 받았다고 보도했습니다.
보안 연구원 Pasquale Pillitteri는 삼성 스마트 TV와 웹사이트에서도 6월 1일에 로그인 프롬프트가 표시됐다고 전했습니다.
일부 보고서는 2024년 polyfill[.]io 사건이 원인이라고 주장합니다. 당시 해당 도메인이 중국 업체에 의해 인수되어 악성 스크립트가 추가되었으며, Polyfill 서비스를 이용하는 10만 개 이상의 웹사이트에 영향을 미쳤습니다.
Polyfill은 레거시 브라우저용 JavaScript CDN으로, 최신 사이트가 지원되지 않는 기술을 호환 레이어를 제공함으로써 실행될 수 있게 합니다.
Polyfill 코드는 polyfill[.io] CDN을 통해 전달되었지만, 해당 도메인은 오픈소스 프로젝트 창시자인 Andrew Betts가 소유하고 있지 않았습니다. 따라서 도메인이 만료되면 누구든지 획득할 수 있었습니다.
당시 Betts는 웹사이트 운영자에게 서비스를 제거할 것을 공개적으로 권고했으며, 새로운 도메인 polyfill.com에서 JavaScript CDN 서비스를 재출시했고 이후 polyfill.top으로 이전했습니다.
polyfill[.]io 서비스가 비활성화되면서 리다이렉션은 중단됐지만, 지난 2년간 서비스를 사용한 일부 사이트는 모든 페이지에서 코드를 완전히 제거하지 못해 Polyfill 코드 잔여물이 남아 있었습니다.
Pillitteri는 2026년 5월 말부터 polyfill[.]io 도메인이 다시 활성화되어 HTTP 401 인증 요청을 반환하기 시작했다고 보고했습니다.
도시바와 무지와 같은 페이지를 방문한 사용자 브라우저는 이를 사용자명·비밀번호 입력 요청으로 해석해 로그인 프롬프트를 표시합니다.
현재까지 영향을 받은 웹사이트가 해킹되었거나 이러한 악성 로그인 화면에 입력된 자격 증명이 탈취됐다는 증거는 없습니다. 그러나 사용자는 예상치 못한 인증 프롬프트에 대해 각별히 주의할 것을 강력히 권고합니다.
보안 팀은 성공적인 공격의 54%를 기록하고 단 14%만을 경보합니다. 나머지는 환경을 눈치채지 못하고 이동합니다.
Picus 백서는 침해 및 공격 시뮬레이션이 SIEM 및 EDR 규칙을 어떻게