“이미지 속에 숨은 악성코드, 리포지터리는 모른다”... 클로드 코드 보안의 명확한 한계 노출

메이지카트의 ‘파비콘 EXIF 데이터 은닉’ 수법... 브라우저에서 결제 정보 탈취해 공격자 서버로 전송

[보안뉴스 김형근 기자] 보안 전문가들이 최근 해킹 그룹 메이지카트(Magecart)가 사용한 ‘이미지 메타데이터 은닉형 스키밍’ 수법을 찾아냈다. 소스 코드를 건드리지 않고 브라우저에서 직접 작동하는 이 지능적 수법의 발견으로 웹 공급망 보안의 새로운 대응 국면이 열렸다.

[출처: gettyimagesbank]

이번 메이지카트의 ‘파비콘 EXIF 데이터 은닉’ 수법을 최초로 발견하고 심층 분석 보고서를 낸 곳은 글로벌 사이버 보안 업체 지스케일러(Zscaler)의 위협 연구팀인 ‘쓰랫랩즈’(ThreatLabz)다.

이 공격은 3단계 로더 체인을 통해 작동하며, 최종적으로 사용자의 브라우저에서 결제 정보를 탈취해 공격자 서버로 전송한다.

클로드코드시큐리티(Claude Code Security) 같은 AI 기반의 분석 도구는 리포지터리에 저장된 코드만 검사하기 때문에 외부에서 로드되는 자산은 모두 파악하지 못한다.

메이지카트는 기업이 직접 작성하지 않은 제3자 스크립트나 CDN 소스를 오염시키기 때문에 개발자의 PR(Pull Request) 검토 과정을 완벽하게 우회한다.

공격자들은 겉보기에 평범한 이미지를 데이터 형태로 읽은 뒤 이를 실시간 명령어로 변환하는 방식으로 기존 보안 시스템의 감시망을 완벽하게 무력화했다.

리포지터리 중심의 보안 도구는 ‘내가 쓴 코드’의 오류는 잡아내지만, ‘남이 제공한 서비스’를 통해 유입되는 런타임 공격은 발견하지 못한다.

아이프레임(iframe) 주입이나 픽셀 트래커 오용 등도 소스 코드의 변경 없이 발생하는 전형적인 웹 공급망 공격의 사례들이다. 이는 제품의 결함이 아니라 보안 도구의 ‘설계상 범위┖ 차이에서 발생하는 현상이라는 점을 정확히 인식해야 한다.

런타임 모니터링 플랫폼만이 “사용자의 브라우저에서 지금 무슨 코드가 실행 중인가?”라는 질문에 정확한 답을 줄 수 있다. 따라서 현대적 보안은 코드 정적 분석과 더불어 실시간 브라우저 활동을 감시하는 ‘심층 방어┖ 전략을 확실하게 구축해야 한다.