사고/사건사이버보안 사고/사건New
$100B+ 대형 자동차 제조사 전자상거래 사이트, WebRTC 스키머로 고객 결제정보 탈취
보도일: 2026년 3월 24일|수집일: 2026년 3월 27일
요약
시가총액 1,000억 달러 이상 대형 자동차 제조사의 전자상거래 사이트에서 WebRTC 기반 결제정보 스키머가 발견되었다. Magento/Adobe Commerce의 PolyShell 취약점(APSB25-94)을 통해 침투한 공격자가 CSP(콘텐츠 보안 정책)를 우회하는 신종 스키밍 기법으로 고객 결제 데이터를 탈취했다.
본문
네덜란드 전자상거래 보안 전문기업 Sansec는 2026년 3월 24일, 시가총액 1,000억 달러 이상인 대형 자동차 제조사의 전자상거래 웹사이트에서 WebRTC DataChannel을 악용한 신종 결제정보 스키머(skimmer)를 발견했다고 발표했다. 이 스키머는 Magento Open Source 및 Adobe Commerce의 PolyShell 취약점(APSB25-94)을 통해 침투한 것으로 추정된다. PolyShell 취약점은 REST API를 통한 비인가 파일 업로드를 허용하며, 2026년 3월 19일부터 대규모 자동 스캐닝이 시작되어 3월 24일 기준 전 세계 취약한 Magento 스토어의 56.7%에서 악성 PHP 코드 업로드가 확인되었다.
이번에 발견된 WebRTC 스키머는 기존 HTTP 기반 스키머와 달리 WebRTC DataChannel을 통해 페이로드를 수신하고 탈취한 결제 데이터를 전송하는 방식을 사용한다. WebRTC 연결은 표준 CSP 규칙의 통제를 받지 않으며, DTLS로 암호화된 UDP 위에서 동작하기 때문에 HTTP 트래픽을 검사하는 네트워크 보안 도구로는 데이터 유출을 탐지할 수 없다. Sansec는 해당 자동차 제조사에 통보했으나 아직 응답을 받지 못했다고 밝혔다. Adobe는 2.4.9-beta1(3월 10일 출시)에서 PolyShell 취약점을 수정했지만, 현재 운영 중인 프로덕션 버전에 대한 별도 패치는 아직 제공되지 않고 있다.
시사점
자동차 제조사의 사이버보안 범위는 차량 시스템(ECU, CAN 버스 등)과 제조 인프라에 국한되지 않으며, 전자상거래·딜러 포털 등 디지털 커머스 인프라까지 포함해야 한다. 이번 사건은 Magento/Adobe Commerce 같은 범용 전자상거래 플랫폼의 제로데이가 자동차 브랜드에도 직접적 영향을 미칠 수 있음을 보여준다. OEM과 부품사는 ISO/SAE 21434의 위협 분석 범위를 IT 인프라(웹사이트, 고객 포털, 모바일 앱)까지 확장하여 관리할 필요가 있다.