스트라이프(Stripe)가 신용카드 정보 탈취 서버로 변질되다: 발견된 신종 마게카트(Magecart) 캠페인

2026년 6월, 사이버 보안 업계가 깜짝 놀랄 만한 소식이 전해졌다. 전 세계 온라인 상점들이 결제 시스템의 핵심으로 신뢰하는 스트라이프(Stripe)의 인프라 자체가 신용카드 정보를 탈취하는 명령 제어(C2) 서버이자 데이터 저장소로 악용된 것이다 .

Sansec과 BleepingComputer가 공개한 이 신종 마게카트(Magecart) 캠페인은 공격자가 제어하는 어떤 의심스러운 외부 도메인도 사용하지 않는다. 대신, 스키머(정보 탈취 코드)와 탈취한 결제 정보가 모두 googletagmanager.com과 api.stripe.com이라는, 거의 모든 온라인 상점이 차단하지 않고 깊이 검사하지도 않는 두 개의 핵심 도메인을 통해 이동한다 .

이와 동시에, 워드프레스 플러그인인 Everest Forms Pro에서 CVSS 9.8점의 치명적인 원격 코드 실행(RCE) 취약점(CVE-2026-3300)이 활발히 악용되고 있어 사이트 운영자들의 즉각적인 주의가 필요하다 .

3단계로 이루어진 스트라이프 마게카트 공격 방식

이번 캠페인은 합법적인 서비스를 교묘하게 악용하는 3단계로 구성되어 기존 탐지 시스템의 눈을 피한다 .

1단계: 구글 태그 관리자를 통한 로더 주입

공격자는 먼저 타깃 온라인 상점의 구글 태그 관리자(GTM: Google Tag Manager) 컨테이너를 장악한다. 이후 모든 페이지에서 실행되는 악성 태그를 주입한다. 이 스크립트는 신뢰받는 분석 도메인인 googletagmanager.com에서 로드되기 때문에, 일반적인 콘텐츠 보안 정책(CSP: Content Security Policy)이나 광고 차단 프로그램을 아무런 의심 없이 통과한다 . 즉, GTM이 차단 불가능한 공격 전달 수단이 되는 셈이다.

2단계: 스트라이프 API에서 스키머 페이로드 가져오기

이전 같으면 공격자는 자신들이 소유한 수상한 서버에서 스키머 코드를 가져왔을 테지만, 이번에는 다르다. GTM 태그는 api.stripe.com 으로 실제 카드 정보를 탈취할 자바스크립트 스키머 전체를 요청한다. 공격자는 스트라이프의 테스트 모드 비밀 키(sk_test_...) 를 사용해 자신이 제어하는 스트라이프 계정의 고객 메타데이터 필드(Customer metadata field) 에 이 스키머 코드를 저장하고 API를 통해 가져오는 것이다 . 스토어 운영자가 결제 스택의 일부로 절대적으로 신뢰하는 도메인에서 코드가 도착하기 때문에, 네트워크 모니터링이나 CSP 규칙이 이 API 호출을 거의 경고하지 않는다.

3단계: 탈취한 데이터를 동일한 스트라이프 계정으로 유출

쇼핑객이 결제 페이지에서 신용카드 정보, 개인정보, 청구 주소 등을 입력하는 순간, 주입된 스키머가 이를 가로챈다. 그리고 똑같은 스트라이프 API를 이용해 데이터를 다시 공격자의 스트라이프 계정으로 빼돌린다. 이 정보는 가짜 고객(Customer) 레코드나 메타데이터 항목 형태로 기록된다 . 유출 트래픽이 정상적인 결제 API 호출과 똑같이 api.stripe.com으로 향하기 때문에, 방화벽 로그나 이상 징후 탐지 도구는 이 도난 행위를 정상 트래픽과 구분할 수 없게 된다 .

연구자들이 파악한 지표에 따르면, 이 교묘한 작전은 2025년 12월 24일부터 최소한 그 이후까지 계속 활동해 왔다 .

테스트 모드 비밀 키가 특별히 위험한 이유

스트라이프의 테스트 모드 비밀 키(sk_test_...)는 샌드박스 환경 내에서 모든 읽기 및 쓰기 권한을 부여하며, 제한 없이 가짜 고객이나 메타데이터 필드를 무료로 생성할 수 있게 한다 . 실제 청구가 발생하지 않기 때문에, 많은 조직이 이 키를 위험도가 낮다고 여기고 라이브 트래픽만큼 엄격하게 샌드박스 활동을 감사하지 않는다는 점을 공격자는 정확히 노렸다.

실제로 만약 공격자가 라이브 비밀 키(sk_live_...)를 손에 넣는다면 실제 거래 데이터에 접근해 환불을 처리하거나 자금을 이체할 수 있기 때문에 더 큰 재앙이 될 수 있다 . 이번 캠페인은 은밀함을 위해 테스트 키를 사용했지만, 핵심 원칙은 동일하다. 스트라이프 API 키는 어떤 모드든 강력한 자격 증명이며, 절대 클라이언트 측 코드나 GTM 변수에 포함되어서는 안 된다 .

CVE-2026-3300: Everest Forms Pro의 치명적 원격 코드 실행 취약점

한편, 스트라이프 캠페인이 전자상거래 결제 흐름을 노리는 동안, 워드프레스 사이트 운영자들은 또 다른 긴급한 위협에 직면해 있다. 약 4,000개의 활성 설치 수를 가진 Everest Forms Pro 플러그인에서 발견된 취약점이 2026년 4월 13일 이후 실제 공격에 활발히 악용되고 있는 것이다 .

CVE-2026-3300으로 등록된 이 취약점은 CVSS 9.8점의 치명적인 심각도를 가지며, 1.9.12 버전까지의 모든 버전에서 인증되지 않은 원격 코드 실행을 허용한다 .

버그는 '계산(Calculation)' 애드온의 process_filter() 함수에 존재한다. '복잡한 계산(Complex Calculation)' 기능이 활성화된 경우, 플러그인은 사용자가 문자열 유형의 폼 필드에 입력한 값을 PHP 코드 문자열에 직접 연결(concatenate)하여 eval() 함수로 전달하는데, 여기에 제대로 된 이스케이프 처리가 전혀 되어 있지 않다 . 입력값에 적용되는 sanitize_text_field() 함수는 작은따옴표 등 PHP 코드 맥락에서 특별한 의미를 갖는 문자를 무력화하지 못해, 공격자는 의도된 문자열을 탈출하여 임의의 명령을 주입할 수 있다 .

워드펜스(Wordfence)는 이 취약점을 악용하는 29,300건 이상의 공격 시도를 차단했으며, 공격자들이 사이트 탈취 후 무단 관리자 계정을 생성하는 등의 후속 작업을 벌이고 있다고 보고했다 . 사이트 운영자는 예상치 못한 이름의 관리자 계정, 서버 내 이상한 파일, 의심스러운 외부 연결 등 침해 지표(IoC)를 찾아봐야 한다 .

두 가지 위협에 대한 방어 조치

스트라이프 마게카트 공격 차단하기

• 구글 태그 관리자(GTM) 단속: GTM 컨테이너를 승인되고 감사된 태그만 사용하도록 제한하고, 태그 발행 전 엄격한 변경 관리 승인 과정을 적용하세요 .
• 콘텐츠 보안 정책(CSP) 강화: 반드시 필요한 경우가 아니라면 script-src 지시문에 api.stripe.com을 포함하지 마세요. 어쩔 수 없이 포함해야 한다면 서브 리소스 무결성(SRI) 해시를 강제하고 인라인 스크립트를 차단하세요 .
• 스트라이프 샌드박스 활동 감사: 스트라이프 대시보드에서 테스트 모드 키를 통한 비정상적인 고객 생성이나 메타데이터 쓰기 급증이 있는지 모니터링하세요. 샌드박스의 이상 징후도 라이브 환경 못지않게 심각하게 다뤄야 합니다.
• API 키 순환 및 보호: 테스트 모드든 라이브 모드든, 클라이언트 측 자바스크립트, GTM 변수, 또는 공개 저장소에 절대 스트라이프 비밀 키를 노출하지 마세요 . 노출 가능성이 있다면 키를 즉시 교체하세요 .
• 클라이언트 측 모니터링 도입: 결제 페이지에서 승인되지 않은 스크립트에 의한 DOM 조작을 감지할 수 있는 브라우저 측 무결성 검사 도구를 도입하세요 .

Everest Forms Pro 취약점 대응

• 즉시 업데이트: Everest Forms Pro를 이 문제가 수정된 1.9.13 버전 이상으로 업데이트하세요 .
• 패치가 지연될 경우 위험 기능 비활성화: 당장 업데이트가 어렵다면, 플러그인 설정에서 '복잡한 계산(Complex Calculation)' 기능을 꺼서 eval() 함수로의 악성 입력 주입 경로를 원천 봉쇄하세요 .
• 침해 흔적 검사: 알 수 없는 관리자 계정, 예상치 못한 파일, 의심스러운 eval() 호출, 낯선 IP로의 외부 연결을 찾으세요. 문제 해결 후에는 반드시 워드프레스 코어, 테마, 플러그인 파일 체크섬에 대한 전체 무결성 검사를 수행해야 합니다 .