Contents
see List이번 영상은 FunnelKit Funnel Builder for WooCommerce Checkout 취약점을 악용한 WordPress 결제창 카드 스키머 사례를 정리한 내용입니다. 핵심은 쇼핑몰 화면 전체가 망가지는 공격이 아니라, 고객이 카드 정보를 입력하는 결제 단계에 악성 JavaScript가 조용히 삽입된다는 점입니다.
Funnel Builder는 WooCommerce 결제 페이지, 원클릭 업셀, 랜딩 페이지, 전환율 최적화 기능을 제공하는 WordPress 플러그인입니다. 공개 통계 기준 4만 개 이상 사이트에서 쓰이는 만큼, 결제 흐름과 직접 연결된 플러그인 하나가 취약해지면 영향 범위가 커질 수 있습니다.
이번 취약점은 3.15.0.3 이전 버전에 영향을 주는 것으로 알려졌습니다. 인증되지 않은 요청이 공개된 checkout endpoint를 통해 내부 설정 변경 기능에 접근할 수 있었고, 공격자는 플러그인의 External Scripts 설정에 임의의 스크립트를 넣을 수 있었습니다. 이 설정은 결제 페이지마다 출력되기 때문에 악성 코드가 반복 실행됩니다.
Sansec 분석에 따르면 공격자는 해당 스크립트를 Google Tag Manager 또는 Google Analytics처럼 보이게 위장했습니다. 관리자가 설정 화면을 대충 보면 정상 마케팅 태그처럼 지나치기 쉬운 구조입니다. 실제로는 외부 서버와 통신해 결제 카드 스키머를 내려받고, 카드번호, CVV, 청구 주소, 고객 정보를 훔칠 수 있습니다.
대응은 빠르게 진행해야 합니다. 첫째, FunnelKit Funnel Builder를 3.15.0.3 이상 최신 버전으로 업데이트해야 합니다. 둘째, WordPress 관리자 화면에서 Settings > Checkout > External Scripts 영역을 확인하고 낯선 스크립트가 있으면 제거해야 합니다. 셋째, 결제 페이지에 삽입되는 외부 스크립트 목록을 정기 점검 대상으로 관리하는 것이 좋습니다.
운영 관점에서는 플러그인 자동 업데이트, 관리자 권한 최소화, 파일 무결성 점검, 결제 페이지 스크립트 변경 알림을 함께 적용하는 것이 안전합니다. 특히 쇼핑몰은 고객 신뢰와 직접 연결되므로 결제 플러그인은 기능뿐 아니라 보안 패치 속도까지 보고 선택해야 합니다.