무슨 일이 일어났나
2026년 3월 16일부터 Magento Open Source와 Adobe Commerce 플랫폼에서 대규모 해킹이 진행 중입니다. 보안 업체 Sansec에 따르면, 취약한 Magento 기반 온라인 쇼핑몰의 56.7%가 이미 공격을 받았습니다. 3월 19일부터는 50개 이상의 IP 주소가 동시에 자동 스캐닝에 나서면서 공격 규모가 급격히 확대됐습니다.
이 공격의 이름은 PolyShell입니다. Magento의 REST API에 존재하는 무제한 파일 업로드 결함을 이용하며, 2.4.9-alpha2까지의 모든 버전이 영향을 받습니다. 문제는 현재 정식 프로덕션 패치가 존재하지 않는다는 점입니다. Adobe는 프리릴리스 버전(APSB25-94)에서만 수정을 제공한 상태입니다.
어떻게 공격하나
PolyShell 공격은 "폴리글롯(Polyglot) 파일"이라는 기법을 활용합니다. 쉽게 말해, 겉으로는 정상적인 이미지 파일(GIF나 PNG)처럼 보이지만 안에 악성 PHP 코드가 숨어 있는 파일입니다.
공격 과정은 다음과 같습니다.
- 공격자가 Magento REST API로 장바구니 커스텀 옵션에 파일 첨부 요청을 보냅니다
- 이때 base64로 인코딩된 폴리글롯 파일을 업로드합니다
- Magento가 이 파일을
pub/media/디렉토리에 그대로 저장합니다 - 공격자가 저장된 파일의 URL로 접근하면 PHP 코드가 실행됩니다
최종적으로 설치되는 것은 PHP 웹셸입니다. 비밀번호로 보호된 원격 코드 실행(RCE) 셸이 서버에 심어지면, 공격자는 해당 쇼핑몰 서버에서 원하는 명령을 자유롭게 실행할 수 있게 됩니다. 고객 결제 정보 탈취, 악성코드 유포, 서버 자원 악용 등 모든 것이 가능해집니다.
피해 규모
| 항목 | 수치 | |------|------| | 피해율 | 취약한 Magento 쇼핑몰의 56.7% | | 공격 시작 | 2026년 3월 16일 | | 대규모 스캐닝 시작 | 2026년 3월 19일 | | 스캐닝 IP 수 | 50개 이상 | | 영향 범위 | Magento Open Source + Adobe Commerce 2.4.9-alpha2까지 전 버전 | | 패치 상태 | 프리릴리스(2.4.9)에서만 수정, 정식 프로덕션 패치 미제공 |
BleepingComputer와 Security Affairs에 따르면, 공격자들은 비밀번호로 보호된 웹셸을 설치하여 장기적인 접근 권한을 확보하고 있습니다. 한 번 웹셸이 설치되면 패치를 적용해도 백도어가 남아 있을 수 있어 추가 점검이 필수적입니다.
당장 할 수 있는 대응
Magento나 Adobe Commerce를 운영하는 쇼핑몰이라면 다음을 즉시 실행해야 합니다.
pub/media/디렉토리를 즉시 점검합니다 — 최근 업로드된 파일 중.php확장자이거나, 이미지 파일임에도 PHP 코드가 포함된 폴리글롯 파일이 있는지 확인합니다- REST API의 파일 업로드 기능을 임시로 제한합니다 — 장바구니 커스텀 옵션의 파일 첨부를 비활성화하거나, 허용 확장자를 이미지만으로 엄격히 제한합니다
- WAF(웹 애플리케이션 방화벽) 규칙을 추가합니다 — base64로 인코딩된 파일 업로드 요청 중 의심스러운 패턴을 차단하는 규칙을 설정합니다
- Adobe의 프리릴리스 패치 적용을 검토합니다 — 2.4.9 프리릴리스(APSB25-94)에 포함된 수정 사항을 테스트 환경에서 먼저 확인한 뒤 적용을 판단합니다
- 이미 침해된 서버는 웹셸 제거만으로 부족합니다 — 전체 파일 무결성 검사, 관리자 계정 비밀번호 변경, DB 내 결제 정보 유출 여부까지 점검해야 합니다
참고