Home > 전체기사
뉴트리불렛 웹사이트에서 한 달 동안 벌어진 치열한 공방
  |  입력 : 2020-03-19 10:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
메이지카트의 카드 스키머, 리스크IQ가 먼저 발견해 뉴트리불렛에 알렸지만
한 달 동안 반응 없던 뉴트리불렛...리스크IQ와 메이지카트는 계속 공방 벌여


[보안뉴스 문가용 기자] 블렌더 생산 업체인 뉴트리불렛(NutriBullet)이 자사 웹사이트에서 악성 코드를 발견해 제거했다고 발표했다. 이 악성 코드를 통해 공격자들은 고객들의 지불카드 정보를 훔쳐냈던 것으로 보인다.

[이미지 = iclickart]


회사 측의 공식 발표가 있기 한 달 전 보안 업체 리스크IQ(RiskIQ)는 뉴트리불렛의 웹사이트에서 멀웨어를 탐지해낸 바 있다. 그리고 그 사실을 뉴트리불렛 측에 금방 알린 것으로 보인다. 리스크IQ 측은 여러 번 연락을 취했지만 뉴트리불렛이 아무런 답변을 보내지 않았고 한 달이 지난 오늘에서야 갑자기 멀웨어를 삭제했다는 발표를 했다고 주장했다.

연락이 닿지 않자 리스크IQ는 멀웨어 제거를 위해 활동하는 비영리 단체인 셰도우서버(ShadowServer)와 어뷰즈(Abuse.ch)와 함께 공격자들이 악성 코드를 통해 훔친 정보를 저장해 두는 도메인을 처리했다. 이 작전으로 뉴트리불렛에 있던 카드 스키머도 3월 1일에 사라졌으나, 3월 5일 공격자들은 새 스키머를 주입했다.

리스크IQ는 다시 한 번 공격자들의 데이터 저장용 도메인을 차단시켰고, 새 스키머도 사라졌다. 공격자들은 기죽지 않았다. 새 스키머를 다시 한 번 뉴트리불렛 웹사이트에 삽입한 것이다. 이렇게 공격자들이 계속해서 스키머를 주입할 수 있었던 건, 뉴트리불렛 내부 인프라에 접근할 수 있었기 때문이라고 리스크IQ는 결론을 내렸다. 또한 보고서를 통해 2월 20일부터 현재까지 뉴트리불렛 웹사이트에서 결재를 진행한 고객들은 전부 영향을 받았을 가능성이 높다고 밝혔다.

뉴트리불렛 측은 리스크IQ로부터 이러한 소식을 처음 듣자마자 행동을 취했다고 주장하는데, 그 날짜가 3월 17일이다. 거짓말이 아니라면 리스크IQ가 여러 차례 취했던 연락을 그 동안 아무도 받지 못했다는 뜻이다. 이는 외부로부터 취약점 제보를 받는 채널에 문제가 있다는 뜻도 된다. 그러나 뉴트리불렛은 이러한 부분에 대해 아무런 언급 없이 “내부 IT 전문가들이 문제를 재빨리 파악해 없앴다”고만 발표했다.

뉴트리불렛에 스키머 코드를 반복적으로 삽입한 건 유명한 전자상거래 공격 단체인 메이지카트(Magecart)다. 메이지카트는 여러 사이버 범죄 조직들이 만들어낸 거대 단체로, 각 조직은 각자의 특장점을 살린 공격을 하지만, 카드 스키머라는 걸 심어 주요 정보를 빼돌린다는 점에서 공통점을 가지고 있다. 카드 스키머란, 온라인 거래 기능이 있는 웹사이트에 심기는 멀웨어로, 사용자가 입력하는 카드 정보를 빼돌리는 기능을 발휘한다.

리스크IQ의 위협 분석가인 요나단 클린스마(Yonathan Klijnsma)는 “메이지카트라는 단체 아래 소속된 조직들은, 서로 다른 방식으로 공격을 하기 때문에 대응이 힘들다”고 말한다. “물론 마지막에는 스키머를 심는 것으로 끝나지만, 거기까지 도달하는 방법이 제각각이죠. 현재까지는 ‘모든 수단과 방법을 동원한다’ 외에는 표현할 말이 없습니다.”

클린스마는 2014년부터 메이지카트를 추적해왔다. 그런 경험이 축적되어 왔기 때문에 그나마 메이지카트의 공격을 비교적 빠르게 적발할 수 있다고 한다. “그렇더라도 뉴트리불렛에서 얼마나 많은 사람들이 피해를 입었는지는 알 수가 없습니다. 그래서 특정 기간 동안 거래를 진행한 모든 사람이 잠재적 피해자라고 하는 겁니다.”

보안 업체 트립와이어(Tripwire)의 수석 보안 연구 책임자인 라마 베일리(Lamar Bailey)는 “보안과 관련된 외부 제보에 대한 채널이 공식적으로 마련되어 있지 않다면, 소통이 제대로 이뤄질 수가 없다”고 말한다. “일반 대중을 상대로 직접 거래를 하는 기업이라면, 보안 관련 제보 채널을 확보하는 게 최소한의 책임이라고 생각합니다.”

3줄 요약
1. 블렌더 제조사 뉴트리불렛의 웹사이트에 메이지카트가 침투.
2. 이를 발견한 보안 업체와 메이지카트는 뉴트리불렛 사이트에서 치열한 공방을 벌임.
3. 정작 뉴트리불렛 사는 한 달 동안 이를 모르고 있다가 이제야 나서기 시작.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)