Home > 전체기사
‘보안 구멍 알려주기 참 힘드네!’ 슬릭랩스의 취약점 제보 대처법
  |  입력 : 2020-02-25 17:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
핸드폰 및 액세서리 제조 전문 업체...취약점 때문에 주요 개인정보 침해돼
보안 전문가, 취약점 알리려 여러 차례 시도했으나 오히려 계정 차단당해


[보안뉴스 문가용 기자] 전화기, 컴퓨터, 각종 장비들에 대한 보호 솔루션과 액세서리를 제작하는 업체인 슬릭랩스(Slickwraps)에서 정보 침해 사고가 발생했다. 사용자 이름, 이메일 주소, 거주지 주소 등이 유출된 것으로 보이며, 비밀번호나 금융 정보는 아직까지 무사한 것으로 알려져 있다. 슬릭랩스 측은 고객들에게 비밀번호를 변경하고 피싱 이메일에 주의하라고 권고했다.

[이미지 = iclickart]


슬릭랩스는 정확한 피해 규모를 아직 파악 중에 있는 것으로 알려져 있으며, 홈페이지 공지 사항을 통해 피해 확산을 막기 위한 조치를 취하는 중이라고 발표했다. 하지만 데이터 유출 확인 서비스인 해브 아이 빈 폰드(Have I Been Pwned)를 운영하는 보안 전문가 트로이 헌트(Troy Hunt)에 의하면 “858000개의 고유 이메일 주소들이 이번 데이터 침해 사고로 인해 유출됐다”고 트위터를 통해 알렸다.

슬릭랩스는 트위터를 통해 한 개인이 이런 사실을 제보하면서 해당 사건에 대해 인지하게 되었다고 말했다. 그 개인은 2월 20일 트로이 헌트에게 연락해 유출된 데이터의 진본성을 확인하고 나서 슬릭랩스에 소식을 전달한 것으로 알려져 있다.

이 인물은 온라인에서 링스(Lynx)라는 이름으로 활동하고 있는 보안 전문가로, 현재는 삭제된 미디엄(Medium)의 게시글을 통해 “침해 사고 사실을 인지하고 슬릭랩스에 수차례 알렸으나 오히려 슬릭랩스는 나의 계정을 차단했다”고 주장했다. 링스는 트위터 계정을 통해 슬릭랩스에 연락을 취한 것으로 보인다.

링스에 의하면 “슬릭랩스의 웹사이트에는 취약점이 하나 있고, 그 취약점을 통해 서버에 접근하는 데 성공했다”고 한다. “서버에 접근함으로써 원격 코드 실행을 할 수 있게 됐고, 셸 명령어를 실행할 수 있는 상태가 됐습니다. 17GB짜리 MySQL 데이터베이스 전체를 열람할 수 있었고, 여기에는 슬릭랩스의 관리자 계정 정보, 고객 정보, 각종 서비스와 연결시켜 주는 API 크리덴셜 등이 저장되어 있었습니다.”

그 외에도 슬릭랩스라는 기업의 슬랙(Slack) 계정, 계좌 잔고, 거래 내역 등과 같은 정보에 접근하는 것에 성공했다고 링스는 주장했다. “뿐만 아니라 관리자 계정을 통해서 콘텐츠 관리 시스템에 대한 완전 통제 권한까지도 얻어냈습니다.”

링스는 트위터를 통해 2월 16일 슬릭랩스에 연락을 취했다. 자신이 이런 저런 방법으로 서버에 도달해 각종 정보에 접근할 수 있었다는 내용이었다. 여러 번 시도했지만 아무런 답장이 없었다. 그래서 txt 파일로 된 개념증명 콘텐츠를 서버에 직접 업로드하고, 이를 트위터에 게시했다. 그러자 슬릭랩스는 그의 계정을 차단했다고 한다.

“그러나 사태가 심각하다는 걸 인지했는지, 슬릭랩스는 비밀번호와 API 키들을 변경하기 시작했습니다. 조치가 취해지고 나서 3일이 지난 후 다시 한 번 취약점 익스플로잇을 시도했는데, 여전히 제가 임의로 코드를 실행할 수 있었습니다. 그래서 저는 트로이 헌트에게 연락해 데이터 침해가 일어날 수 있다고 알렸습니다.”

링스의 미디엄 게시글이 화제가 되자 다른 화이트 햇 해커들도 슬릭랩스의 서버에 접근을 시도했고, 꽤나 많은 이들이 성공했다. 그러고 나서야 슬릭랩스는 377428명의 고객들에게 정보 침해 사건과 관련된 메일을 보내기 시작했다.

또한 슬릭랩스는 해당 사건을 FBI에도 알렸다. 취약점 패치는 2월 21일자로 완료됐다고 발표하기도 했다. 모든 데이터에 대한 추가 보안 조치도 취한 상태이며, 이 사건에 대한 보다 깊은 내용을 알기 위해 아직 수사를 진행 중이다. 링스의 “제보한 날 오히려 차단했다”는 주장에 대한 반박은 없는 상태다.

3줄 요약
1. 컴퓨터 및 모바일 액세서리 전문 업체 슬릭랩스에서 데이터 침해 발생.
2. 한 보안 전문가, 웹사이트 취약점 통해 서버에 접근한 뒤 이 사실을 회사에 알림.
3. 하지만 슬릭랩스는 오히려 해당 전문가를 차단.
4. 이에 게시글 올리자 해커들 몰려들어 서버에 접근. 그제야 슬릭랩스는 조치 시작.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)