Home > 전체기사

뉴트리불렛 웹사이트에서 한 달 동안 벌어진 치열한 공방

  |  입력 : 2020-03-19 10:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
메이지카트의 카드 스키머, 리스크IQ가 먼저 발견해 뉴트리불렛에 알렸지만
한 달 동안 반응 없던 뉴트리불렛...리스크IQ와 메이지카트는 계속 공방 벌여


[보안뉴스 문가용 기자] 블렌더 생산 업체인 뉴트리불렛(NutriBullet)이 자사 웹사이트에서 악성 코드를 발견해 제거했다고 발표했다. 이 악성 코드를 통해 공격자들은 고객들의 지불카드 정보를 훔쳐냈던 것으로 보인다.

[이미지 = iclickart]


회사 측의 공식 발표가 있기 한 달 전 보안 업체 리스크IQ(RiskIQ)는 뉴트리불렛의 웹사이트에서 멀웨어를 탐지해낸 바 있다. 그리고 그 사실을 뉴트리불렛 측에 금방 알린 것으로 보인다. 리스크IQ 측은 여러 번 연락을 취했지만 뉴트리불렛이 아무런 답변을 보내지 않았고 한 달이 지난 오늘에서야 갑자기 멀웨어를 삭제했다는 발표를 했다고 주장했다.

연락이 닿지 않자 리스크IQ는 멀웨어 제거를 위해 활동하는 비영리 단체인 셰도우서버(ShadowServer)와 어뷰즈(Abuse.ch)와 함께 공격자들이 악성 코드를 통해 훔친 정보를 저장해 두는 도메인을 처리했다. 이 작전으로 뉴트리불렛에 있던 카드 스키머도 3월 1일에 사라졌으나, 3월 5일 공격자들은 새 스키머를 주입했다.

리스크IQ는 다시 한 번 공격자들의 데이터 저장용 도메인을 차단시켰고, 새 스키머도 사라졌다. 공격자들은 기죽지 않았다. 새 스키머를 다시 한 번 뉴트리불렛 웹사이트에 삽입한 것이다. 이렇게 공격자들이 계속해서 스키머를 주입할 수 있었던 건, 뉴트리불렛 내부 인프라에 접근할 수 있었기 때문이라고 리스크IQ는 결론을 내렸다. 또한 보고서를 통해 2월 20일부터 현재까지 뉴트리불렛 웹사이트에서 결재를 진행한 고객들은 전부 영향을 받았을 가능성이 높다고 밝혔다.

뉴트리불렛 측은 리스크IQ로부터 이러한 소식을 처음 듣자마자 행동을 취했다고 주장하는데, 그 날짜가 3월 17일이다. 거짓말이 아니라면 리스크IQ가 여러 차례 취했던 연락을 그 동안 아무도 받지 못했다는 뜻이다. 이는 외부로부터 취약점 제보를 받는 채널에 문제가 있다는 뜻도 된다. 그러나 뉴트리불렛은 이러한 부분에 대해 아무런 언급 없이 “내부 IT 전문가들이 문제를 재빨리 파악해 없앴다”고만 발표했다.

뉴트리불렛에 스키머 코드를 반복적으로 삽입한 건 유명한 전자상거래 공격 단체인 메이지카트(Magecart)다. 메이지카트는 여러 사이버 범죄 조직들이 만들어낸 거대 단체로, 각 조직은 각자의 특장점을 살린 공격을 하지만, 카드 스키머라는 걸 심어 주요 정보를 빼돌린다는 점에서 공통점을 가지고 있다. 카드 스키머란, 온라인 거래 기능이 있는 웹사이트에 심기는 멀웨어로, 사용자가 입력하는 카드 정보를 빼돌리는 기능을 발휘한다.

리스크IQ의 위협 분석가인 요나단 클린스마(Yonathan Klijnsma)는 “메이지카트라는 단체 아래 소속된 조직들은, 서로 다른 방식으로 공격을 하기 때문에 대응이 힘들다”고 말한다. “물론 마지막에는 스키머를 심는 것으로 끝나지만, 거기까지 도달하는 방법이 제각각이죠. 현재까지는 ‘모든 수단과 방법을 동원한다’ 외에는 표현할 말이 없습니다.”

클린스마는 2014년부터 메이지카트를 추적해왔다. 그런 경험이 축적되어 왔기 때문에 그나마 메이지카트의 공격을 비교적 빠르게 적발할 수 있다고 한다. “그렇더라도 뉴트리불렛에서 얼마나 많은 사람들이 피해를 입었는지는 알 수가 없습니다. 그래서 특정 기간 동안 거래를 진행한 모든 사람이 잠재적 피해자라고 하는 겁니다.”

보안 업체 트립와이어(Tripwire)의 수석 보안 연구 책임자인 라마 베일리(Lamar Bailey)는 “보안과 관련된 외부 제보에 대한 채널이 공식적으로 마련되어 있지 않다면, 소통이 제대로 이뤄질 수가 없다”고 말한다. “일반 대중을 상대로 직접 거래를 하는 기업이라면, 보안 관련 제보 채널을 확보하는 게 최소한의 책임이라고 생각합니다.”

3줄 요약
1. 블렌더 제조사 뉴트리불렛의 웹사이트에 메이지카트가 침투.
2. 이를 발견한 보안 업체와 메이지카트는 뉴트리불렛 사이트에서 치열한 공방을 벌임.
3. 정작 뉴트리불렛 사는 한 달 동안 이를 모르고 있다가 이제야 나서기 시작.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화