클레이 탐슨 - 2024년 실시간 업데이트
정보유출 내역 사례 분석
기업서버에 생활 데이터 가득
주소·주문시간·품목 추론하면
제2 범죄에 악용될 우려 커져
최소 수천원 드는 마케팅 정보
전화번호 건당 2원에 가져가
관리자 정보 털리면 큰 피해
"폰 분실했는데 대신 인증 좀"
클릭 한번에 기업비밀 통째로
◆ 줄줄 새는 개인정보 ◆
"(품목: 잠옷 여자 실크슬립) (주소: 서울 강서구…) 물건은 현관 앞에 두고 가세요."
해킹당한 개인정보는 아이디,패스워드,연락처에 국한되지 않는다.중소 쇼핑 업체인 ○○○○몰의 해킹 내역을 살펴보니,생활 데이터 전부가 들어가 있다.한 여성은 주소뿐 아니라 주문 시간,주문 장소,클레이 탐슨구매 품목까지 모두 탈취당했다.주문 내역이나 주문 시간대만 보더라도 혼자 사는지,집은 몇 시에 비우는지를 충분히 추론할 수 있다.만약 범죄자가 해당 데이터를 악용할 경우 제2의 범죄로 이어질 수 있다.
3일 매일경제 취재진은 다크웹(일반적인 방법으로는 접속하거나 접근할 수 없는 인터넷 영역) 탐지 업계의 구글이라 불리는 S2W의 도움을 받아 해킹 실태를 파악했다.S2W는 전 세계 해킹 커뮤니티에 올라오는 해킹 데이터를 분석해 기업 간 거래(B2B) 서비스 플랫폼인 퀘이사와 기업과 정부 간 거래(B2G) 서비스인 자비스를 통해 기업과 군·경찰에 정보를 제공한다.
해킹은 도대체 어떤 방식으로 이뤄지는 것일까.정답은 악성 소프트웨어인 '스틸러로그(Stealer Log)'에 있었다.피해자의 컴퓨터에 침투해 해당 정보를 수집한 뒤 공격자에게 전송하는 역할을 하는 악성코드다.스틸러로그에 감염되면 인터넷 브라우저에 저장된 쿠키나 시스템 정보 파일과 문서에서 웹사이트 접근 기록,이메일,사회관계망서비스(SNS) 접속 정보부터 은행 계좌 정보,가상화폐 지갑 정보까지 탈취당하게 된다.레드라인(Redline),클레이 탐슨라쿤(Raccoon),클레이 탐슨아조룰트(Azorult),타우루스(Taurus)가 대표적이다.오재학 S2W 다크웹 분석가는 이에 대해 "일반적으로 해커가 특정 기업을 바로 공격하고 싶어도 방어벽 때문에 힘들다"면서도 "하지만 해킹 커뮤니티에 올라온 상세 데이터와 스틸러로그를 결합해 활용할 경우 충분히 가능하다"고 말했다.
해커 업계에는 3대 커뮤니티가 존재한다.미국 연방수사국(FBI)의 수사를 받고 있는 브리치포럼,해킹 도구·악성코드·취약점 정보를 공유하는 러시아인 커뮤니티인 XSS,도난된 데이터를 주로 사고파는 중국인 커뮤니티 창안부예청(長安不夜城)이다.
이들 커뮤니티는 악성 스팸뿐 아니라 데이터의 몸값을 요구하는 랜섬웨어,무차별 방해를 시도하는 디도스 공격의 발원지다.임정연 S2W 위협인텔리전스 분석가는 "기업의 내부 네트워크에 접근할 수 있는 액세스(Access),계정 정보 등을 다크웹에서 판매하는 해커를 가리켜 '이니셜 액세스 브로커(Initial Access Broker·IAB)'라 부른다"며 "해커 생태계에서 매우 중요한 역할을 하는 사이버 범죄자"라고 설명했다.만약 이들이 올린 데이터가 스팸용 데이터로만 판매된다면 운이 좋은 편에 속한다.국내에서도 인터넷만 검색하면 '개인정보를 판다'는 사이트가 수십 개씩 나온다.특히 대출 데이터베이스(DB),주식 DB,코인 DB,카지노 DB 등을 입력하면 특정 정보 페이지를 찾을 수 있을 정도다.
이런 불법 데이터 역시 이니셜 액세스 브로커가 해킹한 데이터를 근간으로 하고 있다.최근 스팸은 골칫덩어리다.한국인터넷진흥원(KISA)에 따르면,지난달 1~17일 스팸 신고 건수가 2796만건으로 전월 동기(1988만건) 대비 40.6% 급증했다.
마케팅에서는 고객획득비용(CAC)이라는 개념이 있다.한 명의 평생 회원을 획득하는 데 필요한 총비용이다.마케터들은 잠재 고객의 전화번호나 이메일을 확보하려 잠재 고객 1인당 적게는 수천 원,많게는 수십만 원을 마케팅 비용으로 집행한다.하지만 건당 2원에 불과한 불법 전화번호는 공짜나 다름없다.불법 데이터 역시 수요가 있어 판매가 되는 셈이다.
"○○님 0398 카드 신청이 완료됐습니다.신청한 고객이 아니라면 아래 주소를 클릭하기 바랍니다"와 같은 금품 탈취를 노리는 피싱(Phishing) 문자 메시지나,할인 판매를 알려오는 스팸 문자 역시 상당수가 탈취된 정보를 활용한다고 볼 수 있다.취재진이 접촉한 판매자 역시 한국인 도박 DB를 판매한다고 강조했다.판매자는 "온라인·오프라인 도박꾼들의 사용 행태를 알 수 있다"면서 "도박장을 운영하는 기업은 이 데이터를 보고 어떤 게임을 좋아하는지,얼마나 자주 도박을 하는지,얼마나 많은 돈을 쓰는지 파악할 수 있다"고 말했다.
진짜 문제는 2차 해커가 개인정보를 악용했을 때다.또 다른 해커가 관리자 정보(admin)를 찾아내면,더 큰 피해로 이어지기 쉽다.일부 2차 해커는 이니셜 액세스 브로커가 올린 수많은 데이터 가운데 특정 기업의 정보기술(IT) 관리자 정보를 샅샅이 찾아낸다.이들은 2단계 인증을 뚫기 위해 '사회공학 기법'을 연구한다.2단계 인증은 아이디,클레이 탐슨패스워드 외에 접속하는 물리적 주소가 다를 경우 휴대전화나 OTP(일회용 비밀번호)를 입력하는 것을 가리킨다.최근 생성형 인공지능(AI)이 발전하면서 사회공학 장벽을 낮추고 있다.
오재학 S2W 다크웹 분석가는 "외국에 있는 해커가 마치 공식 IT 관리 담당자인 것처럼 사칭해 동료에게 인증을 요구한다"면서 "예를 들어 '핸드폰을 분실했으니,급한데 인증을 좀 해달라'고 이메일을 보낸다"고 설명했다.문체를 자유자재로 만드는 생성형 AI는 언어의 장벽을 통째로 없애,IT 담당자들의 의구심을 거두게 만든다.하지만 동료가 인증을 하는 순간 기업 데이터가 송두리째 탈취된다.
대표적인 사례로 글로벌 해커 그룹 랩서스(Lapsus$)를 들 수 있다.랩서스는 마이크로소프트와 삼성전자의 데이터를 탈취한 해커 조직이다.특히 마이크로소프트는 랩서스에 뚫려 검색 엔진 빙과 AI 소스 코드를 탈취당하기도 했다.기업 지식재산을 송두리째 빼앗긴 것이다.이들이 쓰는 수법은 스틸러로그를 활용하는 것이다.
스팸·스캠
스팸(Spam)은 대량으로 발송되는 원치 않는 이메일 또는 문자 메시지를 가리킨다.스캠(Scam)은 금전적 이익을 취하고자 이메일,문자 메시지,전화,소셜미디어를 통해 특정인을 사칭하거나 거짓 정보를 제공하는 사기 행위를 뜻한다.
[이상덕 기자 / 김대기 기자]