“女잠옷, 물건은 현관앞”…여자 혼자 사는지·언제 집 비우는지, 민감정보 다 넘어갔다

매경, 다크웹 해킹 실태 파악
기업서버에 생활 데이터 가득
주소·주문시간·품목 추론하면
제2 범죄에 악용될 우려 커져
관리자 정보 털리면 큰 피해
“폰 분실했는데 대신 인증 좀”
클릭 한번에 기업비밀 통째로

[사진 출처 = 픽사베이]

“(품목: 잠옷 여자 실크슬립)(주소: 서울 강서구...) 물건은 현관 앞에 두고 가세요.”

해킹 당한 개인정보는 단순히 아이디 패스워드 연락처에 국한되지 않는다. 중소 쇼핑 업체인 ○○○○몰의 해킹 내역을 살펴보니, 사실상 생활 데이터 전부가 들어가 있다. 한 여성은 주소 뿐 아니라 주문시간, 주문 장소, 구매 품목까지 모두 탈취당했다. 주문 내역이나 주문 시간대만 보더라도, 혼자 사는지 아니면 가족과 사는지, 집은 몇시에 비우는지를 충분히 추론할 수 있다. 만약 범죄자가 해당 데이터를 악용할 경우 제2의 범죄로 이어질 수 있는 장면이다.

3일 매일경제 취재진은 다크웹(일반적인 방법으로는 접속하거나 접근할 수 없는 인터넷 영역) 탐지업계의 구글이라고 불리는 에스투더블유(S2W)에 도움을 받아, 해킹 실태를 파악했다. S2W는 전 세계 해킹 커뮤니티에 올라오는 해킹 데이터를 분석해, B2B(기업간 기업)서비스 플랫폼인 퀘이사와 기업간 정부(B2G) 서비스인 자비스를 통해 기업과 군·경찰에 통찰력을 제공하고 있다.

도대체 어떤 방식으로 해킹이 이뤄지는 것일까. 정답은 악성 소프트웨어인 ‘스틸러로그(Stealer Log)’에 있었다. 스틸러로그는 피해자의 컴퓨터에 침투해 해당 정보를 수집한 뒤 공격자에게 전송하는 역할을 하는 악성 코드를 가리킨다. 스틸러로그에 감염되면 인터넷 브라우저에 저장된 쿠키나 시스템 정보 파일과 문서에서 웹사이트 접근 기록, 이메일, 소셜 미디어 접속 정보부터 은행 계좌 정보, 암호화폐 지갑 정보까지 탈취한다. 레드라인(Redline), 라쿤(Raccoon), 아조룰트(Azorult), 타우루스(Taurus)가 대표적인 스틸러로그다.

오재학 S2W 다크웹 분석가는 이에 대해 “일반적으로 해커가 특정 기업을 바로 공격하고 싶어도 방어벽 때문에 힘들다”면서도 “하지만 해킹 커뮤니티에 올라온 상세 데이터와 스틸러 로그를 결합해 활용할 경우 충분히 가능하다”고 말했다.

본지 기자와 개인정보 판매자 간 대화 내용 번역 중 일부. 판매자는 데이터의 출처에 대해 “파트너 웹사이트에서 가지고 온다”고 밝혀, 해커 커뮤니티에서 한국인 정보를 구매했다는 것을 암시하고 있다.

해커 업계에는 3대 커뮤니티가 존재한다. 미국 연방수사국(FBI)의 수사를 받고 있는 브리치포럼, 해킹 도구·악성코드·취약점 정보를 공유하는 러시아인 커뮤니티인 XSS, 도난된 데이터를 주로 사고 파는 중국인 커뮤니티 창안부예청(长安不夜城)이 대표적이다.

이들 커뮤니티는 악성 스팸 뿐 아니라 데이터 몸값을 요구하는 랜섬웨어, 무차별 방해를 시도하는 디도스 공격의 발원지다. 임정연 S2W 위협인텔리전스 분석가는 “기업의 내부 네트워크에 접근할 수 있는 액세스(Access), 계정 정보 등을 다크웹에서 판매하는 해커를 가리켜 ‘이니셜 액세스 브로커(Initial Access Broker·IAB)’라고 부른다” 며 “해커 생태계에서 매우 중요한 역할을 하는 사이버 범죄자”라고 설명했다.

만약 이들이 올린 데이터가 스팸용 데이터로만 판매되기만 한다면 운이 좋은 편에 속한다. 국내에서도 인터넷만 검색만 하면 ‘개인정보를 판다’는 사이트가 수십개씩 나온다. 특히 대출DB, 주식DB, 코인DB, 카지노DB 등을 입력하면 특정 정보 페이지를 찾을 수 있을 정도다.

이런 불법 데이터 역시 이니셜 액세스 브로커가 해킹한 데이터를 근간으로 하고 있다. 최근 스팸은 골치덩어리다. 한국인터넷진흥원(KISA)에 따르면, 지난달 1~17일 스팸 신고 건수가 2796만건으로 전월 동기(1988만건) 대비 40.6% 급증했다.

마케팅에서는 고객획득비용(CAC)이라는 개념이 있다. 한 명의 평생 회원을 획득하는데 필요한 총비용이다. 마케터들은 잠재고객 전화번호나 이메일을 확보하려고 잠재고객 1인당 적게는 수천원 많게는 수십만원을 마케팅 비용으로 집행한다. 하지만 건당 2원에 불과한 불법 전화번호는 공짜나 다름없다. 불법 데이터 역시 스팸에 대한 수요가 있어 판매가 되는 셈이다.

[사진 = 연합뉴스]

“○○님 0398 카드 신청이 완료됐습니다. 신청한 고객이 아니시면 아래 주소를 클릭하시기를 바랍니다”와 같은 금품 탈취를 노리는 피싱(Phishing) 문자메시지나, 할인 판매를 알려오는 스팸 문자 역시 상당수가 탈취된 정보를 활용한다고 볼 수 있다. 취재진이 접촉한 판매자 역시 한국인 도박DB를 판매한다고 강조했다. 판매자는 “온라인·오프라인 도박꾼들의 사용행태를 알 수 있다”면서 “도박장을 운영하는 기업은 이 데이터를 보고 어떤 게임을 좋아하는지, 얼마나 자주 도박을 하는지, 얼마나 많은 돈을 쓰는지 파악이 가능하다”고 말했다.

[사진 = 픽사베이]

진짜 문제는 2차 해커가 개인정보를 악용했을 때다.

또 다른 해커가 관리자 정보(admin)를 찾아내면, 더 큰 피해로 이어지기 일쑤다. 일부 2차 해커는 이니셜 액세스 브로커가 올린 수많은 데이터 가운데 특정 기업의 개인정보(IT) 관리자 정보를 샅샅이 찾아낸다. 이들은 2단계 인증을 뚫기 위해 ‘사회공학 기법’을 연구한다. 2단계 인증은 아이디 패스워드 외에 접속하는 물리적 주소가 다를 경우 휴대전화나 OTP(일회용 비밀번호)를 입력하는 것을 가리킨다. 최근 생성형 인공지능(AI)이 발전하면서 사회공학 장벽을 낮추고 있다.

오재학 S2W 다크웹 분석가는 “외국에 있는 해커가 마치 공식 IT 관리 담당자인것처럼 사칭해 동료에게 인증을 요구한다”면서 “예를 들어 ‘핸드폰을 분실했으니, 급한데 인증 좀 해달라’고 이메일을 보낸다”고 설명했다. 문체를 자유자재로 만드는 생성형AI는 언어의 장벽을 통째로 없애, IT 담당자들의 의구심을 거두게 만드는 것이다. 하지만 동료가 인증을 하는 순간 기업 데이터가 송두리째 탈취된다.

대표적인 사례가 글로벌 해커 그룹 랩서스(Lapsus$)다. 랩서스는 마이크로소프트와 삼성전자 데이터를 탈취한 해커 조직이다. 특히 마이크로소프트는 랩서스에 뚫려 검색 엔진 빙과 AI 소스 코드를 탈취당하기도 했다. 기업 지식재산이 송두리째 빼앗긴 것이다. 이들이 쓰는 수법은 스틸러로그를 활용하는 것이다. 시스템에 접근한 뒤 사회공학 기법을 써서 서서히 더 높은 권한 계정을 확보해 나가는 방식이다.

■ 용어 설명 ▶ 스팸(Spam) : 스팸은 대량으로 발송되는 원치 않는 이메일 또는 문자 메시지를 가리킨다. ▶ 스캠(Scam) : 스캠은 금전적 이익을 취하고자 이메일, 문자메시지, 전화, 소셜미디어를 통해 특정인을 사칭하거나 거짓 정보를 제공하는 사기 행위를 뜻한다.