다크웹 브로커들의 악질적인 개인정보 ‘재포장 사기’ 기승

낡은 유출 데이터 가져와 최신 기업 기밀로 위장

[보안뉴스 김형근 기자] 최근 다크웹 포럼과 텔레그램 채널을 중심으로 과거 유출 데이터를 최신 기밀로 위장해 판매하는 사기 수법이 급증한 것으로 조사됐다.

[출처: gettyimagesbank]

싱가포르에 본사를 둔 글로벌 보안 기업 그룹아이비(Group-IB)는 자체 조사 결과 이번 가짜 데이터 폭로 공습을 주도하는 세력은 주로 중국어권 사이버 범죄 생태계에서 활동하는 5대 대형 정보 중개상 집단인 것으로 드러났다고 밝혔다.

이들은 ‘교환 시장’(Exchange Market), ‘장안의 잠 못 드는 밤’(Chang’An Sleepless Night) 등의 다크웹 시장과 텔레그램을 기지로 삼아 매월 600건에서 1000건에 달하는 허위 매물을 쏟아내고 있다.

이들의 기만전술이 먹히는 이유는 판매 데이터가 완전히 조작된 거짓이 아니라, 과거에 실제로 유출된 합법적 개인정보 자산을 일부 포함하고 있기 때문이다.

과거 실제 해커들이 2021년 페이스북에서 훔친 이름과 2020년 이티고(Eatigo) 공습으로 유출한 암호 해시값을 악용한 수법이다. 다크웹 정보 중개상들은 이 오래된 파편들을 교묘하게 짜깁기한 뒤 가짜 데이터와 섞어 규모를 부풀렸고, 이를 최근에 탈취한 신규 기업 금융 정보로 위장해 판매했다.

그룹아이비의 보안 연구진은 중개상들이 게시한 샘플 데이터를 수거해 정밀 교차 검증을 실시했다. 그 결과 데이터 필드 내부에 여러 언어가 무작위로 혼재되어 있거나, 해당 기업의 실제 데이터베이스 규격과 전혀 일치하지 않는 명백한 모순점들을 무더기로 적발했다.

이러한 허위 공습은 방어 진영에 치명적인 보안 공백을 일으킨다. 수많은 기업 보안 팀이 가짜 알람을 수습하는 데 행정력을 허비하는 사이, 정작 실시간으로 밀고 들어오는 진짜 해킹 공격을 차단할 결정적 골든타임을 허무하게 놓치는 구조다.

그룹아이비는 기업들이 다크웹의 일방적 주장에 동요하지 말고, 제시된 샘플 데이터의 필드 구조와 내부 고객 기록의 일치 여부를 대조하는 정밀한 분석을 해야 한다고 권고했다.