[아이티데일리] 다크웹을 통한 정보 유출이 심각해지고 있다. 최근 ‘클롭(CL0P) 랜섬웨어 조직’은 이랜드 그룹의 고객 카드정보 약 200만 건을 탈취했다고 주장하며, 대가를 지불하지 않는다면 해당 정보를 공개하겠다고 협박했다. 지난해 5월에는 인테리어 플랫폼 ‘집꾸미기’가 사이버 공격을 받아 약 200만 건의 고객정보가 유출된 사례도 있다. ‘집꾸미기’를 공격한 해커는 탈취한 정보를 다크웹을 통해 유통한 것으로 알려졌다.

이렇게 다크웹을 통해 유출 및 유통되는 정보는 사이버 공격에 활용될 수 있다. 최근 사이버 공격 트렌드를 살펴보면, 다크웹에서 유통되는 정보를 피싱 및 스미싱 공격, 크리덴셜 스터핑 공격 등에 활용하는 추세가 두드러지고 있다. 보안 업계 관계자들은 “최근 사이버 위협 트렌드는 다크웹에서 정보를 구매해 공격에 활용하는 방법이 늘어나고 있다. 기업 시스템의 취약점, 개인정보 등 정보를 구매·활용하면서 공격 난이도를 낮추고 있는 것”이라고 설명했다. 특히 유출된 계정정보를 활용하는 크리덴셜 스터핑 공격은 주요 사이버 위협 트렌드로 자리잡고 있다.

국내에서도 해외 불법 커뮤니티 사이트 접근 가능

‘다크웹(Dark Web)’이 사회적 이슈로 떠오르고 있다. 최근 이랜드 그룹 랜섬웨어 공격 사례에서도 ‘클롭 랜섬웨어 조직’이 대가를 지불하지 않을 경우 다크웹을 통해 탈취한 고객 카드 정보를 공개하겠다고 협박한 바 있다. 지난해 주요 사회적 이슈 중 하나였던 ‘n번방’ 사건은 다크웹을 통해 유통되는 성착취물에 대한 심각성을 시사하기도 했다.

다크웹은 접속하기 위해 특정 프로그램을 사용해야 하는 웹을 의미한다. 다크웹이라는 용어는 2013년 미국 FBI가 온라인 마약거래 웹사이트 ‘실크로드’를 적발하면서 사용되기 시작했다. 다크웹은 철저한 익명화를 특징으로 하고 있어, 사이버 범죄의 온상이 되고 있다.

‘토르(TOR)’와 같이 특수한 웹 브라우저를 사용해야만 접근할 수 있어, 일반 사용자가 다크웹에 접속하기는 쉽지 않다. ‘토르’ 브라우저는 익명성을 강화하기 위해 가상 컴퓨터와 네트워크를 여러 차례 경유, 인터넷 접속 흔적을 추적하지 못하게 하는 토르 네트워크를 기반으로 동작한다.

2019년 기준 국내 다크웹 접속자는 하루 평균 15,000명, 전 세계적으로 290만 명으로 추정된다. 다크웹 중 51%가 범죄 관련 사이트로 분석됐으며, 이 사이트들은 추적이 어려운 암호화폐를 이용해 경제·사회적인 피해를 유발하고 있는 것으로 나타났다.

이번 취재 과정에서 국내에서도 해외 불법 커뮤니티 사이트에 접근이 가능한 것으로 확인됐다. 러시아어로 운영되는 한 사이트에서는 시스템 취약점뿐만 아니라, 랜섬웨어, 개인정보 등의 거래 글이 올라오고 있는 정황을 확인할 수 있었다.

해당 사이트 접속을 시연한 한승연 리니어리티 대표는 “이 사이트의 경우, 구글 크롬 및 MS 에지 등 흔히 사용하는 웹 브라우저에서도 접근이 가능하다. 커뮤니티에 들어가보면, 취약점 및 랜섬웨어 거래 글 등을 확인할 수 있다. 또한 이 사이트에서는 다크웹 커뮤니티에 접근할 수 있는 방법도 제공하고 있다”고 설명했다.

한 대표는 이어 “다크웹에서 운영되는 사이버 범죄 관련 커뮤니티들을 살펴보면, 커뮤니티 활동을 활발하게 할수록 접근할 수 있는 사이트가 늘어난다. 중고 거래 사이트에서 거래내역을 쌓으면 신뢰도가 올라가는 것과 비슷하다”고 말했다.

국내 개인정보 유출 심각

다크웹을 통해 개인정보가 유출된 사례를 살펴보면, 랜섬웨어 공격 조직들이 몸값을 지불받기 위한 수단으로 탈취한 정보를 공개하는 경우가 있다. 랜섬웨어로 진행하는 협상이 결렬될 경우에 데이터를 유출해, 금전적인 이득을 챙기거나 피해 기업의 추가적인 피해를 유발한다. 최근 26개의 랜섬웨어 공격 조직이 전 세계 1,500여개 기업의 내부 데이터를 다크웹에 공개한 바 있다.

국내에서 발생한 랜섬웨어 조직의 다크웹 정보 유출 사례를 살펴보면 ▲메이즈(MAZE) 랜섬웨어 그룹의 정보유출 협박 사례 ▲클롭 랜섬웨어 그룹의 이랜드 그룹 공격 사례 등이 대표적이다.

더불어 해킹을 통해 정보를 탈취, 다크웹 포럼에 공개하는 경우도 있었다. 인테리어 플랫폼 앱에서 개인정보 200만 건이 유출된 사건과 여행기 공유 앱에서 개인정보가 17만 건 유출된 사건 등을 예로 들 수 있다.

지난해 5월 인테리어 플랫폼이 사이버 공격을 받아 고객정보 200만 건이 유출됐다. 유출된 고객정보는 다크웹을 통해 유통된 것으로 알려졌다. 해킹을 통해 유출된 정보는 고객 이름, 아이디, 이메일, 주소, 전화번호 등 회원가입 시 기입하는 정보다. 블리핑컴퓨터 등 외신에 따르면 인테리어 플랫폼을 포함한 11개 업체에서 유출된 개인정보 7,320만 건이 다크웹 마켓에 매물로 올라왔다. ‘샤이니 헌터스’로 알려진 해킹조직은 인테리어 플랫폼에서 탈취한 개인정보 200만 건을 1,300달러에 판매하기 위해 홍보한 것으로 알려졌다.

<관련 뉴스> 이랜드 그룹, 랜섬웨어 공격으로 카드정보 200만 건 유출

지난해 11월 22일 이랜드 그룹이 랜섬웨어 공격을 받아 엔씨(NC)백화점 등 오프라인 영업점 절반 가량이 휴점하거나 부분 영업을 하는 피해가 발생했다. 클롭 랜섬웨어 조직은 이번 랜섬웨어 공격으로 200만 건의 신용카드 정보를 탈취했다고 밝히며, 4,000만 달러의 비용을 지불하지 않으면 정보를 공개하겠다고 협박한 것으로 알려졌다.

이랜드 그룹에 따르면 22일 새벽 사내 네트워크 시스템을 대상으로 한 랜섬웨어 공격이 발생했으며, 복구작업에 차질이 생겨 오프라인 영업점 운영에 차질이 생겼다. 특히 랜섬웨어에 감염된 시스템이 일부 매장의 포스(POS) 단말기 등과 연동돼 영향을 미친 것으로 분석됐다.

이랜드 그룹은 공식 발표문을 통해 “민감한 데이터는 암호화돼 별도 서버에 저장, 안전한 상태”라고 설명했다. 하지만 클롭 랜섬웨어 운영자들은 약 1년 전부터 이랜드 그룹 네트워크에 침투했으며, POS 단말기에 멀웨어를 심어 신용카드 정보를 탈취하고 있었다고 주장했다.

클롭 랜섬웨어 조직은 이번 랜섬웨어 공격으로 200만 건의 신용카드 정보를 탈취했다고 밝히며, 4,000만 달러의 비용을 지불하지 않으면 정보를 공개하겠다고 협박했다. 이랜드 그룹이 강경 대응 의지를 내비치자, 클롭 랜섬웨어 조직은 예고했던 대로 지난 12월 3일부터 신용카드 정보를 다크웹에 공개하고 있다. 현재까지 약 100만 개의 정보가 다크웹에 올라와 있는 상태다. 심지어 신용카드 정보 거래 다크웹에 최근 신용카드 정보가 판매되고 있어, 클롭 랜섬웨어 조직이 다크웹에 탈취한 카드 정보를 판매하고 있다는 추측도 나오고 있는 상황이다.

금융당국은 해당 정보가 실제 신용카드 정보인지 수사에 나서고 있다. 탈취된 카드 정보는 마그네틱 정보로 분석됐다. 비밀번호나 온라인 결제를 위한 CVV(CVC) 정보 등은 포함돼 있지 않고 오프라인 결제도 대부분 IC카드 단말기 이용이 의무화돼 있어, 카드 부정 사용은 어려울 것으로 보인다.

최정수 라온화이트햇 핵심연구팀장은 “이번 이랜드 사건에서 클롭 랜섬웨어 조직이 탈취, 공개한 정보는 마그네틱 카드 정보로 분석됐다. 라온화이트햇은 이번에 유출된 정보와 비슷한 양식의 카드정보 샘플을 만들어, 유출된 카드정보 양식으로 카드를 복제할 수 있는지 실험해봤다. 그 결과, 결제까지 가능한 것을 확인했다. 이는 정보 유출 사례가 심각한 상황임을 시사한다고 볼 수 있다”고 설명했다.

사례를 통해 살펴볼 수 있듯이 정보유출을 위한 사이버 위협은 지속되고 있으며, 공격자들은 탈취한 개인정보를 다크웹을 통해 유통하고 있다. 지난 2019년 한 해 동안 약 1,008만여 건의 한국인 개인정보가 다크웹에 유출된 것으로 추정된다. 지난해 역시 2019년과 유사한 규모의 개인정보 유출이 있었을 것으로 추측되고 있다.

암호화폐 등장 등으로 사이버 공격 트렌드 변화

다크웹이 사이버 범죄의 온상이 된 이유를 살펴보면, 암호화폐의 등장과 연관이 깊다. 암호화폐가 사이버 범죄와 금전적인 이익을 연결하는 ‘가교’ 역할을 하면서, 사이버 공격자들은 ‘금전적인 이득’을 목적으로 본격적인 사이버 공격 활동에 나서고 있다. 이러한 트렌드는 다크웹의 특징인 ‘익명성’과 맞물려 시너지 효과를 내고 있다.

최정수 라온화이트햇 핵심연구팀장은 “암호화폐의 등장 이후, 사이버 공격자들이 금전적인 이득을 취하기 쉬워졌다. 비트코인 등 암호화폐는 추적이 가능한 것으로 알려져 있지만, 사이버 공격자들은 ‘믹싱’이라는 세탁 과정을 통하기 때문에 추적하기 어려운 상황이다. 사이버 공격자들이 다크웹과 암호화폐의 ‘익명성’을 악용해 금전적인 이득을 취하는 것이 최근 사이버 위협 트렌드라고 볼 수 있다”고 강조했다.

문제는 암호화폐와 다크웹을 기반으로 위협 트렌드가 변화하고 있다는 것이다. 이전의 사이버 위협 트렌드는 해커들이 기업에 침투하기 위해 임직원들을 대상으로 해킹 메일을 발송해 계정정보를 탈취하거나 악성코드를 심어 기업의 핵심 시스템에 접근하기 위한 교두보를 마련하는 것이 일반적이었다.

하지만 최근에는 다크웹에서 유통되고 있는 유출된 정보를 활용해 사이버 공격의 난이도를 낮추고 있다. 다크웹에서 구한 계정정보로 손쉽게 로그인, 기업 내부에 접근할 수 있다 보니 공격자들 입장에서는 수고를 덜게 되는 것이다. 기업의 입장에서는 권한이 있는 계정이 로그인하는 것이기 때문에 해킹 공격에 대응하기 더욱 어렵다.

또한 다크웹에서 구매한 개인정보를 바탕으로 APT공격도 우려되는 상황이다. 최정수 팀장은 “예를 들어, 공격자들이 다크웹에서 항공권 예약 사이트에서 유출된 개인정보를 구매했다면 유출된 사용자를 타깃으로 ‘최저가 항공권 안내’ 등의 사회공학적 기법을 활용할 수 있다”고 설명했다.

최근 사이버 공격이 진행되는 과정을 살펴보면, 주로 해커들은 SQL 인젝션 등과 같은 다양한 해킹 기법으로 기업 내부 정보를 탈취한다. 그리고 이러한 정보를 모아 다크웹 거래 포럼에서 암호화폐와 거래한다. 가치가 떨어지는 정보는 다크웹에 무료로 오픈해 공유하는 경우도 있다.

또 다른 해커들은 다크웹에 유통되는 정보를 토대로 기업 및 개인을 협박하거나, 계정정보를 바탕으로 기업에 침투해 또 다른 정보를 탈취하게 된다. 이렇게 빼낸 정보를 갖고 기업을 협박하거나 다시 다크웹에 판매해 수익을 얻는 것이다. 최상명 NSHC 수석은 “이러한 과정을 반복, 악순환되면서 사이버 범죄 시장의 규모가 점차 커져가고 있다”고 강조했다.

다크웹 정보 기반 크리덴셜 스터핑 공격 활발

다크웹에서 유통되는 계정정보를 토대로 다른 사이트 계정을 해킹하는 무차별 대입 공격(크리덴셜 스터핑, Credential Stuffing)도 주요 사이버 위협 트렌드가 되고 있다. 대부분의 인터넷 사용자는 ID와 패스워드를 비슷하게 설정해놓고 있다. 쉽게 기억하기 위해서다. 사이버 공격자들은 이러한 점을 악용, 다크웹을 통해 구한 계정정보를 활용해 무차별 대입 공격을 진행하고 있다.

크리덴셜 스터핑 공격을 분석하고 있는 아카마이에 따르면, 2018년 1월부터 2019년 12월까지 2년간 약 880억 건의 공격이 탐지됐다. 특히 코로나19 팬데믹으로 인한 사회적 거리두기가 전 세계적으로 시행됨에 따라, 크리덴셜 스터핑 공격도 늘어나고 있는 것으로 추정되고 있다. 한 서비스 기업의 경우 24시간이 넘는 시간동안 약 3억 5천만 건에 이르는 악성 로그인 시도가 탐지된 사례도 있다.

크리덴셜 스터핑 공격은 누구나 타깃이 될 수 있다. 실제 다크웹에서 다양한 계정정보가 유통되는 것을 확인할 수 있다. 한승연 리니어리티 대표의 도움으로 본지에서 사용하고 있는 이메일 계정 정보가 유통되고 있는지 조회해 본 결과, 20건 가량의 정보가 유출된 것으로 나타났다. 이메일 도메인을 사용하고 있는 사용자가 한정적이라는 것을 감안했을 때, 적지 않은 비중이다.

한승연 리니어리티 대표는 “네이버, 다음 등 국내 이용자가 많은 도메인을 대상으로 조사해본다면, 유출된 정보는 매우 많을 것으로 추정된다. 일반 사용자들이 주로 사용하는 도메인뿐만 아니라 기관, 기업의 이메일 도메인 계정도 많이 유통되고 있다”고 설명했다.

최정수 라온화이트햇 핵심연구팀장은 “크리덴셜 스터핑 공격도 심각한 상황이다. 다크웹에서 DB를 구매한 공격자의 주된 목적 중 하나가 크리덴셜 스터핑 공격이다. 대부분의 사용자들이 ID와 비밀번호를 비슷하게 사용하기 때문에, 탈취된 계정정보로 2차 피해가 발생할 가능성이 높다”고 강조했다.

국내에서는 개인정보보호법 등에서 비밀번호를 평문으로 저장하지 못하게 돼 있다. DB에는 해시로 저장된다. 때문에 유출되는 개인정보는 ID와 해시로 치환된 비밀번호다. 하지만 해시는 레인보우 테이블(Rainbow Table) 등을 통해 평문으로 다시 치환할 수 있다. 레인보우 테이블은 해시 함수를 사용해 변환 가능한 모든 해시 값을 저장시켜 놓은 표로, 공격자들은 이를 활용해 해시로 변경된 비밀번호를 평문으로 다시 바꾼다. 실제 본지 이메일 도메인 중 유출된 정보 20건 중 절반 이상이 평문 비밀번호로 조회됐다. 해시로 저장된다고 해서 안전하지 않은 것이다.