거래 현황 추적 통해 사닉스라는 용의자가 우크라이나에서 체포돼...덤프 7개 더 찾아내
[보안뉴스 문가용 기자] 다크웹에서 ‘컬렉션 1(Collection 1)’이라는 데이터 덤프에서 수많은 크리덴셜 정보를 추출해 판매했던 해커가 우크라이나에서 체포됐다고 우크라이나보안청(Security Service of Ukraine, SSU)이 발표했다.
[이미지 = iclickart]
사닉스(Sanix)라는 이름으로 활동하던 이 용의자는 약 7억 7300만 건의 이메일 주소와 2100만 건의 비밀번호를 작년부터 거래해온 혐의를 받고 있다. 이런 어마어마한 양의 주소가 담겼던 데이터 덤프가 바로 컬렉션 1이다.
‘컬렉션 1’은 2019년 1월 17일 다크웹의 인기 해킹 포럼에 홀연히 등장한 이메일 주소 데이터베이스다. 보안 전문가 트로이 헌트(Troy Hunt)가 이를 확보해 분석했고, 중복 자료를 제거하고 계수한 결과 1,160,253,228 건의 이메일 주소/비밀번호 조합이 저장되어 있는 것으로 밝혀졌다. 중복 자료를 합할 경우 숫자는 2,692,818,238로 늘어난다고 한다.
여러 침해 사건을 통해 유출된 정보를 누군가 수집, 정리해둔 것으로 의심된다고 당시 헌트는 설명했다. 그리고 이번 주 우크라이나에서 그 ‘누군가’로 보이는 인물이 체포된 것이다. 재판을 거치지 않았기 때문에 ‘용의자’로 불리지만, 사실상 범인이 맞는 것으로 보인다.
게다가 우크라이나 당국의 설명에 의하면 “컬렉션 1은 빙산의 일각이었다”고 한다. 사닉스의 거처지에서 훨씬 더 많은 정보를 확보한 것이다. SSU의 보도 자료에 의하면 ‘컬렉션 1’과 비슷한 규모의 데이터 덤프가 7개 더 있었다고 하며, 이메일만이 아니라 각종 금융 정보와 개인정보도 포함되어 있었다고 한다. 피해자들은 주로 북미 및 유럽연합의 주민들인 것으로 밝혀졌다.
경찰은 현장에서 2 테라바이트에 달하는 데이터와 함께 불법적인 용도로 사용되어 온 증거가 있는 스마트폰들도 압수했다. 불법 행위로 벌어들인 현금 1만 달러도 현장에서 발견됐다고 발표했다.
컬렉션 1이 처음 등장했을 때, 사닉스뿐만 아니라 콥즈(C0rpz) 혹은 클로록스(Clorox)라는 인물도 용의선상에 올랐었다. 보안 블로거로서 유명한 브라이언 크렙스(Brian Krebs)는 당시 “컬렉션 1을 판매하려 했던 건 사닉스”라고 지목했고, 한 달 후 보안 업체 레코디드 퓨처(Recorded Future)는 ‘콥즈가 실제 배후 세력’이라고 주장했다. 사실 포럼에서 나타난 바 컬렉션 1을 제작한 사람은 콥즈인 것처럼 보이는 상황이었다.
한편 해당 포럼에서 사닉스는 출입 금지 조치 당했다. 콥즈는 아니었다. 사닉스가 사라진 뒤 콥즈는 계속해서 컬렉션 1을 무료로 받을 수 있는 링크들을 업로드 했다. 그래서 둘이 동일 인물이 아니냐는 의혹이 나오기도 했다.
이런 상황에서 여러 보안 전문가들과 추적을 실시한 SSU는 컬렉션 1의 판매 및 유통 상황을 계속해서 주시했다고 한다. 특히 이메일 로그인 ID와 비밀번호, 은행 카드용 PIN 코드, 암호화폐 지갑 주소 정보와 페이팔 계정 정보가 팔리는 상황을 면밀히 살피면서, 거래에 사용되는 봇넷과, 이 봇넷을 통해 실시되는 디도스 공격까지도 조사했다. 용의자가 한 명으로 특정되지 않은 상황이었기 때문에 사건 자체를 파고들 수밖에 없었다.
재미있는 건 컬렉션 1이 처음 공개되던 당시 사닉스가 크렙스와 인터뷰를 했다는 것이다. 그 때 이미 사닉스는 “컬렉션 1은 2~~3년 정도 지난 데이터들”이며 “비슷한 데이터베이스가 몇 개 더 있고, 총 용량이 4 테라바이트 정도 된다”고 말했었다. 이 말이 사실이라면 경찰은 2 테라바이트를 더 찾아야 한다.
현재 사닉스는 우크라이나 사법 기관에 의해 수감된 상태로, SSU는 “사닉스가 경찰의 조사에 협조적인 태도를 보이고 있다”고 알리기도 했다.
4줄 요약
1. 작년 1월 수억 건의 이메일 정보 담긴 데이터베이스 ‘컬렉션 1’이 다크웹에 출현.
2. 범인에 대한 의견이 갈리는 가운데, 조용히 거래 상황을 추적한 우크라이나 사법 기관.
3. 그 결과 사닉스라는 이름으로 활동하던 우크라이나 사이버 범죄자 체포됨.
4. 컬렉션 1과 같은 데이터베이스가 7개나 더 있었음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>