[단독] 한국 데이터·개인정보 노리는 다크웹·딥웹 해커조직 2곳 집중분석

2020-09-14 11:33
  • 카카오톡
  • url
한국의 웹 서비스와 모바일 앱 직접 언급하면서 유출한 데이터·개인정보 판매
Shinyhunters, 토르 네트워크로 접속 가능한 다크웹 마켓에 한국 데이터 판매중
Megadimarus, 딥웹 언더그라운드 포럼에 다크웹 마켓에 올라왔던 데이터 재판매


[보안뉴스 권 준 기자] 최근 국내 주요 대기업 2곳의 데이터를 탈취해 공개한 메이즈(Maze) 랜섬웨어 조직의 활동이 이슈가 된 가운데 다크웹(Darkweb) 또는 딥웹(Deepweb)을 주 활동무대로 삼아 한국의 데이터와 개인정보를 집중적으로 노리는 해커조직 2곳의 활동이 포착되고 있어 주목을 받고 있다.


[이미지=utoimage]

글로벌 사이버보안 업체 Ensign InfoSecurity의 한국 사이버위협 인텔리전스팀이 분석한 한국과 관련된 다크웹 데이터 유출현황에 따르면 현재 딥웹·다크웹 내의 주요 언더그라운드 포럼에서 한국과 관련된 웹 서비스와 모바일 애플리케이션을 대상으로 한 데이터 유출 사례가 증가하고 있는 것으로 드러났다. 2020년 5월부터 한국과 관련된 웹 서비스와 애플리케이션의 데이터 유출 사례가 전체 비중의 절반 정도를 차지하고 있다는 통계에서도 확인할 수 있다.


▲딥웹·다크웹에서의 한국과 관련된 데이터 유출 현황[자료=Ensign InfoSecurity]

이렇듯 한국과 관련된 데이터 유출 사건이 지속적으로 발생하는 가운데 그 중심에 다크웹·딥웹 해커조직 ‘Shinyhunters’와 ‘Megadimarus’이 있다는 게 Ensign InfoSecurity의 분석이다. 지난 5월부터 왕성한 활동량을 보이고 있는 ‘Shinyhunters’ 및 ‘Megadimarus’ 조직으로 인해 한국 웹 서비스와 모바일 애플리케이션의 데이터 유출사례가 급증하고 있기 때문이다. 다음 표는 올해 2월부터 7월까지 딥웹·다크웹 내의 주요 언더그라운드 포럼에서 일어난 데이터 유출 사례들을 정리한 내용이다.


▲딥웹·다크웹에서 발생한 한국 관련 데이터유출 사례[자료=Ensign InfoSecurity]
*대부분의 유출 정보들은 Email:Password 형식으로 이루어져 있음. Data Counts는 유출 덤프에서 유효한 계정만 추려낸 데이터의 수

2020년 1월 25일부터 활동 중인 것으로 알려진 해커조직 ‘Shinyhunters’는 토르(Tor) 네트워크를 통해 접속해야 하는 다크웹 마켓인 Empire Market, Dream Market과 딥웹 언더그라운드 포럼인 Raidforums 등에서 현재까지 활발히 활동하고 있으며, 주로 사용 중인 언어는 영어로 알려졌다.


▲트위터와 다크웹에서 활동 중인 ‘Shinyhunters’의 프로필 정보[자료=Ensign InfoSecurity]

‘Shinyhunters’ 조직은 지난 5월 9일 다크웹 마켓인 Empire Market에서 집***, 스**** 등 한국 업체 2곳의 데이터베이스(DB)를 게시해 국내에서 이슈가 된 바 있다. 최근에는 또 다른 다크웹 마켓인 Dream Market에 데이팅 앱의 계정 정보를 게시하기도 했다. Empire Market의 경우 현재는 접속이 불가능한 상황으로 드러났다.


▲지난 5월 12일 Dream Market에서 Shinyhunters가 판매 중인 유출 데이터[자료=Ensign InfoSecurity]

또 다른 다크웹·딥웹 기반 해커조직 ‘Megadimarus’는 지난 5월 15일부터 활동을 시작했으며, 기존 조직인 ‘Gnosticplayers’와 ‘Shinyhunters’가 이미 다크웹 마켓에 게시했던 국내 여행 O2O 업체 야**의 사용자 정보를 딥웹 언더그라운드 포럼인 Raidforums에 게시해 이슈가 됐다. 해당 조직도 현재 주로 사용 중인 언어는 영어다.


▲Raidforums에서 활동 중인 Megadimarus의 5월 26일 게시 글[자료=Ensign InfoSecurity]
*해당 사례는 확인 결과, 사용자의 로그인 시간과 로그아웃 시간이 기록된 테이블이었으며, 사용자들의 개인정보는 포함되어 있지 않았음

이 외에도 ‘Shinyhunters’가 가장 먼저 게시했던 토****, 꾸* 등 2곳의 사용자 정보를 Megadimarus가 딥웹 언더그라운드 포럼인 Raidforums에 게시해 판매 중이다. 최근에는 플**** 데이터베이스의 특정 테이블 구조와 데이터를 Raidforums에 게시하기도 했다.

현재 Ensign Infosecurity의 한국 사이버위협 인텔리전스팀에서는 한국과 관련해 딥웹·다크웹에서 활동 중인 해커조직 총 15곳을 대상으로 지속적인 모니터링과 조사를 진행 중인 것으로 알려졌다.

Ensign Infosecurity 한국 사이버위협 인텔리전스팀 관계자는 “최근 딥웹 및 다크웹에서 활동 중인 해커조직들의 데이터 유출 정보를 판매하는 방식은 이전처럼 ‘Korean email, combo’라는 키워드를 활용해 데이터를 판매하는 방식이 아니라, 직접적으로 타깃 웹 서비스와 모바일 애플리케이션을 언급하면서 한국 관련 데이터 유출 정보를 판매하고 있는 Shinyhunters와 Megadimarus의 활동량이 증가하고 있는 추세이기 때문에 각별한 주의가 필요하다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

이전 스크랩하기

과월호 eBook List 정기구독 신청하기

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

PC버전

닫기