[단독] 한국 데이터·개인정보 노리는 다크웹·딥웹 해커조직 2곳 집중분석

2020-09-14 11:33
  • 카카오톡
  • 네이버 블로그
  • url
한국의 웹 서비스와 모바일 앱 직접 언급하면서 유출한 데이터·개인정보 판매
Shinyhunters, 토르 네트워크로 접속 가능한 다크웹 마켓에 한국 데이터 판매중
Megadimarus, 딥웹 언더그라운드 포럼에 다크웹 마켓에 올라왔던 데이터 재판매


[보안뉴스 권 준 기자] 최근 국내 주요 대기업 2곳의 데이터를 탈취해 공개한 메이즈(Maze) 랜섬웨어 조직의 활동이 이슈가 된 가운데 다크웹(Darkweb) 또는 딥웹(Deepweb)을 주 활동무대로 삼아 한국의 데이터와 개인정보를 집중적으로 노리는 해커조직 2곳의 활동이 포착되고 있어 주목을 받고 있다.


[이미지=utoimage]

글로벌 사이버보안 업체 Ensign InfoSecurity의 한국 사이버위협 인텔리전스팀이 분석한 한국과 관련된 다크웹 데이터 유출현황에 따르면 현재 딥웹·다크웹 내의 주요 언더그라운드 포럼에서 한국과 관련된 웹 서비스와 모바일 애플리케이션을 대상으로 한 데이터 유출 사례가 증가하고 있는 것으로 드러났다. 2020년 5월부터 한국과 관련된 웹 서비스와 애플리케이션의 데이터 유출 사례가 전체 비중의 절반 정도를 차지하고 있다는 통계에서도 확인할 수 있다.


▲딥웹·다크웹에서의 한국과 관련된 데이터 유출 현황[자료=Ensign InfoSecurity]

이렇듯 한국과 관련된 데이터 유출 사건이 지속적으로 발생하는 가운데 그 중심에 다크웹·딥웹 해커조직 ‘Shinyhunters’와 ‘Megadimarus’이 있다는 게 Ensign InfoSecurity의 분석이다. 지난 5월부터 왕성한 활동량을 보이고 있는 ‘Shinyhunters’ 및 ‘Megadimarus’ 조직으로 인해 한국 웹 서비스와 모바일 애플리케이션의 데이터 유출사례가 급증하고 있기 때문이다. 다음 표는 올해 2월부터 7월까지 딥웹·다크웹 내의 주요 언더그라운드 포럼에서 일어난 데이터 유출 사례들을 정리한 내용이다.


▲딥웹·다크웹에서 발생한 한국 관련 데이터유출 사례[자료=Ensign InfoSecurity]
*대부분의 유출 정보들은 Email:Password 형식으로 이루어져 있음. Data Counts는 유출 덤프에서 유효한 계정만 추려낸 데이터의 수

2020년 1월 25일부터 활동 중인 것으로 알려진 해커조직 ‘Shinyhunters’는 토르(Tor) 네트워크를 통해 접속해야 하는 다크웹 마켓인 Empire Market, Dream Market과 딥웹 언더그라운드 포럼인 Raidforums 등에서 현재까지 활발히 활동하고 있으며, 주로 사용 중인 언어는 영어로 알려졌다.


▲트위터와 다크웹에서 활동 중인 ‘Shinyhunters’의 프로필 정보[자료=Ensign InfoSecurity]

‘Shinyhunters’ 조직은 지난 5월 9일 다크웹 마켓인 Empire Market에서 집***, 스**** 등 한국 업체 2곳의 데이터베이스(DB)를 게시해 국내에서 이슈가 된 바 있다. 최근에는 또 다른 다크웹 마켓인 Dream Market에 데이팅 앱의 계정 정보를 게시하기도 했다. Empire Market의 경우 현재는 접속이 불가능한 상황으로 드러났다.


▲지난 5월 12일 Dream Market에서 Shinyhunters가 판매 중인 유출 데이터[자료=Ensign InfoSecurity]

또 다른 다크웹·딥웹 기반 해커조직 ‘Megadimarus’는 지난 5월 15일부터 활동을 시작했으며, 기존 조직인 ‘Gnosticplayers’와 ‘Shinyhunters’가 이미 다크웹 마켓에 게시했던 국내 여행 O2O 업체 야**의 사용자 정보를 딥웹 언더그라운드 포럼인 Raidforums에 게시해 이슈가 됐다. 해당 조직도 현재 주로 사용 중인 언어는 영어다.


▲Raidforums에서 활동 중인 Megadimarus의 5월 26일 게시 글[자료=Ensign InfoSecurity]
*해당 사례는 확인 결과, 사용자의 로그인 시간과 로그아웃 시간이 기록된 테이블이었으며, 사용자들의 개인정보는 포함되어 있지 않았음

이 외에도 ‘Shinyhunters’가 가장 먼저 게시했던 토****, 꾸* 등 2곳의 사용자 정보를 Megadimarus가 딥웹 언더그라운드 포럼인 Raidforums에 게시해 판매 중이다. 최근에는 플**** 데이터베이스의 특정 테이블 구조와 데이터를 Raidforums에 게시하기도 했다.

현재 Ensign Infosecurity의 한국 사이버위협 인텔리전스팀에서는 한국과 관련해 딥웹·다크웹에서 활동 중인 해커조직 총 15곳을 대상으로 지속적인 모니터링과 조사를 진행 중인 것으로 알려졌다.

Ensign Infosecurity 한국 사이버위협 인텔리전스팀 관계자는 “최근 딥웹 및 다크웹에서 활동 중인 해커조직들의 데이터 유출 정보를 판매하는 방식은 이전처럼 ‘Korean email, combo’라는 키워드를 활용해 데이터를 판매하는 방식이 아니라, 직접적으로 타깃 웹 서비스와 모바일 애플리케이션을 언급하면서 한국 관련 데이터 유출 정보를 판매하고 있는 Shinyhunters와 Megadimarus의 활동량이 증가하고 있는 추세이기 때문에 각별한 주의가 필요하다”고 당부했다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


소지환 2020.09.16 17:39

스크랩으로 써도 되나요?


과월호 eBook List 정기구독 신청하기

    • 씨프로

    • 인콘

    • 엔텍디바이스코리아

    • 핀텔

    • 아이비젼

    • 아이디스

    • 씨프로

    • 웹게이트

    • 엔토스정보통신

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 지오멕스소프트

    • 원우이엔지

    • 지인테크

    • 홍석

    • 이화트론

    • 다누시스

    • 테크스피어

    • TVT코리아

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 세연테크

    • 비전정보통신

    • 트루엔

    • 경인씨엔에스

    • 한국씨텍

    • 성현시스템

    • 아이원코리아

    • 프로브디지털

    • 위트콘

    • 다후아테크놀로지코리아

    • 한결피아이에프

    • 스피어AX

    • 동양유니텍

    • 포엠아이텍

    • 넥스트림

    • 펜타시큐리티

    • 에프에스네트워크

    • 신우테크
      팬틸드 / 하우징

    • 옥타코

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 네티마시스템

    • 아이엔아이

    • 미래시그널

    • 엣지디엑스

    • 인빅

    • 유투에스알

    • 제네텍

    • 주식회사 에스카

    • 솔디아

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 새눈

    • 에이앤티글로벌

    • 케비스전자

    • 한국아이티에스

    • 이엘피케이뉴

    • (주)일산정밀

    • 구네보코리아주식회사

    • 레이어스

    • 창성에이스산업

    • 엘림광통신

    • 에이앤티코리아

    • 엔에스티정보통신

    • 와이즈콘

    • 현대틸스
      팬틸트 / 카메라

    • 엔시드

    • 포커스에이아이

    • 넥스텝

    • 인더스비젼

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

시큐리티월드

IP NEWS

회원가입

Passwordless 설정

PC버전

닫기