티켓마스터라는 유명 서비스의 고객 정보가 다크웹에 판매되기 시작했다. 그런데 그 판매 장소가 사라진 줄 알았던 암시장이었다. 악명 높은 악당들의 장터가 다시 열린 것일까?
[보안뉴스 문가용 기자] FBI와 미국 사법부가 합동으로 다크웹의 브리치포럼즈(BreachForums)를 폐쇄시킨 지 2주가 채 지나지 않았다. 그런데 언제 그랬냐는 듯 사이트는 되살아났고, 벌써부터 티켓마스터(TicketMaster)의 고객 정보 5억 건을 판매한다고 내걸었다.
[이미지 = gettyimagesbank]
보안 업체 멀웨어바이츠(Malwarebytes)의 연구원들은 이번 주 샤이니헌터즈(ShinyHunters)라는 해킹 단체가 새롭게 올린 게시글을 발견했다. 티켓마스터 고객들의 정보를 50만 달러에 판매하겠다는 내용이었다. 샤이니헌터즈는 브리치포럼즈의 관리자들이기도 했다. 즉 이 게시글은 사실상 브리치포럼즈의 부활을 알리는 글이었던 것이다. 멀웨어바이츠의 연구원은 헷갈렸다. 이 주장이 사실인지, FBI가 쳐놓은 덫인지 확신할 수 없었다.
멀웨어바이츠의 피터 안츠(Pieter Arntz)는 “하지만 여러 조사와 고민 끝에 샤이니헌터즈가 단순히 관심을 끌고자 올린 글이라고 결론을 내렸다”고 말한다. “즉 FBI의 덫이거나 브리치포럼즈가 부활했을 가능성보다 그냥 광고글일 확률을 높게 본 것입니다. 하지만 어디까지나 가능성의 이야기이고 진실은 더 파헤쳐봐야 할 겁니다. 이게 어떻게 된 일인지도 더 확실히 알아야 하겠고요.”
브리치포럼즈는 해킹 포럼이자 해커들의 시장으로, 공격자들이 범죄 행위로 얻은 온갖 종류의 데이터를 거래하는 장소로 얼마간 군림해 왔다. 그 외에 해킹 도구들과 해킹 노하우까지도 활기차게 거래되어 왔었다. 올해 초 기준 34만 명의 회원이 있던 것으로 집계되고 있으며, 2022년 FBI의 작전으로 사라진 레이드포럼즈(RaidForums)의 후신이라는 것에 이견이 없었다. 탈취 정보 거래 장소로서는 최대 규모이기도 했다.
그러다 이번 달 초 FBI와 사법부는 브리치포럼즈의 도메인들과 텔레그램 채널들을 확보하는 데 성공했다. 텔레그램 채널의 경우 바포멧(Baphomet)과 샤이니헌터즈(ShinyHunters)라는 운영자들이 소유하고 있던 것으로 알려져 있었다. 올해 3월 브리치포럼즈의 최초 생성자라고 알려진 폼폼푸린(pompompurin)은 이미 체포된 상황이었다. 다만 FBI나 사법부 모두 이러한 성과에 대해 목소리 높여 발표하지는 않았다. 다만 샤이니헌터즈가 “바포멧은 체포됐다”고 주장했을 뿐이었다.
멀웨어바이츠에 의하면 “FBI가 도메인까지 확보한 브리치포럼즈가 단 2주만에 살아났다고 보기는 힘들다”고 한다. “몇 가지 이유가 있습니다. 제일 먼저 샤이니헌터즈가 지금 판매용으로 내놓은 정보는 이미 스파이더맨데이터(SpidermanData)라는 이름으로 활동하는 또 다른 해커가 다른 다크웹 사이트에 올려둔 정보와 같습니다. 게다가 5억 6천만 명의 고객 정보라니, 그 숫자가 비정상적으로 큽니다. 따라서 허위일 가능성이 높다고 봅니다. 복구된 브리치포럼즈 사이트는 사용자 등록 전에는 콘텐츠 열람이 불가능한데요, 이 역시 의심스럽습니다.”
또 안츠는 “의외로 이런 식의 덫은 사법기관 요원들도 많이 활용한다”고 설명을 덧붙인다. “2018년 마약 관련 다크웹 사이트인 한사마켓(Hansa Market)을 사법 요원들이 폐쇄시킬 때에도 이런 식으로 범죄자들을 낚았던 적이 있습니다. 사이버 범죄자를 사칭하는 허위 광고를 통해 범죄자들을 끌어들여 잡는 것이죠.”
그렇다고 브리치포럼즈의 부활 가능성이 아예 없는 건 아니다. “다크웹 사이트나 서비스가 폐쇄됐다고 하더라도 그리 길지 않은 시간 안에 부활하는 건 늘 있는 일입니다. 부활한 직후에는 해커들이 대단히 조심스러운 모습을 보이는 것도 사실이고, 유명해진 이름으로 새로운 판로를 찾는 것도 반복되는 일입니다. 보기에 따라 샤이니헌터즈의 행보는 자연스럽다고 할 수도 있습니다.”
보안 업체 플래시포인트(Flashpoint)의 부회장인 이안 그레이(Ian Gray)의 경우 브리치포럼즈가 부활한 게 맞는 것으로 보인다는 입장이다. “다크웹에서 해커들끼리 진행하는 대화를 쭉 따라가다보면 각종 루머를 접할 수 있는데, 브리치포럼즈의 상황도 꽤나 자주 거론되고 있습니다. 운영진이 도메인을 바꿨다느니, 오히려 미국 사법기관들에 복수를 계획하고 있다느니 하는 말들이 나오고 있죠. 브리치포럼즈가 새로운 이름으로 재탄생할 거라는 말도 있습니다. breachnation.io나 databreached.io 등 구체적인 도메인 이름도 언급될 정도입니다.”
보안 업체 슬래시넥스(SlashNext)의 CEO인 패트릭 하(Patrick Harr)는 “부활이니 사법 활동의 실패니, 그 어떤 말도 이 사태를 규정하지 못한다”는 의견이다. “다크웹 서비스를 제거한다는 건, 어디서부터 어디까지를 없앤다는 말일까요? 웹사이트를 차지하면? 호스팅 서버까지 압수하면? 운영자를 모조리 체포하면? 가장 엄격한 차원에서 ‘다크웹 서비스를 없앴다’라고 말하려면 그 모든 걸 다 충족시켜야 할 겁니다. 하지만 실제로는 수많은 도메인 중 하나, 수많은 운영자 중 한 명을 놓치는 일은 있을 수밖에 없습니다. 거기서부터 뭔가가 새롭게 자라는 것도 충분히 가능한 일이고요. 인간이 아직 암을 완전히 정복하지 못한 것처럼, 다크웹 서비스도 비슷한 느낌의 존재감으로 우리를 위협하고 있습니다.”
3줄 요약
1. 브리치포럼즈, 단 2주만에 부활했나.
2. 부활한 것 같기도, 허세를 부리는 것 같기도, FBI가 덫을 놓은 것 같기도.
3. 어차피 다크웹 서비스를 완전히 폐쇄시키는 건 세상에 존재하지 않는 개념.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] FBI와 미국 사법부가 합동으로 다크웹의 브리치포럼즈(BreachForums)를 폐쇄시킨 지 2주가 채 지나지 않았다. 그런데 언제 그랬냐는 듯 사이트는 되살아났고, 벌써부터 티켓마스터(TicketMaster)의 고객 정보 5억 건을 판매한다고 내걸었다.
[이미지 = gettyimagesbank]
보안 업체 멀웨어바이츠(Malwarebytes)의 연구원들은 이번 주 샤이니헌터즈(ShinyHunters)라는 해킹 단체가 새롭게 올린 게시글을 발견했다. 티켓마스터 고객들의 정보를 50만 달러에 판매하겠다는 내용이었다. 샤이니헌터즈는 브리치포럼즈의 관리자들이기도 했다. 즉 이 게시글은 사실상 브리치포럼즈의 부활을 알리는 글이었던 것이다. 멀웨어바이츠의 연구원은 헷갈렸다. 이 주장이 사실인지, FBI가 쳐놓은 덫인지 확신할 수 없었다.
멀웨어바이츠의 피터 안츠(Pieter Arntz)는 “하지만 여러 조사와 고민 끝에 샤이니헌터즈가 단순히 관심을 끌고자 올린 글이라고 결론을 내렸다”고 말한다. “즉 FBI의 덫이거나 브리치포럼즈가 부활했을 가능성보다 그냥 광고글일 확률을 높게 본 것입니다. 하지만 어디까지나 가능성의 이야기이고 진실은 더 파헤쳐봐야 할 겁니다. 이게 어떻게 된 일인지도 더 확실히 알아야 하겠고요.”
브리치포럼즈는 해킹 포럼이자 해커들의 시장으로, 공격자들이 범죄 행위로 얻은 온갖 종류의 데이터를 거래하는 장소로 얼마간 군림해 왔다. 그 외에 해킹 도구들과 해킹 노하우까지도 활기차게 거래되어 왔었다. 올해 초 기준 34만 명의 회원이 있던 것으로 집계되고 있으며, 2022년 FBI의 작전으로 사라진 레이드포럼즈(RaidForums)의 후신이라는 것에 이견이 없었다. 탈취 정보 거래 장소로서는 최대 규모이기도 했다.
그러다 이번 달 초 FBI와 사법부는 브리치포럼즈의 도메인들과 텔레그램 채널들을 확보하는 데 성공했다. 텔레그램 채널의 경우 바포멧(Baphomet)과 샤이니헌터즈(ShinyHunters)라는 운영자들이 소유하고 있던 것으로 알려져 있었다. 올해 3월 브리치포럼즈의 최초 생성자라고 알려진 폼폼푸린(pompompurin)은 이미 체포된 상황이었다. 다만 FBI나 사법부 모두 이러한 성과에 대해 목소리 높여 발표하지는 않았다. 다만 샤이니헌터즈가 “바포멧은 체포됐다”고 주장했을 뿐이었다.
멀웨어바이츠에 의하면 “FBI가 도메인까지 확보한 브리치포럼즈가 단 2주만에 살아났다고 보기는 힘들다”고 한다. “몇 가지 이유가 있습니다. 제일 먼저 샤이니헌터즈가 지금 판매용으로 내놓은 정보는 이미 스파이더맨데이터(SpidermanData)라는 이름으로 활동하는 또 다른 해커가 다른 다크웹 사이트에 올려둔 정보와 같습니다. 게다가 5억 6천만 명의 고객 정보라니, 그 숫자가 비정상적으로 큽니다. 따라서 허위일 가능성이 높다고 봅니다. 복구된 브리치포럼즈 사이트는 사용자 등록 전에는 콘텐츠 열람이 불가능한데요, 이 역시 의심스럽습니다.”
또 안츠는 “의외로 이런 식의 덫은 사법기관 요원들도 많이 활용한다”고 설명을 덧붙인다. “2018년 마약 관련 다크웹 사이트인 한사마켓(Hansa Market)을 사법 요원들이 폐쇄시킬 때에도 이런 식으로 범죄자들을 낚았던 적이 있습니다. 사이버 범죄자를 사칭하는 허위 광고를 통해 범죄자들을 끌어들여 잡는 것이죠.”
그렇다고 브리치포럼즈의 부활 가능성이 아예 없는 건 아니다. “다크웹 사이트나 서비스가 폐쇄됐다고 하더라도 그리 길지 않은 시간 안에 부활하는 건 늘 있는 일입니다. 부활한 직후에는 해커들이 대단히 조심스러운 모습을 보이는 것도 사실이고, 유명해진 이름으로 새로운 판로를 찾는 것도 반복되는 일입니다. 보기에 따라 샤이니헌터즈의 행보는 자연스럽다고 할 수도 있습니다.”
보안 업체 플래시포인트(Flashpoint)의 부회장인 이안 그레이(Ian Gray)의 경우 브리치포럼즈가 부활한 게 맞는 것으로 보인다는 입장이다. “다크웹에서 해커들끼리 진행하는 대화를 쭉 따라가다보면 각종 루머를 접할 수 있는데, 브리치포럼즈의 상황도 꽤나 자주 거론되고 있습니다. 운영진이 도메인을 바꿨다느니, 오히려 미국 사법기관들에 복수를 계획하고 있다느니 하는 말들이 나오고 있죠. 브리치포럼즈가 새로운 이름으로 재탄생할 거라는 말도 있습니다. breachnation.io나 databreached.io 등 구체적인 도메인 이름도 언급될 정도입니다.”
보안 업체 슬래시넥스(SlashNext)의 CEO인 패트릭 하(Patrick Harr)는 “부활이니 사법 활동의 실패니, 그 어떤 말도 이 사태를 규정하지 못한다”는 의견이다. “다크웹 서비스를 제거한다는 건, 어디서부터 어디까지를 없앤다는 말일까요? 웹사이트를 차지하면? 호스팅 서버까지 압수하면? 운영자를 모조리 체포하면? 가장 엄격한 차원에서 ‘다크웹 서비스를 없앴다’라고 말하려면 그 모든 걸 다 충족시켜야 할 겁니다. 하지만 실제로는 수많은 도메인 중 하나, 수많은 운영자 중 한 명을 놓치는 일은 있을 수밖에 없습니다. 거기서부터 뭔가가 새롭게 자라는 것도 충분히 가능한 일이고요. 인간이 아직 암을 완전히 정복하지 못한 것처럼, 다크웹 서비스도 비슷한 느낌의 존재감으로 우리를 위협하고 있습니다.”
3줄 요약
1. 브리치포럼즈, 단 2주만에 부활했나.
2. 부활한 것 같기도, 허세를 부리는 것 같기도, FBI가 덫을 놓은 것 같기도.
3. 어차피 다크웹 서비스를 완전히 폐쇄시키는 건 세상에 존재하지 않는 개념.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
