해커 ‘인텔브로커’, 브리치포럼에 올린 게시물 275개...한국 사이트도 대거 해킹해 정보 판매
최근에는 동료 해커 ID로 한국 온라인 독서 서비스 정보 공개하는 등 국내 피해 커져
익명 거래 특성 등 악용해 해커 추적 쉽지 않아...보안 강화로 피해 예방해야
[보안뉴스 김경애 기자] 최근 전 세계적으로 유명한 블랙 해커 ‘인텔브로커(IntelBroker)’가 블랙마켓인 ‘브리치포럼(Breach Forums)’에 한국 데이터를 수차례 공개해 국내 피해가 커지고 있다. 그는 자신이 해킹했다고 주장하며 유출한 정보를 샘플로 공개하고 판매하는 행위를 반복하고 있다.
▲브리치포럼에서 활동하고 있는 해커 ‘인텔브로커’ 화면[이미지=보안뉴스]
지난 20일에는 인텔브로커 본인 또는 동업 관계로 추정되는 해커 아이디로 한국 온라인 독서 서비스 및 교육 콘텐츠를 제공하는 ‘토핑(TOAPING)’ 사이트의 개인정보를 업로드한 정황이 포착됐다. 인텔브로커를 비롯한 동료 해커들의 이러한 반복된 행위에 국내 기업과 기관이 많은 피해를 입으며 파장이 커지고 있다.
‘인텔브로커’는 이미 해외에서는 잘 알려진 유명 해커로 외신에는 수차례 등장했다. 지난 7월에는 인텔브로커가 UAE의 대형 하이퍼마켓 체인인 룰루하이퍼마켓(Lulu Hypermarket)을 해킹해 약 20만명 개인정보를 유출한 것으로 알려졌다. 이외에도 유로폴, 홈데포, 티모바일, 페이스북, LA국제공항 등을 해킹해 브리치포럼에 공개했다.
▲지난 20일 인텔브로커가 다른 ID로 ‘토핑’ 사이트를 해킹했다고 주장하며 샘플로 공개한 정보와 판매 화면[이미지=보안뉴스]
한국 정보 역시 브리치포럼에 수차례 올라왔다. 지난 20일에는 인텔브로커, 본인의 또 다른 ID 또는 동업 관계로 추정되는 해커 아이디로 ‘토핑’ 사이트를 해킹했다고 주장하며 개인정보 공개와 함께 판매에 나섰다. 또한, 8월 15일에는 커리어넷 사이트를 해킹했다고 주장하며 판매 글을 올린 바 있으며, 지난 7월에는 VPN 등 접속 정보를 판매한다는 글을 올리기도 했다.
▲22일 시스템 점검 중인 커리어넷 사이트[이미지=보안뉴스]
2023년 6월 13일부터 브리치포럼에서 활동한 ‘인텔브로커’는 닉네임을 2번 변경하고, 동업 관계 추정의 아이디로 지금까지 꾸준히 활동하고 있다. 이런 식으로 브리치포럼에 올린 게시물은 275개 이상에 달한다. 물론 이 중에는 10년 이상된 오래된 정보도 포함돼 있고, 확인되지 않은 불명확한 정보도 포함돼 있다. 또한, 피해 기업이 확인한 결과 사실무근이라고 주장하는 정보도 있다.
하지만 해커가 공개한 데이터의 상당수는 실제 유출된 정보인 경우가 많다. 신뢰할 수 있는 데이터라며 블랙 해커, 사이버 범죄자들 사이에서는 그에 대한 평판(?)이 좋다. 더욱 큰 문제는 이러한 정보유출 판매 행위가 끊임없이 반복되고 있다는 점이다. 이는 해커 추적이 현실적으로 쉽지 않은 디지털 특성 때문이다. 블랙마켓의 경우 익명 거래로 진행되고, 텔레그램 역시 익명성 때문에 추적이 쉽지 않다. 또한 디지털 특성상 은닉 수법이 많아 증거 수집도 어렵다.
이와 관련 리니어리티 한승연 대표는 “가상화폐의 등장으로 익명 거래가 가능해지면서 해커포럼 등 블랙마켓에서 개인정보, 회사 접속 정보 등의 판매가 증가했다”며 “마켓에서 판매되는 접속 정보를 이용할 경우 공격자는 보안 시스템에 걸리지 않고 바로 시스템 내부로 침투할 수 있는데, 이러한 유형의 공격에 어떻게 대응할 것인지 고민해야 한다”고 말했다.
또한, 플레인비트 김진국 대표는 “은밀하게 공격하면 잡기가 어렵다”며 “보통은 여러 채널로 공격하는 과정에서 실수를 할 때 해당 포인트로 실물 위치를 특정할 수 있는데, 정말 치밀하면 은닉해주는 서비스가 많아 추적이 어려운 게 현실”이라고 밝혔다.
따라서 해커에게 중요 정보가 넘어가지 않도록 보안을 강화하고 피해를 예방하는 게 최선의 방법이다. 보안전문가들 역시 해킹 피해에 대비한 프로세스 구축과 피해 예방을 위한 보안 강화 중요성에 입을 모았다.
익명을 요청한 보안전문가는 “유명 해커들의 경우 본인들의 인지도와 신뢰도를 관리하기 때문에 그들이 주장하는 내용들 중에는 사실인 경우가 상당히 많다”며 “해당 해커의 활동을 주의 깊게 모니터링하고, 그들이 피해 기업으로 공개한 기업의 경우 철저히 조사해 어떻게 침투했는지 파악하고 신속하게 대응책을 마련하는 것이 필요하다”고 강조했다.
플레인비트 김진국 대표는 “브로커는 정보의 가치가 가장 낮을 때 대중에게 공개한다”며 “공개에 따른 리스크 대응과 더불어 탈취 원인을 규명하고, 탈취 시점부터 공개 시점까지 활용됐을 가능성에 대한 리스크 관리도 고민해야 한다”고 설명했다.
이어 김 대표는 “랜섬웨어, 타깃형 공격 등 다양한 사이버 공격 시 정보 탈취가 기본적으로 이뤄진다”며 “탈취한 정보는 브로커에게 판매해 수익을 올리는 등 공격그룹 간의 거래가 활발하다. 따라서 브로커에 집중하기 보다는 탈취 시점과 원인을 분석해 조직을 위협하는 실제 공격자를 대응하는데 초점을 맞춰야 한다”고 당부했다.
한국인터넷진흥원 이동근 본부장은 “우선 정보유출 해킹사고 등에 대비한 철저한 예방 활동이 필요하다”며 “갑작스런 사고가 발생하거나 인지됐을 때 당황하지 않고 법제도, 내부 규정 등에 따른 신속한 대응절차가 이루어지도록 프로세스 정립과 숙달 훈련이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
최근에는 동료 해커 ID로 한국 온라인 독서 서비스 정보 공개하는 등 국내 피해 커져
익명 거래 특성 등 악용해 해커 추적 쉽지 않아...보안 강화로 피해 예방해야
[보안뉴스 김경애 기자] 최근 전 세계적으로 유명한 블랙 해커 ‘인텔브로커(IntelBroker)’가 블랙마켓인 ‘브리치포럼(Breach Forums)’에 한국 데이터를 수차례 공개해 국내 피해가 커지고 있다. 그는 자신이 해킹했다고 주장하며 유출한 정보를 샘플로 공개하고 판매하는 행위를 반복하고 있다.
▲브리치포럼에서 활동하고 있는 해커 ‘인텔브로커’ 화면[이미지=보안뉴스]
지난 20일에는 인텔브로커 본인 또는 동업 관계로 추정되는 해커 아이디로 한국 온라인 독서 서비스 및 교육 콘텐츠를 제공하는 ‘토핑(TOAPING)’ 사이트의 개인정보를 업로드한 정황이 포착됐다. 인텔브로커를 비롯한 동료 해커들의 이러한 반복된 행위에 국내 기업과 기관이 많은 피해를 입으며 파장이 커지고 있다.
‘인텔브로커’는 이미 해외에서는 잘 알려진 유명 해커로 외신에는 수차례 등장했다. 지난 7월에는 인텔브로커가 UAE의 대형 하이퍼마켓 체인인 룰루하이퍼마켓(Lulu Hypermarket)을 해킹해 약 20만명 개인정보를 유출한 것으로 알려졌다. 이외에도 유로폴, 홈데포, 티모바일, 페이스북, LA국제공항 등을 해킹해 브리치포럼에 공개했다.
▲지난 20일 인텔브로커가 다른 ID로 ‘토핑’ 사이트를 해킹했다고 주장하며 샘플로 공개한 정보와 판매 화면[이미지=보안뉴스]
한국 정보 역시 브리치포럼에 수차례 올라왔다. 지난 20일에는 인텔브로커, 본인의 또 다른 ID 또는 동업 관계로 추정되는 해커 아이디로 ‘토핑’ 사이트를 해킹했다고 주장하며 개인정보 공개와 함께 판매에 나섰다. 또한, 8월 15일에는 커리어넷 사이트를 해킹했다고 주장하며 판매 글을 올린 바 있으며, 지난 7월에는 VPN 등 접속 정보를 판매한다는 글을 올리기도 했다.
▲22일 시스템 점검 중인 커리어넷 사이트[이미지=보안뉴스]
2023년 6월 13일부터 브리치포럼에서 활동한 ‘인텔브로커’는 닉네임을 2번 변경하고, 동업 관계 추정의 아이디로 지금까지 꾸준히 활동하고 있다. 이런 식으로 브리치포럼에 올린 게시물은 275개 이상에 달한다. 물론 이 중에는 10년 이상된 오래된 정보도 포함돼 있고, 확인되지 않은 불명확한 정보도 포함돼 있다. 또한, 피해 기업이 확인한 결과 사실무근이라고 주장하는 정보도 있다.
하지만 해커가 공개한 데이터의 상당수는 실제 유출된 정보인 경우가 많다. 신뢰할 수 있는 데이터라며 블랙 해커, 사이버 범죄자들 사이에서는 그에 대한 평판(?)이 좋다. 더욱 큰 문제는 이러한 정보유출 판매 행위가 끊임없이 반복되고 있다는 점이다. 이는 해커 추적이 현실적으로 쉽지 않은 디지털 특성 때문이다. 블랙마켓의 경우 익명 거래로 진행되고, 텔레그램 역시 익명성 때문에 추적이 쉽지 않다. 또한 디지털 특성상 은닉 수법이 많아 증거 수집도 어렵다.
이와 관련 리니어리티 한승연 대표는 “가상화폐의 등장으로 익명 거래가 가능해지면서 해커포럼 등 블랙마켓에서 개인정보, 회사 접속 정보 등의 판매가 증가했다”며 “마켓에서 판매되는 접속 정보를 이용할 경우 공격자는 보안 시스템에 걸리지 않고 바로 시스템 내부로 침투할 수 있는데, 이러한 유형의 공격에 어떻게 대응할 것인지 고민해야 한다”고 말했다.
또한, 플레인비트 김진국 대표는 “은밀하게 공격하면 잡기가 어렵다”며 “보통은 여러 채널로 공격하는 과정에서 실수를 할 때 해당 포인트로 실물 위치를 특정할 수 있는데, 정말 치밀하면 은닉해주는 서비스가 많아 추적이 어려운 게 현실”이라고 밝혔다.
따라서 해커에게 중요 정보가 넘어가지 않도록 보안을 강화하고 피해를 예방하는 게 최선의 방법이다. 보안전문가들 역시 해킹 피해에 대비한 프로세스 구축과 피해 예방을 위한 보안 강화 중요성에 입을 모았다.
익명을 요청한 보안전문가는 “유명 해커들의 경우 본인들의 인지도와 신뢰도를 관리하기 때문에 그들이 주장하는 내용들 중에는 사실인 경우가 상당히 많다”며 “해당 해커의 활동을 주의 깊게 모니터링하고, 그들이 피해 기업으로 공개한 기업의 경우 철저히 조사해 어떻게 침투했는지 파악하고 신속하게 대응책을 마련하는 것이 필요하다”고 강조했다.
플레인비트 김진국 대표는 “브로커는 정보의 가치가 가장 낮을 때 대중에게 공개한다”며 “공개에 따른 리스크 대응과 더불어 탈취 원인을 규명하고, 탈취 시점부터 공개 시점까지 활용됐을 가능성에 대한 리스크 관리도 고민해야 한다”고 설명했다.
이어 김 대표는 “랜섬웨어, 타깃형 공격 등 다양한 사이버 공격 시 정보 탈취가 기본적으로 이뤄진다”며 “탈취한 정보는 브로커에게 판매해 수익을 올리는 등 공격그룹 간의 거래가 활발하다. 따라서 브로커에 집중하기 보다는 탈취 시점과 원인을 분석해 조직을 위협하는 실제 공격자를 대응하는데 초점을 맞춰야 한다”고 당부했다.
한국인터넷진흥원 이동근 본부장은 “우선 정보유출 해킹사고 등에 대비한 철저한 예방 활동이 필요하다”며 “갑작스런 사고가 발생하거나 인지됐을 때 당황하지 않고 법제도, 내부 규정 등에 따른 신속한 대응절차가 이루어지도록 프로세스 정립과 숙달 훈련이 필요하다”고 강조했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
