.jpg)
[3줄 요약]
1. “이름부터 주문 목록까지 3300만건 소장”... 분석 결과 가짜
2. 조작한 데이터로 다크웹 거래자들 대상 ‘스캠’ 사기
3. “섣불리 단정짓기 보다 2차 검증 프로세스 필요”
[보안뉴스 강현주 기자] “3370만 규모 쿠팡 데이터베이스를 2만5000 달러에 판매합니다.”
쿠팡에서 유출된 개인정보가 매물로 나왔다. ‘레온스키’(Leonsky)라는 닉네임의 판매자는 쿠팡 이용자 아이디와 이름, 이메일, 주소, 영어주소, 로그인 정보, 주문내역을 가지고 있다고 주장한다. 이 글은 다크웹 기반 거래사이트 ‘다크포럼스’(Dark Forums)에 15일 게시됐다.
하지만 <보안뉴스> 취재 결과 이 데이터는 가짜인 것으로 드러났다. 다크웹 거래자들 사이에서도 쿠팡처럼 전 국민의 관심이 몰리는 기업명을 악용한 스캠이 기승을 부리는 것이다.
▲가짜 쿠팡 데이터가 매물로 올라왔다. [자료: 다크포럼스 웹페이지 스크린샷]
얼핏보면 그럴듯... 가짜 이메일주소 생성 반복패턴
다크웹 분석 전문팀 ‘Team D4rkn3ttz’가 레온스키와 텔레그램으로 대화하며 받은 샘플데이터를 분석한 결과, 이 데이터는 임의로 조작한 가짜로 드러났다.
이 데이터는 실제 존재하는 주소를 포함하고 있어 얼핏 보면 그럴듯하다. 강남, 판교 등에 있는 유명한 오피스 빌딩, 대학교 등의 주소가 적혀 있다. 하지만 이름과 이메일 주소가 반복적인 패턴을 보인다는 점 등에서 조작된 데이터라는 단서를 얻을 수 있다. 실제로 이름과 이메일, 전화번호가 유효하지 않거나 맞지 않는 것으로 나타났다.
Team D4rkn3ttz에 소속된 다크웹 분석가 A씨는 “이메일 주소가 이용자 이름 영문명이나 이니셜 뒤에 숫자가 붙는 식으로 같은 패턴이 반복되는 것으로 보아, 스스로 만들거나 AI를 이용했을 수도 있다”며 “이메일과 전화번호 등의 진위 여부를 확인해본 결과 없거나 맞지 않은 가짜 데이터였다”고 말했다.
A씨는 “다크웹 거래자들 사이에서 게시자의 ‘평판’을 조회해봤는데 긍정적 평판이 없었다”며 “다크웹 거래자들을 대상으로 ‘스캐밍’(Scamming)을 일삼는 하급 수준의 사기꾼”이라고 설명했다.
쿠팡 사고 전에도 다크웹에선 랜섬웨어 공격을 당한 국내 기업을 포함, 유명한 기업명을 악용한 가짜 데이터 판매 글이 게시돼 왔다.
9월에도 SK텔레콤 고객 2700만명의 정보를 갖고 있다고 주장하는 해커가 한눈에 봐도 조작된 주소로 보이는 엉성한 데이터를 샘플이라며 근거로 내놓은 바 있다. 가령 서울시로 시작하는 주소에 서울에 없는 구나 동이 조합돼 있는 식이다.
이번 가짜 쿠팡 데이터의 경우 실제 주소를 기입했다는 면에서 그보다는 다소 진일보한 셈이다.
▲A씨가 레온스키와 텔레그램으로 나눈 대화. (샘플데이터 내용 일부 블러처리) [자료: 텔레그램 대화창 스크린샷]
고가치 데이터에 특히 눈길... “속는 사람 생각보다 많아”
특히 쿠팡 유출 데이터가 피싱이나 스캠 용도로 가치가 높다보니 다크웹에서 더욱 눈길을 끈다. 3370만명이 털린만큼 워낙 대규모이며, 특히 주문내역이 포함된다는 면에서 정밀한 타깃 공격이 가능하다.
이처럼 가치가 높은 데이터를 판매한다는 스캠은 실제로 종종 성공한다. 특히 다크웹 거래 경험이 적은 거래자나 데이터 진위 확인이 비교적 어려운 외국인 거래자들은 걸려들 확률이 더 높다.
다크웹 분석가 A씨는 “조금만 들여다 보면 가짜라는 게 금방 들통날 하급 수준의 사기에도 당하는 사람들이 생각보다 많다”며 “쿠팡 사태로 전 국민 개인정보가 유출된 엄중한 시국을 악용해 다크웹에서조차 사기를 시도하는 범죄자들은 비난과 함께 응당의 대가를 치러야 한다”고 말했다.
이어 “쿠팡 등 쉽게 눈길을 끄는 키워드를 악용한 이 같은 스캠 행위가 앞으로도 증가할 수 있다”며 “당국과 기업, 소비자들도 다크웹 매물에 대해 섣불리 개인정보가 유출돼 거래되고 있다고 단정짓기 보다는 2차 검증 프로세스가 필요하다”고 조언했다.
앞서 텔레그램에 실제 이용자의 쿠팡 로그인 정보가 돌고 있다는 내용이 국내 방송에 보도된 바 있다. 이 경우는 쿠팡 해킹으로 털린 데이터가 아니라 다른 사이트에서 악성코드 공격 등을 통해 이용자 브라우저에 저장된 정보가 탈취된 사례라는 게 A씨의 분석이다.
한국인터넷진흥원(KISA)이 국회 과학기술정보방송통신위원회 이정헌 더불어민주당 의원에게 제출한 자료에 따르면, 쿠팡 개인정보 유출 사태 전후 약 2주(11월 28일~12월 11일) 동안 KISA의 ‘털린 내 정보 찾기’ 서비스로 개인정보 유출 여부를 조회한 사람 수는 10만 7802명으로 집계됐다. 지난해 같은 기간 1만 3200명보다 717% 증가한 수치다.
[강현주 기자(jjoo@boannews.com)]
1. “이름부터 주문 목록까지 3300만건 소장”... 분석 결과 가짜
2. 조작한 데이터로 다크웹 거래자들 대상 ‘스캠’ 사기
3. “섣불리 단정짓기 보다 2차 검증 프로세스 필요”
[보안뉴스 강현주 기자] “3370만 규모 쿠팡 데이터베이스를 2만5000 달러에 판매합니다.”
쿠팡에서 유출된 개인정보가 매물로 나왔다. ‘레온스키’(Leonsky)라는 닉네임의 판매자는 쿠팡 이용자 아이디와 이름, 이메일, 주소, 영어주소, 로그인 정보, 주문내역을 가지고 있다고 주장한다. 이 글은 다크웹 기반 거래사이트 ‘다크포럼스’(Dark Forums)에 15일 게시됐다.
하지만 <보안뉴스> 취재 결과 이 데이터는 가짜인 것으로 드러났다. 다크웹 거래자들 사이에서도 쿠팡처럼 전 국민의 관심이 몰리는 기업명을 악용한 스캠이 기승을 부리는 것이다.
▲가짜 쿠팡 데이터가 매물로 올라왔다. [자료: 다크포럼스 웹페이지 스크린샷]
얼핏보면 그럴듯... 가짜 이메일주소 생성 반복패턴
다크웹 분석 전문팀 ‘Team D4rkn3ttz’가 레온스키와 텔레그램으로 대화하며 받은 샘플데이터를 분석한 결과, 이 데이터는 임의로 조작한 가짜로 드러났다.
이 데이터는 실제 존재하는 주소를 포함하고 있어 얼핏 보면 그럴듯하다. 강남, 판교 등에 있는 유명한 오피스 빌딩, 대학교 등의 주소가 적혀 있다. 하지만 이름과 이메일 주소가 반복적인 패턴을 보인다는 점 등에서 조작된 데이터라는 단서를 얻을 수 있다. 실제로 이름과 이메일, 전화번호가 유효하지 않거나 맞지 않는 것으로 나타났다.
Team D4rkn3ttz에 소속된 다크웹 분석가 A씨는 “이메일 주소가 이용자 이름 영문명이나 이니셜 뒤에 숫자가 붙는 식으로 같은 패턴이 반복되는 것으로 보아, 스스로 만들거나 AI를 이용했을 수도 있다”며 “이메일과 전화번호 등의 진위 여부를 확인해본 결과 없거나 맞지 않은 가짜 데이터였다”고 말했다.
A씨는 “다크웹 거래자들 사이에서 게시자의 ‘평판’을 조회해봤는데 긍정적 평판이 없었다”며 “다크웹 거래자들을 대상으로 ‘스캐밍’(Scamming)을 일삼는 하급 수준의 사기꾼”이라고 설명했다.
쿠팡 사고 전에도 다크웹에선 랜섬웨어 공격을 당한 국내 기업을 포함, 유명한 기업명을 악용한 가짜 데이터 판매 글이 게시돼 왔다.
9월에도 SK텔레콤 고객 2700만명의 정보를 갖고 있다고 주장하는 해커가 한눈에 봐도 조작된 주소로 보이는 엉성한 데이터를 샘플이라며 근거로 내놓은 바 있다. 가령 서울시로 시작하는 주소에 서울에 없는 구나 동이 조합돼 있는 식이다.
이번 가짜 쿠팡 데이터의 경우 실제 주소를 기입했다는 면에서 그보다는 다소 진일보한 셈이다.
▲A씨가 레온스키와 텔레그램으로 나눈 대화. (샘플데이터 내용 일부 블러처리) [자료: 텔레그램 대화창 스크린샷]
고가치 데이터에 특히 눈길... “속는 사람 생각보다 많아”
특히 쿠팡 유출 데이터가 피싱이나 스캠 용도로 가치가 높다보니 다크웹에서 더욱 눈길을 끈다. 3370만명이 털린만큼 워낙 대규모이며, 특히 주문내역이 포함된다는 면에서 정밀한 타깃 공격이 가능하다.
이처럼 가치가 높은 데이터를 판매한다는 스캠은 실제로 종종 성공한다. 특히 다크웹 거래 경험이 적은 거래자나 데이터 진위 확인이 비교적 어려운 외국인 거래자들은 걸려들 확률이 더 높다.
다크웹 분석가 A씨는 “조금만 들여다 보면 가짜라는 게 금방 들통날 하급 수준의 사기에도 당하는 사람들이 생각보다 많다”며 “쿠팡 사태로 전 국민 개인정보가 유출된 엄중한 시국을 악용해 다크웹에서조차 사기를 시도하는 범죄자들은 비난과 함께 응당의 대가를 치러야 한다”고 말했다.
이어 “쿠팡 등 쉽게 눈길을 끄는 키워드를 악용한 이 같은 스캠 행위가 앞으로도 증가할 수 있다”며 “당국과 기업, 소비자들도 다크웹 매물에 대해 섣불리 개인정보가 유출돼 거래되고 있다고 단정짓기 보다는 2차 검증 프로세스가 필요하다”고 조언했다.
앞서 텔레그램에 실제 이용자의 쿠팡 로그인 정보가 돌고 있다는 내용이 국내 방송에 보도된 바 있다. 이 경우는 쿠팡 해킹으로 털린 데이터가 아니라 다른 사이트에서 악성코드 공격 등을 통해 이용자 브라우저에 저장된 정보가 탈취된 사례라는 게 A씨의 분석이다.
한국인터넷진흥원(KISA)이 국회 과학기술정보방송통신위원회 이정헌 더불어민주당 의원에게 제출한 자료에 따르면, 쿠팡 개인정보 유출 사태 전후 약 2주(11월 28일~12월 11일) 동안 KISA의 ‘털린 내 정보 찾기’ 서비스로 개인정보 유출 여부를 조회한 사람 수는 10만 7802명으로 집계됐다. 지난해 같은 기간 1만 3200명보다 717% 증가한 수치다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
