“한국의 결제 카드·이메일 데이터 8,698~12,722원 대에 다크웹서 거래”

다크웹 72만 개 이상 데이터 불법 판매...다크웹 사이트 1곳서 220억 3,155만 원 거래
한국 데이터 가격 8,698~12,722.26원으로 다양...개인 이메일 데이터 가장 비싸

[보안뉴스 기획취재팀] 다크웹 사이트에서 데이터 불법 거래가 기승을 부리고 있어 데이터 보안에 비상이 걸렸다. 다크웹내 사이트 1곳에서 거래된 금액만 220억 3,155만 원 규모다. 불법거래에 대한 단속은 물론 개인정보와 중요 데이터가 유출되지 않도록 각별한 주의가 필요한 상황이다.

▲범죄자들이 다크웹 시장에서 거래하는 각종 데이터 가격 예시[자료= NordVPN]

글로벌 사이버 보안기업 NordVPN은 “다크웹 1개 사이트에서만 220억 3,155만 원 규모의 데이터가 판매되고 있다”며 “현재까지 다크웹에서 72만 개 이상의 데이터가 불법으로 판매되었다”고 분석했다.

대한민국 관련 데이터는 8,698~12,722.26원 사이에서 판매되고 있는 것으로 나타났다. 가장 비싼 데이터는 개인 이메일 데이터로 평균 12,722.26원에 판매됐다. 가장 저렴한 데이터는 대한민국 결제 카드 데이터로 평균 8,698원에 거래되는 것으로 조사됐다.

전 세계적으로 판매되는 것으로 파악된 데이터에는 여권, 개인 신분증, 운전면허증, 이메일, 결제 카드 데이터, 휴대폰 번호, 온라인 계정, 은행 계좌 로그인 정보, 암호화폐 계정과 개인 데이터가 포함되어 있다.

NordVPN의 사이버 보안 전문가 아드리아누스 바르멘호벤(Adrianus Warmenhoven)은 “조사한 다크웹 사이트는 빙산의 일각에 불과하다. 현재 다크웹에는 3만여 개의 웹사이트가 존재한다. 온라인에서 모든 사용자가 접근할 수 있는 웹사이트는 인터넷 전체에서 4%에 불과하다는 사실을 기억해야 한다”며 “사례 연구에서 이 시장을 분석하기로 결정한 이유는 해당 사이트가 지난해 8월 AT&T 데이터 탈취와 같은 대규모 해커 그룹의 공격에 활용된 전력이 있기 때문”이라고 덧붙였다.

대한민국 관련 데이터 평균 가격
△분석에 참여한 보안전문가들은 다크웹에서 파악된 대한민국 관련 데이터의 가격이 세계에서 가장 저렴하다는 사실을 발견했다.

△일부 범죄자는 대량의 이메일 목록을 구매해 피싱 공격이나 다른 악의적 행위에 활용한 것으로 나타났다. 가장 비싸게 판매된 대한민국 관련 데이터는 개인 이메일로, 이메일 목록당 12,722.26원에 판매됐다. 이는 일본, 인도네시아, 홍콩, 중국의 가격과 비슷한 수치이다.

△다른 국가와 마찬가지로 무차별 대입 공격이나 비밀번호 유추를 통해 탈취한 대한민국 데이터는 훨씬 저렴한 가격에 판매됐다. 평균적으로 결제 카드 데이터는 약 8,698원에 판매됐다. 크리덴셜 스터핑(Credential Stuffing)은 해커가 사용자의 데이터나 디지털 자산을 탈취하는 쉬운 방법 중 하나다. 크리덴셜 스터핑은 유출된 비밀번호나 이메일을 통해 다른 서비스에 접근하는 행위를 말한다. 크리덴셜 스터핑으로 인해 온라인 계정도 저렴한 가격에 판매되고 있었다. 해킹된 넷플릭스 계정은 12,735원에 판매됐으며, 우버 계정은 15,282원, 트위터 계정은 2,547원에 판매되고 있었다.

△암호화폐 계정과 투자 계정은 결제 서비스 계정과 일부 은행 계좌보다 비싼 가격에 판매됐다. 가장 비싼 암호화폐 계정 데이터는 Binance 계정으로 평균 503,032.50원에 판매됐으며, 다음으로 비싸게 판매된 계정은 Kraken(489,024원)과 Crpyto.com(445.725원)으로 나타났다. PayPal과 같은 결제 서비스 계정의 가격은 평균 127,350원이었다. 결제 서비스 카테고리에서 가장 비싸게 판매되는 데이터는 CashApp 계정으로 약 310,734원에 판매되고 있었다.

▲다크웹에서의 대한민국 결제 카드 및 이메일 데이터 판매 가격[자료=NordVPN]

데이터가 다크웹에서 판매될 가능성을 줄이는 방법
사이버 보안전문가 아드리아누스 바르멘호벤은 “해당 범죄 시장에서 다양한 데이터가 판매되고 있다는 사실은 보안과 온라인 프라이버시의 중요성을 일깨운다. 자신의 사이버 보안에 관한 책임은 자신에게 달려 있다. 위험성을 이해하고 적절한 도구와 정보를 활용한다면 자신과 가족의 안전을 최대한 보장할 수 있을 것”이라고 말했다. 아드리아누스 바르멘호벤이 권장한 사이버 보안 확보 방법은 다음과 같다.

1. 사이트와 서버의 신뢰성 확인
해커는 사용자가 데이터를 공유하는 웹사이트와 서비스를 표적으로 공격을 진행함으로써 다양한 데이터를 탈취한다. 자신의 데이터를 저장하는 서버의 보안을 직접 확보할 수는 없다. 따라서 데이터 보안을 우선으로 하지 않는 사이트와 서버를 이용하지 않는 것이 좋다. 사이트나 서비스가 중요 데이터를 요구하는 경우 회사가 데이터를 보호하는 방법과 데이터가 유출될 시 어떻게 대응하는지를 철저히 확인해야 한다.

2. 정보 수집
개인적으로 데이터를 보호하는 방법에는 여러 가지가 있으며, 사용하는 장치와 서비스의 보안을 확보할 수 있는 방법에 관한 정보를 수집하는 것이 중요하다.

3. 위험에 주의
데이터를 보호하는 방법을 확인하는 것도 중요하지만, 중요 정보가 승인 없이 사용된 경우 신속하고 효과적으로 대응하는 것도 중요하다.

4. 계좌 모니터링
주간 은행 명세서를 요청하거나 앱에서 결제 알림을 활성화해야 한다. 모든 계좌에서 보안 설정을 활성화하면 의심스러운 장치에서 로그인 시도가 발생한 경우 알림을 받을 수 있다. 또한, 사용하는 사이트나 서비스가 제공하는 도구를 활용하는 것이 좋다. 예를 들어 비밀번호 관리 프로그램 NordPass를 이용하면 비밀번호 강력성 점검 기능을 통해 비밀번호가 유출됐는지 확인할 수 있다.
[기획취재팀(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)