Home > 전체기사
2016년 대규모 해킹 사건의 범인, 드디어 꼬리 밟혔다
  |  입력 : 2018-11-22 13:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
링크드인, 야후, 마이스페이스, 얀덱스 등...억대 단위의 유출 사고 일어나
범인은 이름 바꿔가며 데이터 판매 시도...다크웹에서 쫓겨 나자 자취 감춰


[보안뉴스 문가용 기자] 보안 업체 레코디드 퓨처(Recorded Future)가 2016년 발생한 대단위 정보 유출 사건을 일으킨 자의 정체를 밝혀냈다고 발표했다. 여기서 말하는 사건은 2016년에 발생한 링크드인, 트위터, 텀블러 등의 개인정보 유출 사건이다.

[이미지 = iclickart]


2016년, 한 익명의 인물이 다크웹 포럼에 나타나 닉네임을 바꿔가며 유명 인터넷 서비스의 데이터베이스를 판다는 광고를 올렸다. 그는 자기가 가지고 있는 데이터베이스가 아무 사이트에서 나온 게 아니라고 주장하며 출처 이름을 대기 시작했는데 워낙 유명한 업체들이어서 파장이 컸다. 링크드인, 브콘탁테(러시아 대표 SNS), 야후, 얀덱스, 램블러, 마이스페이스, 바두, QIP, 모방고에서 훔쳐온 DB라는 것이었으니 그럴 만도 했다.

여러 이름을 사용했지만 이 인물은 테사88(tessa88)로 불리기 시작했다. 그리고 대부분 다크웹 커뮤니티에서 차단되기 시작했다. 테사88은 곧 모든 통신을 끊고, 누구와도 소통하지 않았다. 한 마디로 사라진 것인데, 따라서 그 뒤를 쫓던 보안 전문가 모두 닭 쫓던 개 신세가 되었다.

그러더니 같은 해 5~6월 사이에 대규모 데이터 유출 사고가 헤드라인을 장식하기 시작했다. 온라인 계정의 암흑기라도 불려도 될 만한 시기였다. 당시 보도된 내용들을 잠시 살펴보면 1) 링크드인에서 1억 6천 7백만 건 유출, 2) 마이스페이스에서 3억 6천만 건 유출, 3) 텀블러에서 6천 5백만 건 유출, 4) 트위터에서 3천 2백만 건 유출, 5) 브콘탁테에서 1억 7천만 건 유출 등이다.

이러한 시기를 지나오는 동안 레코디드 퓨처는 테사88의 추적을 멈추지 않았다고 한다. 그리고 최근 막심 블라디미로비치 도나코프(Maksim Vladimirovich Donakov)라는 인물이 바로 테사88이라고 지목했다. 도나코프란 인물은 러시아의 펜자에 거주 중이라고 한다.

이 전에도 테사88을 찾아내려는 시도는 여럿 있었다. 보안 업체 인포아머(InforArmor)는 2016년 “테사88은 계정과 개인 식별 정보를 그룹 E(Group E)라는 해커들에게 판매하는 프록시였을 뿐”이라는 내용의 보고서를 발표했다. 또한 2016년 5월 테사 88이 피스오브마인드(Peace_of_Mind)라는 또 다른 해커와 손을 잡고 활동하기 시작했다는 보고서가 나오기도 했다. 피스오브마인드도 개인 식별 정보를 판매하던 자로, 한 고객이 이 둘로부터 데이터를 구매하고 상품 질에 대한 불만을 제기하면서 둘의 사이는 멀어졌다.

그러나 레코디드 퓨처는 독자적으로 조사를 진행했고, 테사88과 관련이 있는 채팅 혹은 이메일 계정들을 다수 발견하는 데 성공했다. 트위터, 이머저, 유튜브 계정들도 나왔다. 이렇게 나온 증거를 하나하나 연결해서 올라가다보니 막심 도나코프라는 인물과 그의 거주지 정보까지 발견할 수 있었던 것이다.

그 외에도 레코디드 퓨처는 테사88과 연결된 계정들에서 사진, 영상 등의 추가 자료도 확보할 수 있었다. 전부 그 자신이 만든 온라인 계정을 통해 공개한 자료로, 레코디드 퓨처가 불법적인 해킹을 통해 보유하게 된 건 아니라고 한다. 이 자료들을 취합해 분석하니 역시 도나코프가 등장했다. 레코디드 퓨처는 그가 우크라이나 페르보마이스크에서 1989년 7월 2일에 태어났다고 공개하기도 했다.

테사88은 비트코인 지갑도 보유하고 있었는데, 레코디드 퓨처가 조회했을 당시에는 168 비트코인을 보유하고 있었다. 이 돈은 그가 2016년 공개했던 데이터베이스를 판매해 받은 돈으로 보이며, 주로 로컬비트코인즈(LocalBitcoins)라는 거래소를 통해 자금을 세탁하고 있었다고 한다. 이 지갑을 마지막으로 사용한 건 2017년 8월이었다.

레코디드 퓨처의 연구소인 인식트 그룹(Insikt Group)은 “테사88이 막심 도나코프라는 것에 대해 크게 확신하고 있다”며 “이 인물은 최소한 2012년부터 다크웹에서 활동했다”고 발표했다. 도나코프가 주로 사용했던 닉네임 중에는 Paranov777, Daykalif, tarakan72511 등이 있다고도 추가했다.

아직도 2016년 대단위 데이터 유출 사고에 대한 수사는 진행 중에 있다. 2016년 체코 경찰은 FBI와 함께 예브게니 니쿨린(Yevgeniy Nikulin)이라는 러시아인을 링크드인 사건 용의자로 체포한 바 있다. 많은 전문가들은 이번 레코디드 퓨처의 보고서로 수사가 급물살을 탈 수도 있을 것으로 예상하고 있다.

3줄 요약
1. 2016년 링크드인, 야후, 마이스페이스 등 유명 서비스의 DB 보유한 해커 등장.
2. 여러 이름으로 판매 시도했음. 그 여러 이름 중 하나가 테사88.
3. 보안 업체 레코디드 퓨처는 최근 추적을 통해 러시아 거주 중인 한 인물이 테사88이라고 지적함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)