세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
얼마 전 발견된 7억 건 이메일, 최초 배포자 찾아냈다
  |  입력 : 2019-02-05 10:47
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
콥즈라는 이름으로 활동하는 인물, 최초로 데이터 판매 시작한 듯
러시아 포럼에서도 비슷한 인물 발견돼...앞으로 크리덴셜 스터핑 공격 이어질 것


[보안뉴스 문가용 기자] 보안 업체 레코디드 퓨처(Recorded Future)가 컬렉션 1(Collection #1)이라고 불리는 데이터 덤프를 배포한 자를 찾아냈다. 컬렉션 1은 얼마 전 발견돼 화제가 된 것으로 7억 7300만 건의 이메일 주소가 포함되어 있었다.

[이미지 = iclickart]


이 7억 7천만 건의 이메일 주소는 단 한 번의 침해 사고로 인해 유출된 것이 아니라, 과거 발생한 여러 개의 사건에서 나온 정보를 누군가 정리해 재배포 한 것으로 보였다. 총 크기는 87.18GB였으며, 총 2,692,818,238열의 데이터를 담고 있었다고 한다. 이 열들에는 이메일 주소와 비밀번호가 저장되어 있었다.

레코디드 퓨처의 보안 전문가들은 이 덤프가 화제가 된 때부터 최근까지 분석을 이어왔다. 그러면서 ‘컬렉션 1’에 있는 크리덴셜들이 정말로 다양한 해킹 사고로부터 나온 것이라는 결론을 내렸다. 심지어 일부는 2~3년 전 사고로부터 비롯된 것이기도 했다. 그래서 ‘새로운 데이터’는 없을 가능성이 높아 보였다.

레코디드 퓨처는 “컬렉션 1의 배포로 인해 자신의 이메일과 비밀번호가 유출된 사람들의 경우, 이미 이메일 비밀번호를 바꿔달라는 권고를 받았을 가능성이 높다”며 “그 때 잘 바꿨다면 컬렉션 1 때문에 새로운 피해를 입지는 않을 것”이라고 설명한다.

컬렉션 1은 최근 다크웹 상에서 판매되기 시작한 대형 데이터베이스의 일부인 것으로 보인다. 굉장히 많은 해킹 단체에서 이 데이터베이스를 판매하거나 배포하기 시작했는데, 이 중에는 컬렉션 1 외에도 여섯 개의 데이터베이스에 대한 링크를 제공하고 있는 클로록스(Clorox)라는 집단도 있다. 클로록스는 메가(MEGA)라는 파일 공유 서비스를 통해 DB를 배포하고 있었다.

이 7개의 데이터베이스는 총 993.53GB로, 이메일 주소와 비밀번호, 사용자 이름과 비밀번호, 핸드폰 번호와 비밀번호로 구성되어 있다. 이 DB들의 이름과 용량은 다음과 같다.
1) 안티퍼블릭 1(Antipublic #1) : 102.04GB
2) AP MYR & ZABUGOR #2 : 19.49GB
3) 컬렉션 1 : 87.18GB
4) 컬렉션 2 : 528.50GB
5) 컬렉션 3 : 37.18GB
6) 컬렉션 4 : 178.58GB
7) 컬렉션 5 : 40.56GB

클로록스는 이런 DB들을 제공하며 “다른 지하 포럼의 또 다른 단체가 판매하고 있던 것들”이라고 설명했다. 이러한 설명을 발견한 레코디드 퓨처의 전문가들은 포럼들을 검색하기 시작했다. 그리고 컬렉션 1을 최초로 만들고 판매한 자를 발견하는 데 성공했다. 해당 인물은 콥즈(C0rpz)라는 이름으로 2019년 1월 7일부터 데이터베이스들을 판매하기 시작했다.

이 인물은 메가 서비스를 통해 컬렉션 1을 무료로 제공하고 있었다. 사닉스(Sanix)라는 다크웹 포럼 사용자가 콥즈로부터 데이터를 사들인 뒤, 이를 다른 포럼에서 판매하기 시작한 다음부터였다. 사닉스는 이러한 행위로 해당 포럼에서 쫓겨났고, 콥즈는 컬렉션 1을 무료 배포함으로써 판매 행위를 촉진하기 시작했다.

레코디드 퓨처는 콥즈 외에 또 다른 후보자를 발견할 수 있었다. 러시아어 구사자들이 모여 있는 포럼에서 활동하는 자로, 1천억 건의 사용자 계정이 포함되어 있는 데이터베이스를 자신의 개인 웹사이트에 링크시킨 바 있다.

레코디드 퓨처는 “당분간 컬렉션 1의 DB가 계속해서 해커들 사이에서 공유될 것이며 배포될 것”이라고 내다봤다. 또한 “이를 활용한 크리덴셜 스터핑 공격이 이어질 것”이라며, “인터넷 이메일 사용자라면 그냥 한 번씩 비밀번호를 바꾸는 게 안전할 것”이라고 제안했다.

3줄 요약
1. 얼마 전 배포되기 시작한 대규모 이메일 및 크리덴셜 데이터.
2. 이 데이터를 추적했더니, 다크웹 포럼에서 한 판매자 나옴.
3. 러시아 포럼에서 1천억 건의 데이터 포스팅한 인물도 발견됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 공공 및 민간의 클라우드 컴퓨팅 도입이 더욱 활발해질 것으로 보입니다. 보안성과 효율성을 고려할 때 자사의 클라우드 도입시 가장 우선적으로 검토할 기업 브랜드는?
아마존웹서비스(AWS)
마이크로소프트 애저(MS Azure)
IBM 클라우드
오라클 클라우드
NHN엔터테인먼트 토스트 클라우드
NBP 네이버 클라우드 플랫폼
기타(댓글로)