Home > 전체기사
일부 악성 직원들, 다크웹에서 부업 활동 벌이고 있다
  |  입력 : 2019-12-04 15:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다크웹에서 조직 정보 판매하는 직원들 늘어나고 있어
악성 내부자도 문제지만 정상 내부자의 실수도 문제...데이터 조작이 너무 쉬워


[보안뉴스 문가용 기자] 다크웹 조사를 전문적으로 하는 보안 전문가들이 최근 다크웹에서 나타나는 트렌드를 공개했다. 여러 기업과 기관의 정식 직원들이 개인적인 수익을 위해 조직의 정보를 다크웹에 판매하는 경우가 늘어나고 있다는 것이다.

[이미지 = iclickart]


보안 업체 인트사이츠(IntSights)의 사이버 위협 첩보 분석가인 채러티 라이트(Charity Wright)에 의하면 “암시장의 브로커들과 결탁해 조직의 정보를 판매하는 사람들이 증가하고 있다”며 “주로 러시아어로 된 포럼에서 이런 일이 벌어지고 있고, 금융 관련 정보들이 주로 거래된다”고 한다.

라이트는 “예를 들어 최근 다크웹을 조사하는 중에 두 명의 통신사 직원들이 문자 메시지 로그와 심카드의 위치 정보를 판매하는 것도 보았다”고 말한다. “사이버 범죄자나 사이버전 전문가들이 이 정보를 구매한다면 어떻게 될까요? VIP 등 주요 인물들에 대한 표적 공격이 가능해집니다. 게다가 다크웹에서의 가격이 비싸지도 않습니다. 대단히 심각한 현상입니다.”

다크웹을 드나드는 직원들 중 금융 산업 종사자들이 현재는 조금 더 유리한 거래를 하고 있다. “은행 내부자의 경우 브로커들이 다른 산업 종사자들보다 10배 넘는 조건을 제시하기도 합니다. 사실 은행 내부로 들어갈 수 있는 열쇠만큼 사이버 범죄자들이 원하는 것도 없거든요. 그 열쇠를 갖게 된다면 갖가지 금융 사건을 일으킬 수 있죠. 고객 정보 탈취부터 금융 사기, 심지어 내부자 거래까지도요.”

인트사이츠가 다크웹에서 벌어지고 있는 악성 조직원의 거래 행위를 조사한 건 벌써 4년 전부터다. 2017년 인트사이츠는 또 다른 보안 업체인 레드아울(RedOwl)과 함께 공동으로 내부자의 부당한 수익 창출 경로에 관한 보고서를 발표하기도 했다. 당시에도 다크웹의 해커들이 실제 직원들을 자꾸만 꼬드긴다는 내용이 포함되어 있었다.

다크웹의 브로커들이 내부자를 포섭하는 과정은 꽤나 복잡하고 정교하다고 알려져 있다. “선택도 신중하게 하고, 포섭과 확인까지 까다롭게 진행합니다. 특히 후보가 될 만한 내부자가 조직 내에서 실제 어느 정도의 접근 권한을 가지고 있는지 확인하는 데 있어 여러 가지 검증 과정을 거칩니다. 권한도 문제지만, 그 권한을 얼마나 빠르고 유효하게 활용할 수 있느냐도 시험을 봅니다. 이 엄중한 심사를 통과하면 그 때부터 그 내부자는 각종 익명 장치의 보호를 받기 시작합니다.”

최근 이러한 악성 내부자들과 브로커들이 가장 많이 나타나는 곳은 다크 머니(Dark Money)라는 포럼이다. 주로 은행 정보가 은밀히 거래되는 곳이다. 그 외에도 cc, 익스플로잇인(exploit.IN)과 같은 포럼에도 이런 행위들을 쉽게 발견할 수 있다. “제네시스 마켓(Genesis Market), 조커스 스태시(Joker's Stash), 비티파이(Bitify)와 같은 시장도 유명합니다. 여기서는 은행 카드 정보가 30~50달러에 거래됩니다.”

이런 현상은 아직 영어권 포럼에서는 그리 가시적으로 드러나지는 않고 있다. 조직 내 정보를 판매할 의향이 있는 구성원이라고 하더라도, 대놓고 다크웹에서 거래처를 찾지 않는다. 조금 더 조심스럽고 경계하는 모습을 보이는 게 보통이다. “접근을 몇 번 해봤는데, 굉장히 의심이 많고 여러 가지 질문을 하더군요. 아마 영어권 보안 전문가들과 사법 기관들이 다크웹을 활발히 드나들며 조사한다는 걸 알고 있기 때문인 것 같습니다.”

사이버 보안 업체 카본 블랙(Carbon Black)의 수석 전략가인 톰 켈러만(Tom Kellermann)은 “다크웹 정도로 큰 경제 규모라면 ‘풀타임 사이버 범죄자’들만으로 구성되어 있다고 보기 힘들다”며 “파트타임 참여자들도 나타나기 시작하는 게 자연스러운 현상”이라며 인트사이츠의 연구 결과에 동의한다.

“그러나 (이번 보고서에서도) 확실히 밝히지 못한 것이 남아 있습니다. 내부자라고 자칭하는 사람들이 진짜 정상 직원인지 아니면 특정 조직에 침투하는 데 성공한 또 다른 해커인지 구별되지 않았다는 겁니다. 둘은 전혀 다른 해결 방법을 가지고 있는 문제고, 따라서 이 현상에 대한 접근법이 자칭 내부자들의 진정한 정체에 따라 달라져야 할 것입니다.”

라이트는 “악성 내부자들이 ‘내부자 위험’의 가장 큰 부분을 차지하는 건 아니”라고 말한다. “실제 기업 현장에서 가장 많이 발생하는 ‘내부자 위험’ 관련 사고는 악의가 없는 정상 직원들의 순수한 실수로부터 비롯됩니다. 실수로 피싱 메일을 열어본다거나, 파일을 잘못 첨부해 엉뚱한 주소로 보낸다거나 하는 것이죠.”

또한 내부자 위험이라는 요소 자체는 기업의 데이터 유출 사고에 있어 굉장히 큰 부분을 차지하고 있다. “실수에서든 악의에서든, 내부에 있는 사람들, 특히 중요 데이터에 접근할 수 있는 사람들은 클릭 몇 번과 버튼 조작 몇 번으로 꽤나 큰 악행을 저지를 수 있고, 큰 피해를 입힐 수 있습니다. 데이터는 너무나 중요한 가치를 가지고 있는데, 그 데이터를 가지고 할 수 있는 행위들은 너무나 쉽다는 겁니다. 데이터 조작과 처리가 쉽고 빠르게 되는 것 자체가 내부자 위험을 부추기고 있어서 해결이 쉽지 않습니다.” 마임캐스트(Mimecast)의 마케팅 책임자인 가스 랜더스(Garth Landers)의 설명이다.

3줄 요약
1. 돈 벌고 싶어 하는 조직원들, 조직 정보 들고 다크웹으로 진출.
2. 다크웹에도 이런 사람들을 다루는 브로커 존재.
3. 진짜 내부자일까, 아니면 또 다른 해커일까? 이것부터 밝혀야 해결 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)