Home > 전체기사
현대 다크웹 범죄자들 사이에서 거래되고 있는 계정 수는 무려 150억
  |  입력 : 2020-07-09 11:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
바야흐로 계정 탈취의 시대...탈취한 계정 가지고 갖가지 사이버 범죄 행위 저질러
중복 자료 제거한다고 해도 50억 개 넘어...크리덴셜 설정 습관부터 바꾸는 것이 핵심


[보안뉴스 문가용 기자] 일반 소비자나 조직들의 온라인 계정들을 가지고 범죄 행위를 저지르고 싶어 하는 사이버 범죄자들에게 있어 크리덴셜 구하기란 하늘의 별 따기 같은 것일까? 전혀 아니다. 오히려 땅에 떨어진 먼지 쓸기나 다름이 없는 수준이라고 한다.

[이미지 = utoimage]


보안 업체 디지털 셰도우즈(Digital Shadows)가 조사한 바에 의하면 현재 다크웹에에서 유통되고 있는 크리덴셜 ‘상품’이 150억 개가 넘는다고 한다. 이는 최근 몇 년 동안 터진 각종 정보 유출 사건 10만여 건에서부터 비롯된 것으로, 도메인 관리자 계정 크리덴셜, 은행 및 금융 관련 계정의 크리덴셜, 소셜 미디어와 영상 스트리밍 서비스 크리덴셜 등 다양한 종류의 아이템이 존재한다고 한다.

가격은 크리덴셜이 엮인 계정에 따라 다음과 같이 형성되어 있다고 한다.
1) 도메인 관리자 계정 : 3139 달러
2) 은행 계정 : 70.91 달러
3) 백신 프로그램 계정 : 21.67 달러
4) 성인 사이트 계정 : 10 달러 미만
5) 온라인 게임 / 파일 공유 사이트 계정 : 2달러 미만

당연한 일이지만 은행 계좌로 연결시켜주는 크리덴셜들 중에서도 대기업이나 주요 기관의 것들은 꽤나 높은 가격에 거래되고 있었다. 또한 ‘관리자’급 권한을 가진 계정은 500 달러에서 12만 달러 사이에 경매 형식으로 판매되고 있었다고 한다. “크리덴셜을 거래한다는 건 결국 계정을 거래한다는 건데요, 계정마다 가치가 다르다보니 가격대도 다양하게 형성되어 있었습니다.” 디지털 셰도우즈의 위협 분석가인 케이시 클락(Kacey Clark)의 설명이다.

다크웹에 활발히 광고되고 있는 ‘크리덴셜/계정 상품들’ 중 25%는 금융 산업과 관련된 것이었다. 그 다음으로 인기가 있던 건 스트리밍용 계정과 프록시 및 VPN 계정이었다. “계정 정보가 활발히 거래되고 있다는 건 알았지만 150억 건이 넘는 규모의 시장이 형성되어 있다는 건 몰랐습니다. 확실히 지금은 계정을 노리는 시대라고 볼 수 있습니다.”

이러한 계정 탈취 공격은 최근 들어 엄청난 피해로 이어지고 있다. 사이버 범죄자들은 피싱, 크리덴셜 스터핑, 프루트포스 등 다양한 기법을 사용해 크리덴셜을 모으고 있고, 이렇게 모은 크리덴셜을 다크웹에 판다든가 추가 범죄 행위의 재료로 사용해 돈을 벌고 있다. 추가 범죄란 사기 송금 및 물품 구매, 스트리밍 및 게임 서비스로의 불법 접근 등이 있다.

이렇게 시장에 크리덴셜이 넘쳐나게 된 것은 요 몇 년 동안 대형 유출 사고가 꾸준히 발생했기 때문이다. 최소 5억 개에서 최대 30억 개의 기록이 새나간 야후 해킹 사건, 2억 6천만 건의 기록이 유출된 페이스북 해킹 사건을 비롯해, 클라우드 설정 오류로 인해 발생한 크고 작은 크리덴셜 노출 사건들이 대표적이다.

이렇게 범죄자들 손으로 직접 들어간 계정 정보는, 그 수 자체만으로도 엄청난 위협이 된다. 그러나 실상은 이 숫자들보다 더 크다. 왜냐하면 온라인 서비스 사용자들 대부분 같은 ID와 비밀번호를 가지고 여러 가지 서비스에서 계정을 만들어 사용하기 때문이다. 게다가 잊어버리지 않으려고 쉬운 비밀번호를 설정하는 사람들이 대다수이기 때문에 ‘비밀번호의 중복 사용’ 문제는 더 악화되는 것이 보통이다.

디지털 셰도우즈는 이번 조사를 통해 “다크웹에서 유통되는 크리덴셜의 수가 2018년에 비해 지금 300% 증가”했다는 사실을 알아냈다고 한다. 그나마 다행인 건 현재 거래되는 총 수량인 150억 건 중 중복된 자료를 제외하고 고유한 것만 추려내면 약 50억 건 정도가 된다는 것이다.

이렇게 크리덴셜 시장이 커지면서 다크웹에 새롭게 출현하고 유행하는 서비스 중 대표적인 것이 ‘서비스형 계정 탈취(Account-takeover-as-a-service, ATaaS)’다. 피싱이나 멀웨어 개발을 대행해주는 것처럼, 계정 탈취를 대행해주는 것이다. “지문 정보, 쿠키, IP 주소, 크리덴셜, 시간대 정보 등 계정에 관한 다양한 정보가 이 서비스에 포함되어 있습니다.”

다크웹 시장 중 제네시스 마켓(Genesis Market), 언더월드 마켓(UnderWorld Market), 테네브리스(Tenebris) 등이 크리덴셜 관련 서비스가 가장 활성화 되어 있다. 다양한 종류와 가격대의 서비스나 상품이 거래되고 있다. ATaaS와 같은 신진 서비스도 여기서 활발히 문의되고 또 거래된다.

디지털 셰도우즈 측은 “계정 탈취 공격을 통해 입는 피해를 최소화 하려면 항상 모니터링을 해야 한다”며 “해브 아이 빈 폰드(Have I Been Pwned)와 같은 사이트에 수시로 접속해 계정이 탈취되었는지 아닌지 확인하는 것이 중요하다”고 권장했다. 여기에 “강력한 비밀번호를 사용하는 것은 기본 중 기본”이라고 덧붙였다.

3줄 요약
1. 다크웹에서 유통되는 크리덴셜/계정의 수는 자그마치 150억.
2. 중복되는 것을 뺀다 하더라도 50억 건 이상.
3. 지금은 계정 탈취 시대. 해브 아이 빈 폰드 같은 서비스 자주 이용하는 습관이 중요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)