기업서버에 생활 데이터 가득
주소·주문시간·품목 추론하면
제2 범죄에 악용될 우려 커져
관리자 정보 털리면 큰 피해
“폰 분실했는데 대신 인증 좀”
클릭 한번에 기업비밀 통째로
해킹 당한 개인정보는 단순히 아이디 패스워드 연락처에 국한되지 않는다. 중소 쇼핑 업체인 ○○○○몰의 해킹 내역을 살펴보니, 사실상 생활 데이터 전부가 들어가 있다. 한 여성은 주소 뿐 아니라 주문시간, 주문 장소, 구매 품목까지 모두 탈취당했다. 주문 내역이나 주문 시간대만 보더라도, 혼자 사는지 아니면 가족과 사는지, 집은 몇시에 비우는지를 충분히 추론할 수 있다. 만약 범죄자가 해당 데이터를 악용할 경우 제2의 범죄로 이어질 수 있는 장면이다.
3일 매일경제 취재진은 다크웹(일반적인 방법으로는 접속하거나 접근할 수 없는 인터넷 영역) 탐지업계의 구글이라고 불리는 에스투더블유(S2W)에 도움을 받아, 해킹 실태를 파악했다. S2W는 전 세계 해킹 커뮤니티에 올라오는 해킹 데이터를 분석해, B2B(기업간 기업)서비스 플랫폼인 퀘이사와 기업간 정부(B2G) 서비스인 자비스를 통해 기업과 군·경찰에 통찰력을 제공하고 있다.
오재학 S2W 다크웹 분석가는 이에 대해 “일반적으로 해커가 특정 기업을 바로 공격하고 싶어도 방어벽 때문에 힘들다”면서도 “하지만 해킹 커뮤니티에 올라온 상세 데이터와 스틸러 로그를 결합해 활용할 경우 충분히 가능하다”고 말했다.
이들 커뮤니티는 악성 스팸 뿐 아니라 데이터 몸값을 요구하는 랜섬웨어, 무차별 방해를 시도하는 디도스 공격의 발원지다. 임정연 S2W 위협인텔리전스 분석가는 “기업의 내부 네트워크에 접근할 수 있는 액세스(Access), 계정 정보 등을 다크웹에서 판매하는 해커를 가리켜 ‘이니셜 액세스 브로커(Initial Access Broker·IAB)’라고 부른다” 며 “해커 생태계에서 매우 중요한 역할을 하는 사이버 범죄자”라고 설명했다.
만약 이들이 올린 데이터가 스팸용 데이터로만 판매되기만 한다면 운이 좋은 편에 속한다. 국내에서도 인터넷만 검색만 하면 ‘개인정보를 판다’는 사이트가 수십개씩 나온다. 특히 대출DB, 주식DB, 코인DB, 카지노DB 등을 입력하면 특정 정보 페이지를 찾을 수 있을 정도다.
마케팅에서는 고객획득비용(CAC)이라는 개념이 있다. 한 명의 평생 회원을 획득하는데 필요한 총비용이다. 마케터들은 잠재고객 전화번호나 이메일을 확보하려고 잠재고객 1인당 적게는 수천원 많게는 수십만원을 마케팅 비용으로 집행한다. 하지만 건당 2원에 불과한 불법 전화번호는 공짜나 다름없다. 불법 데이터 역시 스팸에 대한 수요가 있어 판매가 되는 셈이다.
또 다른 해커가 관리자 정보(admin)를 찾아내면, 더 큰 피해로 이어지기 일쑤다. 일부 2차 해커는 이니셜 액세스 브로커가 올린 수많은 데이터 가운데 특정 기업의 개인정보(IT) 관리자 정보를 샅샅이 찾아낸다. 이들은 2단계 인증을 뚫기 위해 ‘사회공학 기법’을 연구한다. 2단계 인증은 아이디 패스워드 외에 접속하는 물리적 주소가 다를 경우 휴대전화나 OTP(일회용 비밀번호)를 입력하는 것을 가리킨다. 최근 생성형 인공지능(AI)이 발전하면서 사회공학 장벽을 낮추고 있다.
오재학 S2W 다크웹 분석가는 “외국에 있는 해커가 마치 공식 IT 관리 담당자인것처럼 사칭해 동료에게 인증을 요구한다”면서 “예를 들어 ‘핸드폰을 분실했으니, 급한데 인증 좀 해달라’고 이메일을 보낸다”고 설명했다. 문체를 자유자재로 만드는 생성형AI는 언어의 장벽을 통째로 없애, IT 담당자들의 의구심을 거두게 만드는 것이다. 하지만 동료가 인증을 하는 순간 기업 데이터가 송두리째 탈취된다.
대표적인 사례가 글로벌 해커 그룹 랩서스(Lapsus$)다. 랩서스는 마이크로소프트와 삼성전자 데이터를 탈취한 해커 조직이다. 특히 마이크로소프트는 랩서스에 뚫려 검색 엔진 빙과 AI 소스 코드를 탈취당하기도 했다. 기업 지식재산이 송두리째 빼앗긴 것이다. 이들이 쓰는 수법은 스틸러로그를 활용하는 것이다. 시스템에 접근한 뒤 사회공학 기법을 써서 서서히 더 높은 권한 계정을 확보해 나가는 방식이다.
▶ 스팸(Spam) : 스팸은 대량으로 발송되는 원치 않는 이메일 또는 문자 메시지를 가리킨다.
▶ 스캠(Scam) : 스캠은 금전적 이익을 취하고자 이메일, 문자메시지, 전화, 소셜미디어를 통해 특정인을 사칭하거나 거짓 정보를 제공하는 사기 행위를 뜻한다.