머니투데이는 국내 최대 화이트해커 전문그룹 SK쉴더스 EQST 전문가의 도움을 받아 다크웹에서 한국인들의 개인정보가 불법 유통되고 있는 모습을 확인했다. 사진은 한국인 6만2000여명의 콤보데이터(이메일 계정과 비밀번호 조합)를 담았다고 주장하는 텍스트 파일의 앞부분이다. 게시자의 텔레그램 아이디 등은 모자이크처리했다. / 사진=황국상기자"남한 6만2000명 콤보 데이터, 고퀄리티"(South Korea 62K, GREAT QUALITY)
다크웹 해커들이 데이터를 공유하거나 사고 파는 해킹 포럼 게시판에 접속해 'KOREA'라는 키워드로 검색하면 바로 보이는 문구들이다. '콤보 데이터'란 아이디와 비밀번호의 조합을 일컫는 은어(隱語)다. 한국인들의 개인정보는 수만, 수십만건 단위의 떨이로 묶여 판매된다. "한국인들의 개인정보는 하도 흔해서 다른 나라 사람들의 개인정보에 비해 훨씬 가격이 싸게 거래된다"라는 말이 있을 정도다.
다크웹과 딥웹, 서피스웹에 대한 개념도. 사진은 노드VPN(NordVPN) 홈페이지 캡쳐노드VPN은 "다크웹이라고 하면 방대한 불법 네트워크를 상상하는 사람들이 많지만 사실 알려진 규모는 크지 않다"고 했다. 노드VPN은 미국 보안기업 레코디드퓨쳐(Recorded Future)를 인용해 다크웹 토르 웹사이트로 접속할 수 있는 '.onion' 도메인 사이트의 수는 5만5000개로 이 중 8400개 정도만 활성화돼 있다고 전했다. 상당 수 사이트들이 오픈됐다가 금세 방치되거나 각국 수사당국에 의해 폐쇄되는 등 변수로 제대로 운영되지 못하기 때문이다. 노드VPN은 "다크웹의 도메인은 일정하지 않고 새로운 사이트들이 생겨나고 사라지기 때문에 정확한 규모를 추적하기는 어렵다"고 했다. 구글은 고객센터 홈페이지를 통해 "인터넷의 90% 가량이 딥웹에 포함되지만 다크웹으로 분류되는 인터넷은 0.01%도 안된다"고 밝혔다.
이 시각 인기 뉴스
다크웹 공간 중에서도 토르 브라우저로 접속할 수 있는 사이트 주소는 오니언(.onion)이라는 주소 문자열이 붙는다. 크롬, 엣지 등 일반 웹사이트의 주소가 '닷컴'(.com) 또는 '.co.kr' 등 표준화된 형태로 끝나는 것과 다르다. 'onion' 앞에 붙는 주소 문자열이 50개 또는 60개의 알파벳과 숫자 등으로 구성된, 난수표처럼 보이는 복잡한 문자열이 붙는다. 아는 사람만 찾아갈 수 있는 주소인 셈이다.
메일 ID·PW 비롯, 유언장·대출서류까지 고스란히 팔린다
랜섬웨어 조직 락빗(Lockbit)이 미국 모 로펌에서 탈취한 자료를 판매하거나 공개하겠다고 올린 게시물을 캡쳐한 것이다. 1000여명 이상 고객의 민감 정보를 판매하겠다는 설명과 함께 데이터 공개시간 연장, 데이터 완전 삭제, 데이터 다운로드 등에 필요한 비용을 알리는 내용이 적혀 있다. 회사 이름과 공개된 샘플의 민감정보 부분은 모자이크 처리했다. / 사진제공=SK쉴더스다크웹에 개설된 각종 해킹포럼 등 게시판에 돌아다니는 한 텍스트파일(.txt)에는 대검찰청(sppo.go.kr) 특허청(kipo.go.kr) 관세청(customs.go.kr) 금융감독원(fss.or.kr) 한국은행(bok.or.kr) 등 정부·공공기관을 비롯해 한국전력(kepco.co.kr) 한화(hanwha.co.kr) 등 민간기업, 서울대(snu.ac.kr) 고려대(korea.ac.kr) 이화여대(ewha.ac.kr) 등 주요 학교 등 계정의 이메일 아이디와 비밀번호가 고스란히 담겨 있었다.
이렇게 탈취된 이메일과 비밀번호는 후속 공격에 쓰일 수 있다. 한번 탈취한 아이디와 비밀번호를 다른 사이트에도 대입해 로그인한 후 추가적인 개인정보 탈취를 시도하는 '크리덴셜 스터핑'(Credential Stuffing) 공격을 하는 이들이 주로 사간다. 실제 지난해 워크넷을 운영하는 한국고용정보원 및 한국장학재단 등 국내 공공기관이 알고리즘을 이용한 크리덴셜 스터핑 공격을 받아 약 27만건에 달하는 개인정보가 유출되는 피해를 입은 바 있다.
그나마 이메일과 비밀번호만 적혀 있는 경우는 상황이 나은 경우였다. 세계 최대 랜섬웨어 조직으로 꼽히는 락빗(Lockbit)이 개설한 블로그에는 이 조직이 침투해 확보한 전 세계 수백여 기업·기관들의 데이터들이 흥정 대상으로 올라와 있었다. 그 중에 전체 공개가 임박한 데이터로는 미국 소재 한 로펌의 정보가 눈에 띄었다. 400GB(기가바이트)에 이르는 데이터는 1000명 이상의 고객 정보를 담고 있었다. 고객의 대출 계약서나 부동산 거래 서류, 유언장, 경찰 체포 보고서, 재판 서류 등 당사자 사진이 포함된 민감 정보를 담은 자료들이 아무런 블러링(흐림 처리) 또는 마스킹(가림 처리) 없이 고스란히 공개된 점이 충격적이었다.
이 로펌과 관련해 락빗은 5000달러(약 664만원)를 내면 데이터 전면 공개를 24시간 연장해주겠다고 제안한다. 5만9999달러(약 7900만원)를 내는 이에게는 해당 로펌의 데이터를 언제든 다운로드할 수 있는 권한을 부여하거나 아예 데이터를 전부 삭제하겠다고 홈페이지에 써뒀다. 물론 이들이 약속을 지킬지 안지킬지는 모를 일이다. 실제 랜섬웨어 조직에게 돈을 주고도 데이터를 회수하거나 삭제하지 못하는 경우가 종종 있는 것으로 알려졌기 때문이다.
이같은 엄포가 얼마나 정확한 것인지에 대해서는 불명확한 경우가 많다. 다크웹에 올라오는 정보의 종류도 많다. 정민수 SK쉴더스 EQST 수석은 "지난해 락빗이 국세청 내부 정보를 확보해 공개하겠다고 협박하기도 했지만 실제 아무런 정보가 올라오지 않았다"며 "기관·기업의 내부 데이터나 개인정보는 물론, 어떤 조직 시스템의 취약점을 어떻게 공략할 수 있는지 등 정보만 따로 파는 IAB(초기침투전문브로커)들의 데이터도 수시로 올라온다"고 설명했다.
