개인정보·중요정보 유출·공개 여부 상시 확인해야
[데이터넷] 2021년이 저물어가고 있다. 올 한해도 많은 사이버 보안사고가 발생했다. 올해 전 사회에 보안 경고를 울린 ▲Log4j 취약점 ▲솔라윈즈·카세야 공급망 공격 ▲OT 타깃 랜섬웨어 ▲다크웹 개인정보 공개 ▲사회 이슈 악용 공격 등을 짚어본다.<편집자>
올 한해 매우 자주 등장한 보안 이슈 중 하나가 ‘다크웹 개인정보 판매 글 게시’이다. 다크웹 개인정보 판매가 최근의 일은 아니지만, 다크웹 모니터링 기술이 발전하면서 그 실체와 규모가 조금씩 알려지면서 충격을 주고 있다.
그룹아이비와 기술특화 파트너 스마일로그가 11월 12일부터 12월 7일까지 다크웹에 한국 기업을 해킹해 취득한 개인정보를 판매한다는 게시글이 반복적으로 올라오는 것을 확인했는데, 대부분 성인용품 쇼핑몰, 대부업체 사이트, 불법도박 사이트 등 상대적으로 보안이 취약한 사이트에서 개인정보를 탈취한 것으로 분석됐다.
이 전에도 한국인 개인정보 수천만건, 수억건을 판매한다는 게시글이 쉼 없이 올라오고 있으며, 국내외 VPN 서버 주소와 사용자 계정 50만개가 해킹돼 다크웹에서 판매되고 있는데, 이 중 국내 주소 500여개, 사용자 정보 6700여개에 이르는 것으로 알려지기도 했다.
실제 피해 여부·규모 상시 파악해야
다크웹에 공개된 정보가 실제로 판매되는 정보인지는 실제로 매입해 보지 않는 한 알 수 없다. 다만 이들이 샘플로 공개한 정보 중에는 오래 전 탈취해 더 이상 유효하지 않은 정보, 임의로 조합한 완전한 가짜 정보도 포함돼 있다.
금융보안원이 최근 2년간 다크웹에 유통된 500만여건의 신용카드 정보를 프로파일링 한 결과, 50%는 가짜정보인 것으로 확인됐다. 해커가 임의의 카드번호를 생성하거나 해킹으로 노출된 개인정보와 카드정보를 섞어 유효한 신용카드 정보인 것처럼 속이기 위한 것이었다.
금보원이 그 예로 든 사례 중 하나가 2020년 이랜드 해킹사고로, 공격자가 첫 번째로 공개한 정보 중 6만3000여건은 기존 다크웹에 유출된 사실이 알려진 것이며, 3만3700여건이 새로 유출된 것으로 보이는데, 대부분의 정보는 이미 FDS 정책에 의해 걸러진 것이며, 재발급 대상인 카드를 제외하면 1만3000여건으로 줄어든다.
공격자들은 자신들이 확보하고 있는 데이터의 수를 부풀려 말하면서 높은 금액을 요구한다. 100건의 데이터를 훔치고 1만건의 데이터를 갖고 있다면서 이를 공개할 경우 개인정보 보호법 위반으로 인한 벌금, 피해입은 소비자에 대한 보상 규모를 알려주면서 총 금액보다 약간 낮은 금액을 몸값으로 요구한다. 이러한 협박이 두려워 공격자가 원하는 돈을 지급하면 공격자들은 더 크게 허풍 떨고 과장하면서 기업을 협박하는 일을 반복할 것이다.
100명의 개인정보는 중요하지 않다는 뜻이 아니라, 실제로 기업이 피해를 입었는지, 피해 규모는 어느 정도인지 살펴보는 것이 필요하다. 나아가 외부에 자사 중요 정보와 개인정보가 유통되거나 공개돼 있는지 상시 모니터링 해야 한다. 다크웹을 포함한 모든 인터넷과 공개된 출처에 중요한 정보가 있는지 확인하며, OSINT 등의 인텔리전스 서비스를 이용하는 것도 권고된다.
한편 금융보안원은 다크웹 유출 정보 중 실제 유효한 정보를 파악하기 위한 프로파일링을 진행하고 있다. 개인정보보호위원회는 다크웹 개인정보 불법거래를 추적·차단할 수 있는 모니터링 기술을 개발하고 있다.
