블랙마켓에 대한 인텔리전스 정보 활용해 선제적이고 적극적 대응 필요
해킹 유무와 상관없이 거래 실상 확인했다면 고객 피해 방치하면 안돼
중국 블랙마켓에 한국 이커머스를 비롯한 각종 사이트의 계정DB 판매가 다시 급증하고 있다. 데일리시큐는 중국 블랙마켓 인텔리전스 전문기업 씨엔시큐리티(류승우 대표)와 공동 조사를 통해 올해 초부터 8월까지 중국 블랙마켓에서 판매되고 있는 한국 사이트 DB 거래 현황을 조사해 왔다. 심각한 수준이다.
씨엔시큐리티 관계자에 따르면 “최근 1, 2년간 중국 블랙마켓에 한국 사이트 관련 계정DB 및 해킹정보 판매는 그 전에 비해 다소 소강상태였다. 그러다 올해들어 한국 사이트 정보 판매량이 크게 늘고 있다. 중국 블랙마켓 해커들과 거래상들이 다시 기지개를 켜고 돈벌이에 나선 것으로 파악된다”며 철저한 대응태세를 갖춰야 한다고 당부했다.
이번에 1차로 공개하는 내용은 중국내 블랙마켓에서 한국 내 이커머스 기업들의 회원 계정정보 뿐만 아니라 판매자 계정정보까지 판매하고 있다는 내용이다. 추가로 취업관련 사이트들의 계정정보 판매건도 포함됐다. 특히 이번에 공개하는 내용들은 중국 블랙마켓 정보의 일부만 공개한다는 점에서 기업들은 경각심을 가져야 한다.
이번에 공개되는 기업들은 자사 시스템의 해킹 유무를 떠나, 중국에서 자사 고객 혹은 관리자 및 판매자 계정을 판매하고 있다는 것을 심각하게 받아들이고 블랙마켓 인텔리전스 정보 수집을 통해 선제적이고 적극적으로 대응해야 할 상황이다. 데일리시큐는 향후 지속적으로 블랙마켓 정보를 공개해 국내 기업들의 경각심을 일깨우고 대응을 촉구할 방침이다.
올해 상황을 전하기 전에 우선 좀더 거슬러 올라가보자.
중국 블랙마켓에 판매되고 있는 정보 유형을 보여주기 위해 몇가지 사례를 들겠다.
위 캡쳐 이미지들을 보면, 2015년에 중국 블랙마켓에는 CJ서버 DB 관리자 권한을 판매한 바 있다. 또 11번가 쇼핑 온에어 관련 문구도 확인됐다. 그리고 카카오스타일 사업자 회원 관리자 권한도 판매되고 있었다. 2017년에는 인터파크 콘서트 티켓 관리자 권한까지 판매됐다는 것을 알 수 있다. 더불어 여러 기업들의 일반 회원 DB 판매는 너무 많은 상황이라 생략했다.
관리자 권한 판매는 해킹을 통해 획득한 것으로 추정할 수 있다. 한편 대부분 기업들은 회원계정 판매에 대해 대입DB, 즉 다른 사이트를 해킹해 아이디와 패스워드를 타깃 기업 로그인창에 입력하고, 로그인을 성공하면 그 회사 회원DB로 분류해 판매하는 것이라며 자신들의 잘못도 아니고 어쩔 수 없는 상황이라고 손사래를 치지만 피해는 고스란히 해당 기업들의 고객들이 받고 있다는 점을 알아야 한다. 블랙마켓 인텔리전스 정보를 활용해 적극적인 대응이 필요한 대목이다.
이제 2020년 상황을 보자.
2020년부터 한국 이커머스 회원 계정정보와 심지어 판매자 계정 정보까지 판매되고 있는 실정이다. 물론 이커머스 이외 취업사이트와 대형 포털사 계정 정보 등 다양한 한국 DB들이 판매되고 있었다.
중국 블랙마켓에 접근은 일반인들은 접근하기 힘들다. 폐쇄된 커뮤니티 안에서 오랜기간 활동하고 신뢰가 쌓이면 등급이 올라가고 그때부터 암암리에 거래를 할 수 있는 자격이 부여된다. 따라서 KISA 등에서 중국 블랙마켓 조사를 한다곤 하지만 커뮤니티 내부에 접근하는 데는 한계가 있는 것이다. 블랙마켓 거래 사례를 보자.
1월에는 ‘번개장터’ 아이디를 판매한다는 게시글이 올라왔다.
4월에는 번개장터, 다나와, 중고나라 해킹 아이디를 판매한다는 글도 올라왔다.
5월에는 중고나라, 11번가, 위메프, 헬로마켓 등 판매자 계정도 거래되고 있었다. 물론 포털 계정도 꾸준히 올라오고 있다.
6월에도 11번가, 위메프 판매자 계정을 판매하는 게시글이 올라왔다. 심지어 알바천국 사업자 아이디는 개당 100위안(한화 약 1만7200원), 10개 이상은 개당 60위안에 할인도 해준다. 알바몬 사업자아이디는 개당 200위안에 판매되고 있다.
7월에는 중고나라, 번개장터, 11번가, 알바몬, 알바천국 등의 대입 DB가 아닌 확실한 물건(?)들을 판매한다고 올라왔다. 검증된 정보들만 판매한다는 것이다.
모 이커머스 정보보호 책임자는 “판매자 계정을 거래하는 것은 상당히 위험하다. 해당 정보를 이용해 허위 매물을 올리고 돈을 입금 받은 후 물건을 보내지 않는 사기행각을 펼칠 수도 있다. 실제로 이런 사고들이 발생하고 있다. 또 더 위험한 것은 선량한 판매자의 판매 금액을 훔쳐갈 수도 있어 적극적으로 대응해야 할 것으로 보인다”고 경고했다.
8월에도 11번가, 위메프 등의 판매자 계정을 판매한다는 글과 함께 알바천국, 알바몬, 인터크루 공고등록용계정 판매와 알바천국, 인터크루, 교차로, 사람인, 알바몬의 열람용계정도 판매한다고 올라왔다. 또 당근마켓 인증 번호 판매글도 보인다. 그리고 중고나라 앱 ID 판매, 중고나라 안전거래, 번개장터 안전거래 정보 판매글도 올라오고 있다.
이렇게 중국 블랙마켓에서는 다양한 사이트의 회원계정 정보, 판매자 정보, 사업자 정보까지 거래되고 있다.
이런 상황임에도 불구하고, 대부분 기업들은 “우리 회사가 해킹을 당해 유출된 정보들이 아닐 것이다. 대입해서 얻은 정보들일 것이다. 중국에서 그런 정보들을 판매하고 있다는 것은 알고 있었다. 그런데 이 문제는 우리 능력 밖이다”라며 책임을 회피하고 있다. 피해는 고스란히 고객들이 입고 있는데도 말이다.
개인정보보호위원회와 한국인터넷진흥원(KISA)은 이런 상황임을 직시하고 해당 기업들의 적극적인 대처를 촉구해야 한다.
더불어 블랙마켓에 대한 인텔리전스 정보를 적극 도입해 선제적으로 대응하고 판매되는 정보들을 신속히 입수해 고객들에게 피해가 가지 않도록 조치를 취하는 것이 기업이 해야 할 도리다. 그리고 여기에 언급되지 않은 기업들도 과연 안전할지 자문해야 한다. 데일리시큐는 중국 블랙마켓 정보를 지속적으로 입수해 실상을 공개해 나갈 계획이다. 어떤 기업도 자유롭지 못하다. 어떤 자세로 대응하는지가 중요하다.
★정보보안 대표 미디어 데일리시큐!★