2024-06-17 18:45 (월)
이원희 NSHC 팀장 “다크웹 해킹 생태계 더욱 고도화…CTI 모니터링 필수”
상태바
이원희 NSHC 팀장 “다크웹 해킹 생태계 더욱 고도화…CTI 모니터링 필수”
  • 길민권 기자
  • 승인 2024.03.26 13:06
이 기사를 공유합니다

[G-PRIVACY 2024] NSHC, “다크웹에서 2021년부터 최근까지 코리아라는 키워드로 검색하면 한국 데이터 판매 게시물 119건 올라와”

상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2024가 3월 12일 1,400여 명의 공공, 금융, 기업 정보보호 책임자 및 실무자가 참석한 가운데 더케이호텔서울 가야금홀에서 성황리 개최됐다.

이날 NSHC(대표 최병규) 이원희 팀장은 “다크웹에서의 개인정보유출: 디지털 그림자의 위험성”을 주제로 키노트 강연을 진행했다.

그는 2023년 사이버 보안 위협 분석 내용에 대해 “국내 기업과 기관들을 대상으로 하는 크리덴셜 스터핑 공격과 개인정보 유출, 상품권 도용 금전 피해 발생, 금융권 대상 랜섬웨어 공격 증가가 있었다”며 “거의 매월 지속적으로 크고 작은 사이버 위협들이 발생했다”고 전했다.

NSHC는 스텔스몰(StealthMole) 인텔리전스 플랫폼을 통해 랜섬웨어 모니터링 기능을 제공하고 있다.

이원희 팀장은 “2020년 이후 한국에서 발생한 랜섬웨어는 49건이며 28개 각기 다른 랜섬웨어 갱들에 의해 발생했다. 공공기관, 제조, IT, 바이오, 화학 등 15개 산업군에서 피해가 발생했다. 특히 2023년 이후로는 21건 국내 사고 발생했다”고 설명했다.

또 “우리가 알고 있는 서피스웹 보다는 다크웹/딥웹의 범위가 점점 더 확대되고 있다. 다크웹은 익명성과 암호화 기능을 통해 음성적 거래들이 이루어지고 검색도 쉽지 않지만 실제로 랜섬웨어 공격을 대행해 주는 서비스들이 존재하고 피싱 소스나 악성코드를 판매하는 곳도 많다. 물론 마약거래 및 관련 커뮤니티가 활발히 이루어지고 있다. 또 다크웹 포럼에는 한국 신용카드 정보나 CVC 코드 정보, 개인정보, 결제 비밀번호까지 판매하고 있다. 이들은 샘플 정보를 올리고 구매자를 찾고 있는 게시물들이 지속적으로 올라온다”고 설명했다.

그는 이어 디지털 그림자를 설명하며 “나의 인터넷 사용기록, 검색이력, 메일 내용, 첨부파일, SNS에 올린 내용들, 쇼핑 내역, IP 주소, GPS 정보 등 데스크탑이나 모바일에 저장된 디지털 흔적들은 수집이 가능하며 이를 디지털 그림자라고 부를 수 있다. 이런 데이터들을 훔치는 악성코드가 바로 인포 스틸러(Infostealer) 멀웨어다. 이들은 타깃의 디지털 그림자 데이터를 훔치고 암호화폐 지급 정보도 훔친다”며 “해커들은 피싱 메일을 통해 인포 스틸러 멀웨어를 유포하고 PC나 모바일에 멀웨어가 설치되면 모든 데이터를 훔쳐 가게 된다. 이 훔친 데이터를 판매자들이 가공해 다크웹에서 판매하고 있는 것”이라고 설명했다.

인포 스틸러 생태계는 개발자-브로커-고객으로 구성된다. 개발자가 멀웨어를 개발하고 이를 활용해 브로커 조직이 데이터를 훔쳐 오고 가공해 고객에게 판매하고 유지보수까지 해 주는 구조다. 이 생태계는 계속해서 진화하고 고도화되고 있다. 이원희 팀장은 이 과정을 상세히 설명해 큰 관심을 끌었다.

그는 NSHC 스텔스몰 인텔리전스 툴을 통해, 사이버 범죄자들이 캐시나 쿠키 파일에서 개인정보, 금융정보 등을 추출해 내고 정제해서 데이터를 정리해 엑셀로 만들어 다크웹에서 판매하는지 사례를 들어 보여줬고, 이 정보를 가지고 어떤 악성 행위들이 발생해 어떤 피해를 주는 지까지 상세히 설명했다.

이원희 팀장은 “다크웹에서 2021년부터 최근까지 코리아라는 키워드로 검색하면 한국 데이터 판매 게시물이 119건 올라온다. 한국 이메일 정보만해도 2023년 이후 대략 15만개 이상이다. 아마 이보다 더 많은 정보들이 다크웹 상에서 판매되고 있을 것으로 예상한다”고 전하고 “또 최근에는 텔레그램을 통해 해킹툴 판매도 증가하고 있다. 백신 우회 해킹툴, 해킹 방법을 교육을 시켜 주겠다는 내용 등 다양한 해킹 관련 거래들이 이루어지고 있다”고 덧붙였다.

이렇게 판매된 데이터들을 가지고 위조신분증을 만들어 판매하고 각종 서류 위조등에도 악용된다.

G-PRIVACY 2024에서 이원희 NSHC 팀장이 다크웹과 정보유출 주제로 강연을 진행하고 있다. 이날 G-PRIVACY 2024에는 1,400여 명의 보안담당자들이 참석했다.
G-PRIVACY 2024에서 이원희 NSHC 팀장이 다크웹과 정보유출 주제로 강연을 진행하고 있다. 이날 G-PRIVACY 2024에는 1,400여 명의 보안담당자들이 참석했다.

◆디지털 그림자로 사이버 공격자 추적도 가능해

한편 그는 이런 디지털 그림자 정보를 활용해 사이버 공격그룹을 추적할 수도 있다고 밝혔다.

지난해 1월 중국 샤오치잉 그룹이 한국을 공격하겠다고 선전포고하고 여러 사이트를 공격한 사례가 있었다. NSHC는 스텔스몰 플랫폼을 이용해 그들의 게시글에서 사용자 아이디, 해킹당한 사이트 정보, 해커들이 딥웹 포럼에 남긴 정보들을 수집해 공격자를 추적한 바 있다. 그리고 2019년부터 급증한 랜섬웨어 그룹과 인포 스틸러 멀웨어에 대한 상세한 추적, 전세계 사이버 공격그룹들에 대한 추적 등 NSHC는 사이버위협 인텔리전스(CTI) 플랫폼으로 기관과 기업에 다양한 위협 정보를 제공해 오고 있다.

이원희 팀장은 “다크웹에서 거래되는 국가, 기업, 개인 관련 정보들은 심각한 위협이 될 수 있기 때문에 사전에 모니터링하고 대응해야 할 시점이다. 특히 정품소프트웨어 사용, 안티바이러스 정기 업데이트, 공개 와이파이 사용 주의, 자동로그인 주의, 의심메일 및 첨부파일 주의, 비밀번호 관리, 다중 인증 설정, 정보유출 모니터링은 무엇보다 중요하다”며 “NSHC와 같은 전문 CTI 기업의 서비스를 활용하거나 혹은 구글에서 제공하는 ‘구글원’도 다크웹 모니터링과 어베스트 백신뿐만 아니라 여러 백신 기업, VPN 기업들이 제공하는 유출 정보를 확인 서비스도 모니터링에 도움이 될 것”이라고 밝혔다.

보다 상세한 내용은 아래 강연영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★