이랜드그룹이 해결할 선 넘어…금융기관의 빠른 대처 필요해
NSHC “최초 탐지해 카드사별 분류…금융기관 요청시 적극 협력”
랜섬웨어 공격 갱단 클롭(Clop)조직이 드디어 오늘 3일 부터 자신들이 약속한대로 이랜드그룹에서 탈취한 것으로 보이는 카드정보 10만 개를 자신들이 운영하는 다크웹 사이트에 공개하기 시작했다. 이제는 이랜드그룹 보다는 국내 카드사에서 고객들의 2차 피해가 발생하지 않도록 신속한 조치를 취해야 할 타이밍이다.
토르 브라우저로 접속해 클롭 갱단의 사이트를 확인한 결과 ‘FIRST 100k TRACK2 CREDIT CARD RECORDS DOWNLOAD’라는 문구와 함께 다운로드를 클릭하면 10만 개의 카드정보가 평문으로 보여진다.
클롭 랜섬웨어 갱단은 3일 브리핑컴퓨터와 인터뷰에서 “이미 1년 전에 이랜드 네트워크를 침해했다. POC 악성코드를 설치하고 1년간 그대로 두면서 조용히 신용카드 정보를 훔쳐왔다. 물론 해독된 정보들이다. 그 결과 200만개 한국인 신용카드 정보에 대한 트랙2 데이터를 훔칠 수 있었다”고 밝혔다.
POS 악성코드는 신용카드 거래가 발생할 때 POS 단말기의 메모리를 스캔하는 데 사용된다. 신용카드 데이터가 탐지되면 악성코드는 신용카드 정보를 트랙1 또는 트랙2 데이터로 복사해 공격자 서버로 다시 전송한다.
클롭 갱들이 훔쳤다고 주장하는 신용카드는 신용카드 번호, 만료 날짜 및 기타 정보를 포함하는 트랙2 데이터 형식이다. 하지만 신용카드 CVV 코드가 포함되어 있지 않다. 이들은 매장 내 구매를 위해 가짜 신용 카드를 만드는 데만 사용할 수 있을 것으로 보인다.
한편 클롭 갱단은 오늘부터 지속적으로 매일 10만개씩 훔친 카드정보를 공개할 것으로 보여 심각한 상황이다. 이 정보는 인텔리전스 전문기업 NSHC가 최초 탐지했다.
허영일 NSHC 대표는 “현재 클롭 조직이 다크웹에 공개한 카드정보를 NSHC DarkTracer(다크트레이서)가 최초 탐지했다. 현재 카드사별로 카드정보를 분류한 상태며 유관기관과 카드사들의 요청이 있을 경우 신속하게 정보를 공유할 방침”이라며 “향후 지속적으로 카드 정보가 유포될 것으로 보여 한국인 피해를 최소화하기 위해 금융기관들의 신속한 대응이 필요한 시점”이라고 강조했다.
NSHC 분석 자료에 따르면, 오늘 올라온 클롭 갱단의 카드 정보를 분석한 결과 국내 대부분 카드사들의 신용카드와 체크카드 정보가 노출된 상황이다. 카카오뱅크 카드까지 포함된 것을 알 수 있다.
이제 사태는 이랜드그룹이 해결할 수 있는 선을 넘어섰다. 지금부터는 금융감독원과 금융기관들의 적극적인 대처가 필요한 상황이다. 2차 피해를 막기 위해 금융사와 인텔리전스 전문기업들의 협력이 요구된다. 현재 다크웹에 접속하면 누구나 한국인 카드정보 10만개를 다운로드해 갈 수 있는 상황이다. 발빠른 대처가 필요하다. 신속하게 카드고객들에게 알리고 카드 번호 교체를 해야 2차 피해를 막을 수 있다.
★정보보안 대표 미디어 데일리시큐!★