2021-06-15 11:55 (화)
[단독] 이랜드 해킹했다는 클롭 랜섬웨어 조직, 2차로 10만건 신용카드 정보 추가 공개해
상태바
[단독] 이랜드 해킹했다는 클롭 랜섬웨어 조직, 2차로 10만건 신용카드 정보 추가 공개해
  • 길민권 기자
  • 승인 2020.12.11 02:01
이 기사를 공유합니다

1, 2차 총 20만건 공개…향후 지속적으로 업로드 할 것으로 추정
금융당국 “문제없다”식 안일한 대응으로 일관…근본적·선제적 대응방안 내놔야
다크웹에 한국인 금융정보·개인정보 지속 거래되고 있지만 선제적 모니터링과 정보공유 안되고 있어
클롭 랜섬웨어 갱단이 10일 밤 자신들의 다크웹 사이트에 2차로 10만건의 한국 신용카드 정도를 추가 공개했다.
클롭 랜섬웨어 갱단이 10일 밤 자신들의 다크웹 사이트에 1차 10만건에 이어 2차로 10만건의 한국 신용카드 정도를 추가 공개했다.

이랜드그룹을 해킹해 200만개 한국 카드정보를 탈취했다고 주장하는 클롭(Clop) 랜섬웨어 갱단이 10일 밤 2차로 10만건의 한국 카드정보를 추가 공개했다. 1차 10만건에 이어 총 20만건이 공개됐다. 해당 정보는 다크웹에서 누구나 다운로드 가능해 피싱 등 2차 피해로 이어질 수 있는 상황이다. 클롭의 주장대로라면 이제 공개될 남은 정보는 180만건이다.

랜섬웨어 조직은 10일 밤부터 카드정보를 업로드하기 시작했으며 카드정보 업로드가 완료되기도 전에 NSHC DarkTracer(다크트레이서)에 의해 탐지됐다.

데일리시큐는 10일 밤 11시경부터 토르 브라우저에 접속해 업로드 과정을 지켜봤다. 클롭 조직은 ‘2ND 100k TRACK2 CREDIT CARD RECORDS DOWNLOAD’라는 문구를 자신들이 관리하는 다크웹 사이트에 게시 후 카드정보를 업로드 하기 시작했다.

한편 금융당국은 이번 이랜드그룹 랜섬웨어 공격에 따른 해커조직의 카드정보 공개 사건에 대해 향후 재발방지 대책과 체계적인 보안대응 방안을 내놓기 보다는 큰 문제가 없다는 식으로 대응하고 있어 논란이 되고 있다.


금융당국 “부정사용 없을 것…카드 교체하면 돼”…사후 대책 등 안일한 대책만 내놔

9일 금융위원회 측은 다음과 같이 보도자료를 배포했다.

클롭 랜섬웨어 조직이 이랜드그룹을 공격후 445억원 규모의 랜섬머니를 요구했고 이랜드 측이 이를 거부하자 12월 3일 1차로 다크웹에 10만개 카드정보를 공개했다.

공개된 카드정보를 분석한 결과 카드정보에는 카드번호와 유효기간 등이 포함돼 있지만 온라인 결제를 위한 CVV(CVC) 정보와 비밀번호는 공개되지 않아 부정사용은 힘들 것이라고 전했다.

유효카드 정보는 조사결과 약 3만6천건이며 이중 과거 불법유통 등이 확인된 카드정보 2만3천건을 제외하면 실제 유효한 카드정보는 1만3천건이다. 공개한 10만건의 13%에 해당한다.

2만3천건은 FDS(부정사용방지시스템) 밀착감시와 차단 및 카드교체가 완료된 상태이며 나머지 1만3천건은 FDS 밀착 감시와 차단을 완료했고 해당 카드회원에게 10일부터 재발급 안내를 진행할 예정이라고 전했다.

향후 다시 공개되는 카드정보들도 같은 매뉴얼로 피해를 예방하고 그럼에도 불구하고 부정사용이 확인될 경우 소비자 피해를 금융사가 전액 보상할 것이라고 밝혔다.


■다크웹·중국 블랙마켓 등에 한국인 금융정보와 개인정보 대량 유통되고 있어

하지만 이는 단편적인 대응에 불과하다. 클롭 조직이 1차로 올린 카드정보 중 13%의 카드정보가 유효한 정보로 판명이 났다. 한편 갱단의 주장대로 200만건이 지속적으로 공개되고 그 중 13% 정도가 유효한 카드정보라면 26만건에 달하는 실질적 피해자가 발생하는 꼴이다.

그럼에도 불구하고 금융당국은 “이번에 유출된 카드정보로는 부정사용이 힘들다. 안심해도 된다. FDS가 다 막아 줄 것이다. 카드를 교체하면 아무 문제없다”는 안일한 대응으로 일관하고 있다.

카드정보가 어떤 경로로 유출됐는지에 대한 원인분석을 향후 어떻게 할 것이며 다크웹에 지속적으로 올라오고 있는 한국인 금융정보에 대한 모니터링과 선제적 조치를 어떻게 할 것인지에 대한 내용은 어디에도 찾아볼 수 없다. 현재도 그렇고 앞으로도 이런 사건들이 지속적으로 발생할 것이라고 보안전문가들이 경고하고 있음에도 금융당국과 금융사들은 선제적 대응보다는 일회성 후속조치만 내놓고 있어 사태의 심각성을 회피하고 있는 것으로 보인다.

정확하고 면밀한 사고 분석을 통해 금융정보 및 카드정보 유출 방지 대책이 우선적으로 나와야 하고, 다크웹 상에 유포되고 있는 한국인 금융정보와 중국 등지에서 암암리에 거래되고 있는 엄청난 양의 한국인 금융, 개인정보들이 얼마나 심각한 수준인지 파악하고 미리 정보를 수집해 선제적 대응을 어떻게 할지 체계적인 대책마련이 시급하다.


■최근 발급된 신용카드 정보까지 거래중…금융기관과 보안기업간 정보공유 체계 마련돼야

허영일 NSHC 대표는 “이번 이랜드를 공격한 클롭조직과 같이 다크웹에 데이터를 유출하는 랜섬웨어 조직은 20여 개 조직에 달한다. 특히 국내 신용카드 정보 유출로 인한 피해 사례가 급증하고 있다. 유출된 정보 중에는 최근에 발급된 신용카드 정보도 지속적으로 올라오고 다크웹에서 판매되고 있는 것을 DarkTracer를 통해서 매일 확인하고 있다”며 심각한 상황을 전했다.

이어 “정보 유출 소스로는 PoS 단말 시스템뿐만 아니라 국내 다양한 온라인 쇼핑몰에 저장되어있는 고객 결제 데이터들도 상당수 포함돼 있다”며 “각 금융사는 유출된 신용카드 정보를 이용한 해외 부정 거래 사용을 탐지하기 위한 방법을 현장의 전문가들과 공유하고 얼라이언스를 통한 대응책 마련이 필요하다. 지금은 유출된 카드 정보를 모두 확보하고 대조하기가 어렵기 때문에 AI를 활용한 부정 거래 사용자에 대한 식별이 시급하다”고 강조했다.

또 “각 금융기관과 보안 기업간 위협 정보는 공유되어야 하고 공격자 행위에 대한 식별과 이를 통해 확보한 새로운 인사이트를 활용해 위협 정보를 다시 식별하고 공유하는 협업 체계가 반드시 필요하다. 정보 공유가 없으면 답을 찾기 힘들다”고 덧붙였다.

★정보보안 대표 미디어 데일리시큐!★


관련기사