지난 11월 7일과 8일 서울 양재동 더케이서울호텔에서 성황리에 개최된 국제 해킹·보안 컨퍼런스 POC2013에서는 세계 언더그라운드 마켓과 관련된 상세한 발표가 있었다. 이때 발표자는 트랜드마이크로(TrendMicro) 연구원 Maxim Goncharov였다. 데일리시큐는 POC 주최측인 HNS의 도움을 받아 언더그라운드 마켓에 대한 좀더 구체적인 증거자료를 종합해 2회에 걸쳐 상세한 내용을 보도할 예정이다. 아래는 그 첫 번째 내용이다.
 
당시 발표에서 Maxim Goncharov는 트랜드마이크로사가 운영하고 있는 언더그라운드 관련 DB 사이트를 공개했다. 그리고 그는 POC 관계자에게 이 DB 사이트에 접근 권한 정보를 제공했다. 해당 사이트에 직접 들어가 상세 내용들을 분석한 결과 놀라운 사실들을 확인할 수 있었다. 특히 한국과 관련된 언더그라운드 DB 마켓 현실은 충격을 줄만하다. 한국과 관련된 내용은 2회째 공개하도록 하겠다.
 
HNS 최수진 연구원은 “이 DB 사이트는 2010년 5월 9일부터 2013년 11월 25일 현재까지 언더그라운드 마켓 거래를 자체적으로 수집 및 정리해 데이터베이스화하고 있는 사이트”라며 “트랜드마이크로는 현재까지 총 1만278개의 언더그라운드 마켓 판매 정보를 수집했고, 이를 내용 및 목적에 따라 33가지로 세분화해 구분하고 있다. 아직 구분되지 않은 2,392건을 제외하면, 2010년 5월 9일부터 올해 9월 30일까지 약 3년 5개월 동안 총 7천886건의 언더그라운드 마켓 거래가 있었음을 알 수 있다”고 설명했다.
 
현재 언더그라운드 마켓의 거래는 다음과 같이 구분되고 있다.
 
트랜드마이크로는 각 거래에 대해 판매자 닉네임, ICQ, 이메일 등과 가격, 원문 사이트 링크 등을 아래와 같이 요약해 정리하고 있다.
 
다만, 이 데이터베이스는 자동 수집된 자료이기 때문에, 일부 거래는 판매자 정보나 거래 정보가 불충분하기도 하고, 등록 일자가 한참 지난 경우에는 원문 거래 사이트 링크가 더 이상 유효하지 않은 경우도 있었다.

 
일반적으로 판매자는 구매 희망자와 ICQ 채팅이나 중국의 QQ 메신저를 통해 정보를 주고 받으며, 이메일이나 자신의 웹사이트 등의 개인 정보는 잘 공개하지 않고 있었다.
 
최수진 연구원은 “원문 사이트는 주로 러시아 포럼 사이트(아래 이미지)로 연결되고 있다. 하지만 이러한 포럼 사이트의 대부분은 회원제로 운영되는데 로그인을 하지 않은 사람은 글을 작성할 수도 볼 수도 없다. 회원 가입 역시 바로 되는 것이 아니고 관리자의 승인을 받아야 하는 까다로운 절차를 밟는 경우가 많다”고 설명했다.

 
아래는 ‘www.hackzone.ru’라는 러시아 해킹 포럼 사이트이다. 이 사이트에서는 로그인을 하지 않아도 각종 게시물을 볼 수 있었다. 각종 익스플로잇 코드, 취약점 소식과 같은 정보도 있었으나 가장 활발하게 게시글이 올라오는 곳은 거래 게시판이었다.

 
작성일 기준 가장 마지막 글이 2013년 11월 14일이었고 한 달에 2~3건 이상의 글이 꾸준히 올라오고 있었다. 조회수 역시 적게는 500이었고 많은 것은 30,000 이상 되었다. 이 곳에서는 게임 아이템을 비롯해 신용카드 정보, 악성 애플리케이션 등이 거래되고 있었다.

 
이처럼 국외 포럼 등을 중심으로 형성되어 있는 언더그라운드 마켓에서는 특정 국가를 상대로 하거나 관련이 있는 거래도 찾아볼 수 있었다.
 
데이터베이스에서 한국(‘Korea’, ‘Kor’, ‘??’, ‘Корея’)을 키워드로 검색해보았다. 검색 결과, 한국을 타깃으로 하거나 타깃 국가에 포함하고 있다고 설명을 해놓은 거래가 총 93건 나타났다.
 
한국과 관련된 내용은 다음 편에 가감없이 공개하도록 하겠다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com