데일리시큐는 POC 주최 측인 HNS의 도움을 받아 언더그라운드 마켓에 대한 구체적인 증거자료를 종합해 2회에 걸쳐 상세한 내용을 보도한다고 밝혔다. 아래는 그 두 번째 내용이다. 이번엔 한국 사이트들의 개인정보 DB 거래와 관련된 내용을 중점적으로 보도하겠다.

앞서 밝힌 바 대로, Maxim Goncharov는 트랜드마이크로사가 운영하고 있는 언더그라운드 관련 DB 거래 정보 사이트를 POC 관계자에게 공개하고 이 DB 사이트에 접근 권한 정보도 한시적으로 제공했다. 국내에서는 처음으로 해당 DB에 직접 접근한 사항이다. 해당 사이트에 직접 들어가 상세 내용들을 분석한 결과 한국과 관련된 놀라운 사실들을 확인할 수 있었다.
 
취재에 협조해 준 HNS 최수진 연구원은 “데이터베이스에서 한국(‘Korea’, ‘Kor’, ‘??’, ‘Корея’)을 키워드로 검색해보았다. 검색 결과, 한국을 타깃으로 하거나 타깃 국가에 포함하고 있다고 설명을 해놓은 거래가 총 93건으로 나타났다”고 말했다.
 
각 거래에 대한 상세 사항은 다음과 같다.

 
◇충격적인 한국 주요사이트서 유출된 DB 거래 상황=최 연구원은 “검색 된 93건 외에도 다른 언어로 한국을 나타낸 경우나 특정 국가를 설명에 포함시키지 않은 경우를 고려한다면, 이보다 훨씬 더 많은 한국 관련 언더그라운드 마켓 거래가 있을 것으로 예상된다”며 “또한 검색된 거래의 대부분이 중국어로 설명되어 있었는데, 이를 통해 판매자가 중국인일 가능성이 높다는 것을 예상할 수 있다”고 설명했다.
 
가장 많은 검색 건수가 나타난 것은 ‘Database’다. 판매자는 이메일, 각종 온라인 계정 등의 데이터베이스 정보를 판매하고 있는 것으로 조사됐다. 총 21건이 발견돼 한국 관련 언더그라운드 마켓 거래의 약 23%를 차지했다. 또한 전체 Database 마켓 거래가 111건인 것과 비교해 보았을 때 이는 약 20%에 해당하는 수치로, 국내 웹사이트의 데이터베이스 유출이 상당한 것으로 파악됐다.
 
아래는 2013년 7월 20일에 올라온 거래 정보로, 유럽과 미국 사이트를 포함해 한국의 각종 사이트의 계정 정보를 판매하고 있었다. 주요 판매 내용을 살펴보면 게임회사로는 한게임, 바른손게임즈 등 여러 게임사명이 판매 리스트에 올라왔고, 국내 언론사로는 경향신문, MBC 미디어 등이 포함돼 있었다. 쇼핑몰에서는 하프클럽, 패션플러스 등이 있었고, 중고차거래사이트로는 보배드림도 리스트에 포함돼 있었다. 일반 기업으로는 신세계 계정도 포함되어 있었다. 이 외에도 국내 채팅사이트 등 다양한 한국 사이트 계정을 판매하고 있었다. 유출된 데이터는 각 사이트마다 조금씩 다르겠지만, 판매자는 ID, 이름, 생일, 이메일, 카드정보, 주소, 전화번호 등을 가지고 있다고 공개했다. 심각한 상황이다.

 
이 외에도 국내 포털인 네이버 계정, 이메일함, 카드 인증번호(CVV코드) 등도 판매되고 있었다. 또한 스카이프 계정도 판매되고 있었으며 한국 여권 스캔본도 판매되고 있었다. 또한 한국 문화상품권, 도서상품권, 해피머니상품권 DB도 판매중이었다. 또 계정 해킹을 할 수 있는 스캐너 프로그램도 판매중임을 알 수 있었다.

 
위에서 언급되거나 캡처 이미지 리스트에 포함된 사이트들이 실제 해킹을 당해 DB가 유출된 것인지 아니면 대입 DB인지는 관계기관의 철저한 조사가 필요하다. 하지만 실제 사용가능한 계정 DB가 이렇게 해외에서 판매되고 있다는 것은 명백한 사실임이 드러났다. 개인정보보호를 해야 한다고 외쳐보지만 허무한 상황이 아닐 수 없다.

 
판매 가격은 데이터의 양과 종류에 따라 다양하게 나타났다. 한 국내 온라인 게임의 2010년부터 2013년까지의 약 150기가 정도의 데이터베이스는 6천 위안, 한화로 약 105만원 정도에 거래되고 있었다.
 
◇DDoS 공격 서비스 판매도 이루어져=그 다음으로 많았던 거래는 DDoS Service로 총 17건으로 조사됐다. DDoS Service 판매는 2012년 6월 12일 처음 데이터베이스에 올라왔고 2013년 7월 11일 거래가 마지막으로 조사됐다.
 
아래는 모 중국 사이트에서 발견된 판매 정보로, 확보한 좀비PC 대수와 SYN Flooding을 이용한 40G 공격 트래픽을 제시하고 있었다.

 
아래의 경우에는 DDoS 공격 시 시간 당 100-400엔(￥)의 가격을 제시하고 있다. 이러한 가격은 대체로 흥정이 가능하며, 가격이 공개되지 않은 경우에는 판매자와 직접 ICQ 채팅나 QQ 메신저를 이용해 접촉할 수 있도록 하고 있었다.

 
또한 DDoS 공격을 대행해주는 동시에 많은 경우가 국내를 포함한 변조된 호스트를 판매하고 있었다. 아래의 판매자는 한국, 중국, 일본, 타이완, 홍콩 등 아시아권 국가와 유럽과 미국 지역의 변조 호스트를 판매하고 있었다.

 
1개의 호스트 당 중국은 0.1 위안(한화 약 17원), 유럽과 미국은 0.3 위안(약 50원), 한국과 일본 등 아시아권 국가는 0.8 위안(한화 약 140원)으로 팔리고 있었다.
 
공격 서비스 외에도 신용카드 정보와 같은 개인정보도 거래가 되고 있었는데 아래의 판매자는 한국과 브라질 카드 정보를 상당수 갖고 있다며 이를 $650에 판매하고 있었다.

 
현재 한국은 개인정보보호법 시행 등 개인정보보호에 대한 대대적인 노력을 기울이고 있다. 하지만 이렇게 상당수의 사이트들이 이미 해킹을 당해 DB정보들이 유출됐을 가능성이 크다는 것을 이번 조사를 통해 알 수 있었다. 이렇게 전세계로 판매되고 있는 한국의 개인정보들에 대해 관계 기관의 적극적인 대처가 필요한 상황이다. 또한 이번에 판매 리스트에 올라온 기업들에 대한 철저한 조사도 이루어져야 할 것으로 보인다.
 
특히 중국에서 판매되는 한국 사이트들의 개인정보들이 얼마나 되는지 관계기관 뿐만 아니라 기업들도 관심을 가지고 정보수집과 대처에 적극적인 노력을 기울여야 할 것이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com