보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

개인정보 여행기 : 도난당한 정보 12일간 다크넷 떠돌다

입력 : 2015-04-08 18:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

비트글래스, 도난 그 후를 파헤치기 위해 가짜 정보 유포

다크 웹 사용자들 대부분 꼼꼼하게 정보 확인 후 다운로드 결정


[보안뉴스 문가용] 보안 업체인 비스글래스(BitGlass)에서 흥미로운 실험을 했다. 가짜 ‘도난 정보’를 만들어 다크 웹(Dark Web)의 바다에 띄운 후 그 여정을 관찰하고 기록한 것이다. 결론부터 말하자면 이 가짜 정보는 12일 동안 22개국을 여행했고 1100여명의 사용자(?)들과 만났다.

 


이 실험의 목표는 단순했다. 과연 정보가 도난 당한 후 무슨 일이 벌어지는지 알아보기 위함이었다. 비트글래스의 연구원들은 이번 실험을 위해 가짜 이름, 사회보장번호, 신용카드 번호, 주소, 전화번호를 짜깁기하고 그것을 다시 엑셀에서 랜덤으로 배열해 가짜 정보 파일을 완성한 후 누군가 그 파일에 접근할 경우 비밀리에 추적하는 장치까지 붙였다. 이름은 employee.xls로 평범하게 붙였다.


그리고 드롭박스는 물론 어니언 페이스트빈(Onion-pastebin)이나 페이스트 슬램피치(Paste-slampeech)와 같이 악명 높은 암시장 사이트에 이 파일을 올려놓았다. 그리고 그 여정을 면밀히 관찰했다. 그 파일은 순식간에 북미, 아시아, 유럽, 아프리카, 남미의 5개 대륙으로 퍼져나갔다. 47개의 조직, 단체, 개인이 다운로드를 받았는데, 주로 나이지리아, 러시아, 브라질에서 열혈한 환영을 받았다.


“유출된 정보가 시장에서 어떤 식으로 유통되는지 정확하게 알고 싶었습니다. 맨날 유출됐다는 기사는 나오는데, 그 후에 대해서는 아무도 다루지 않더라고요.” 비트글래스의 CEO인 냇 코직(Nat Kausik)의 설명이다.


그래서 어떤 점을 알아냈을까? 먼저는 사이버 지하 시장을 자주 드나드는 사람들 대부분이 데이터 미리보기를 통해 꼼꼼하게 확인한다는 것이다. “유출된 정보를 진지하게 찾는 이들은 정말 꼼꼼하게 확인하고 다운로드 받더군요.”


또한 미국 외 국가들의 대학교 네트워크에서 많은 사용자들이 접속했다는 사실도 알아냈다. 비트글래스는 이를 “아마도 공개 와이파이가 가장 잘 설치된 곳이 대학교라서 그런 것 같다”고 분석했다.


하지만 파일의 이동경로까지만 파악이 가능했을 뿐 그 이후로는 더 깊이 들여다볼 수는 없었다. 예를 들어 그 정보를 열어본 사람이 그걸 가지고 어떤 거래를 시도했는지는 알아볼 방도가 없었다는 것이다. “다만 실제로 누군가 거기 있는 신용카드 정보를 가지고 거래를 시도했다가 실패했을 때 그 카드번호의 실제 사용자가 있다면 경고 메시지가 가도록 조치를 취했습니다.”


또한 이런 정보를 구매하는 자들 중 일부는 업로더에게 따로 연락을 취해 비슷한 정보가 더 없는지 문의하고 다량 구매 등의 협상을 진행하기도 하는데 이번 실험의 경우 연락처 비슷한 것도 남기지 않았기 때문에 그런 식의 ‘추가 접근’은 관찰이 불가능했다.


“가장 큰 소득은 훔친 정보, 불법 정보를 유통시키고 거래하는 게 무척이나 간단했다는 걸 몸소 체험해보고 알아냈다는 겁니다. 해커들의 지하 시장 혹은 암시장은 정말 개척이 잘 되어있고 이미 커다란 상권을 형성하고 있어서 사용하는 게 하나도 어렵지가 않았습니다. 그렇기 때문에 해커들이 더 몰리는 거겠죠.”

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)