Home > 전체기사
당신의 도플갱어가 거래되는 다크웹 암시장, 제네시스
  |  입력 : 2019-04-10 14:44
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아어로 운영되는 암시장...거대한 규모로 각종 식별 정보 거래돼
디지털 가면을 쓰고 훔친 크리덴셜 같이 사용하면 사기 방지 시스템 농락 가능


[보안뉴스 문가용 기자] 카드와 아이덴티티 정보를 훔치는 공격자들의 새로운 장터가 발견됐다. 다크웹에 있는 암시장으로 탈취한 크리덴셜만 거래하는 게 아니라 피해자들의 신원이나 행동 패턴과 관련된 정보들도 같이 판다고 한다. 이런 데이터를 통해 공격자들은 사용자들을 완벽히 흉내 내, 사기 방지 시스템을 바보로 만들 수 있다고 한다.

[이미지 = iclickart]


보안 업체 카스퍼스키 랩(Kaspersky Lab)에 의하면 이 시장의 이름은 제네시스(Genesis)이며, 여기서 거래하는 범죄자들은 ‘디지털 도플갱어’를 만들어 활동하는 것이 특징이라고 한다. 이 시장에는 6만 개가 넘는 디지털 아이덴티티가 거래되는데, 가격은 하나에 5달러에서 200달러까지 다양하다. 일반 사용자들이 온라인 세상에서 보이는 특징들이 ‘디지털 아이덴티티’를 구성하는데, 장비의 OS, 주로 사용하는 브라우저, GPU, DNS, 온라인에서의 행동 패턴 등이라고 한다. “이렇게까지 상세하게 사용자를 흉내 낼 수 있게 된다면 금융 기관의 사기 방지 시스템도 무력화시킬 수 있습니다.”

이런 걸 제네시스 내에서는 ‘디지털 가면(digital mask)’이라고 부른다고 한다. “디지털 가면과 로그인 크리덴셜을 같이 사용하면 아무도 속지 않을 수 없습니다. 각종 사기 방지 혹은 위조 방지 시스템을 다 피해갈 수 있다고 합니다. 그런 후라면 그 사용자의 도플갱어가 되어 별별 행동들을 다 할 수 있습니다.” 제네시스는 러시아어로 운영되며, 대부분 미국과 캐나다 소비자들의 정보들이 거래되고 있다. 유럽 소비자의 정보도 일부 섞여 있다고 카스퍼스키 랩의 세르게이 로즈킨(Sergey Lozhkin)은 설명한다.

로즈킨은 “사이버 범죄자들에게 있어 크리덴셜과 디지털 가면을 함께 사용하는 건 그리 새로울 것이 없는 기법”이라고 말한다. “디지털 가면이 될 수 있는 정보는 예나 지금이나 항상 거래되어 오던 아이템들입니다. 다만 개인 단위에서, 소규모로 거래되던 게 보통이죠. 제네시스는 그런 ‘마스크 정보’들을 특징으로 내세운 첫 대규모 암시장으로, 이제 사용자를 식별할 수 있는 모든 정보를 범죄에 동원하는 게 주류가 됐다는 뜻으로 볼 수 있습니다. 말 그대로 ‘차세대 범죄 시장’이죠.”

현존하는 사기 방지 혹은 위조 방지 시스템으로는 디지털 가면까지 갖춘 도플갱어들을 파악하는 게 쉽지 않다. 너무나 진짜랑 똑같기 때문이다. “실제 사용자와 같은 구매 내역을 가지고, 같은 화면 크기의 장비에서 같은 브라우저를 사용하니 어떻게 알 수가 있을까요. 구분이 가지 않으니 경보가 울리지 않고, 공격자들은 더 심각한 일들을 저지를 수 있게 됩니다.”

로즈킨은 “보통 공격자들이 신용카드 정보를 입력해서 거래를 하려고 하면, 성공하지 못할 때가 많다”고 말한다. “브라우저에는 우리가 생각하는 것보다 훨씬 많은 정보가 저장되어 있습니다. 사용자에 대해 말해주는 데이터죠. 금융 기관이나 온라인 거래 시스템에서 사기를 방지하기 위해 사용하는 데이터들도 대부분 이 브라우저에서 나오는 것이고요. 그런데 그걸 공격자들이 가져가니, 당연히 막히지가 않죠.”

제네시스의 거래자들은 브라우저의 이런 특징을 알고 크로미움(Chromium)을 기반으로 한 브라우저들에 설치할 수 있는 ‘디지털 가면 정보’를 판매하기도 한다. 피해자의 브라우저에 있는 식별 정보를 범죄자들의 브라우저에 입력하는 것이다. “플러그인 형태로 제공됩니다. 그렇기 때문에 ‘디지털 가면’을 유연하게 바꿀 수 있죠. 클릭 한 번으로 여러 사람이 될 수 있는 겁니다.”

이 플러그인이 설치되어 있다면 사이버 공격자들은 이베이, 아마존 등 서비스 별로 원하는 계정을 검색해 찾을 수 있다. 심지어 국가별 검색도 가능하다고 한다. 로즈킨은 “제네시스의 존재에 대해 사법 기관에 알렸고, 수사가 시작된 것으로 알고 있다”고 밝혔다. 제네시스는 현재까지 약 1년 동안 운영된 것으로 알려져 있다.

제네시스와는 별개로 테네브리스(Tenebris)라는 브라우저도 범죄자들 사이에서 인기가 높은 툴이다. 이 브라우저는 기본적으로 ‘고유한 사용자 행동 패턴’을 생성하는 기능을 가지고 있어서, 범죄자들이 가상의 인물을 만들어 사기 범죄를 저지르기에 좋다고 로즈킨은 설명한다. 로즈킨은 “도플갱어 공격이나 테네브리스 공격을 방어하려면 크리덴셜과 디지털 가면을 무용지물로 만들 수 있는 다중 인증 옵션을 사용해야 한다”고 강조했다.

3줄 요약
1. 러시아 해커들 사이에서 제네시스란 암시장이 약 1년 동안 운영되고 있음.
2. 일반 사용자들을 온라인 상에서 식별하게 해주는 여러 정보가 거래되는 곳임.
3. 크리덴셜만으로는 모자란 2%를 메워주는 정보들로, 각종 사기 시스템을 무용지물로 만듦.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)