Home > 전체기사
트위터 계정 침해한 해커들, 암호화폐 거래 때문에 꼬리 밟혔다
  |  입력 : 2020-08-04 08:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
범인들이 활동하던 해킹 포럼 OGUsers, 올해 초에 데이터베이스 일부 침해돼
침해된 데이터베이스 수색한 FBI, 코엔베이스와 페이팔에서도 같은 정보 찾아내


[보안뉴스 문가용 기자] 지난 주 공개된 법정 문건을 통해 FBI가 트위터 해킹 범인들을 어떻게 잡아냈는지가 밝혀졌다. 범인들은 전화를 통한 스피어피싱 기법을 트위터 내부 직원에 사용함으로써 130개의 트위터 계정에 접근할 수 있었으며, 이 중 조 바이든, 빌 게이츠 등 유명인들의 계정으로는 비트코인 사기극을 벌였었다.

[이미지 = utoimage]


지난 주말 공개된 범인은 니마 파젤리(Nima Fazeli, 22세), 메이슨 존 셰파드(Mason John Sheppard, 19세), 그래함 이반 클라크(Graham Ivan Clark, 17세)였다. 이 중 클라크가 우두머리였던 것으로 의심되고 있다. 클라크가 트위터에 침투했고, 파젤리와 셰파드는 트위터 계정 접근 권한을 판매하는 걸 도운 것으로 보인다.

법원이 공개한 문서에 의하면 디스코드(Discord)라는 채팅 서비스에서 커크#5270(Kirk#5270)이라는 아이디로 활동하는 사용자가 트위터에서 근무한다고 주장하면서 ‘어떤 사용자 계정에라도 접근할 수 있도록 해주겠다’고 제안하기 시작했다고 한다. 그러자 롤렉스(Rolex, 파젤리)와 채원(Chaewon, 셰파드)이 ‘판매를 도와주겠다’고 나섰다. 그렇게 셋은 만나게 되었고, 주로 OGUsers라는 소셜 미디어 계정 거래 사이트에서 활동했다.

롤렉스라는 이름을 쓰던 파젤리의 경우, FBI가 OGUsers용 계정 정보를 찾아내면서 꼬리가 밟혔다. 올해 초 OGUsers가 침해되면서 데이터베이스가 유출된 적이 있었는데, 여기서 롤렉스의 정보가 나온 것이다. 정보를 추적하다보니 롤렉스가 디스코드를 통해 커크에게 건넨 이메일 주소와 똑같은 주소를 쓰는 페이팔 정보가 나왔다.

FBI는 암호화폐 거래소인 코인베이스(Coinbase)에 연락을 취했다. OGUsers 포럼에서 롤렉스가 사용하고 있던 비트코인 주소에 대한 정보를 얻기 위해서였다. FBI는 코인베이스가 공개한 기록을 통해 이 주소에 Nim F라는 사용자가 돈을 보낸 것을 알게 됐다. Nim F가 OGUsers에 가입하기 위해 사용한 이메일 주소는 롤렉스의 그것과 동일했다. 즉 둘은 동일인물이었다.

코인베이스를 통해 거래를 하기 위해 Nim F는 ID를 생성해야 했고, 확인 과정 중에 본명인 니마 파젤리(Nima Fazeli)가 정확히 명시된 면허증을 제출했다. 이 역시 FBI가 발견해냈다. 이 인물이 만든 코인베이스 계정들 중 하나에서는 약 1900번의 거래가 있었고, 약 21 비트코인(대략 23만 달러)이 최종 잔액으로 남아 있었다. 그가 코인베이스와 디스코드에 접속한 IP 주소는 전부 같았다(미국 플로리다).

셰파드의 경우, 채원과 마스(Mas)라는 ID로 OGUsers에서 활동했다. 디스코드에서는 ever so anxious#0001이라는 ID를 사용했다. 침해된 OGUsers의 기록을 통해 코인베이스 계정과 관련이 있는 이메일 주소를 찾아낸 FBI는, 해당 코인베이스 계정의 주인이 메이슨 셰파드라는 것을 일찌감치 알아냈다. 역시 코인베이스 계정 생성을 위해 셰파드가 스스로 제출한 면허증 때문이었다. 이 문건에는 그의 실명과 거주지, 생년월일까지 있었다.

클라크는 체포된 뒤 자신이 트위터 계정들을 팔았다는 사실을 인정했다고 한다. 또한 심문 과정에서 ‘채원’이라는 인물이 판매 행위를 도왔으며, ‘메이슨’이라는 이름의 영국인으로 알고 있다고도 자백한 것으로 밝혀졌다. 자신이 Kirk#5270이라는 것도 인정했다.

아직 클라크의 체포 과정에 대해 알려주는 공식 문건이 공개되지는 않았다. 하지만 외신들은 ‘롤렉스’와 ‘채원’의 경우처럼 클라크가 암호화폐 거래소 등 여러 웹사이트에서 사용해온 이메일 주소를 추적해 그의 신원을 확인했을 거라고 보고 있다. 클라크와 셰파드는 트위터 해킹 사태가 너무나 커지자 경찰에 자수하는 걸 의논했다고도 하고, 그래서 모든 범행을 체포 후 순순히 밝혔다고 한다.

현재 클라크는 300만 달러에 해당하는 비트코인을 보유하고 있다고 하는데, 그의 변호사에 따르면 이 돈은 이번 범행과 관련이 없다고 한다. 셰파드는 최대 45년, 파젤리는 최대 5년의 징역형을 받을 수 있다.

4줄 요약
1. 트위터 해킹범들이 주로 만나던 OGUsers, 올해 초에 침해된 바 있음.
2. 이 데이터베이스를 통해 주요 용의자의 계정 주소 확보하는 데 성공.
3. 계정 주소와 동일하다시피 한 계정 정보를 암호화폐 거래소에서 찾음.
4. 해당 거래소에 범인들이 제출한 신원 증명서 통해 범인 체포 성공.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)