보안 스타트업 스틸리언 인터뷰

사이버 보안 기업 스틸리언의 연구소장과 팀장들이 포즈를 취하고 있다. [이승환 기자] “유출 정보를 사고팔기 위해 굳이 다크웹에 접속할 필요도 없어요. 일반 웹사이트에서도 가능합니다.”

최근 방문한 서울 용산구 소재 보안 스타트업 스틸리언. 사무실을 안내하던 회사 관계자는 “해커들이 ‘해킹 포럼’이라 불리는 웹사이트를 통해 한국을 비롯한 수십 개국의 기업 정보와 군사 문서,소비자 정보 등 다양한 데이터베이스를 거래하고 있다”며 이같이 말했다.

기자가 스틸리언 소속 화이트해커들과 함께 ‘프레시툴스’라는 해킹 포럼에 접속해 ‘한국(South Korea)’이라는 키워드를 입력하자 스타트업부터 대기업까지 다양한 국내 기업 서버에 로그인할 수 있는 관리자 계정을 판매한다는 글이 포착됐다.

기업명을 특정하지는 않았지만 아마존웹서비스(AWS)와 마이크로소프트 애저 등 서버 프로그램 종류별로 수십 개 이상의 계정이 판매 목록에 올라와 있었다.

판매글을 게시한 해커는 계정당 가격을 적게는 6~10달러로 책정했다. 단돈 1만원이면 기업 서버에 접속해 정보 탈취를 시도해볼 수 있다는 의미다.

또 다른 웹사이트인 ‘다크포럼스’에 접속했더니 최근 개인정보 유출 사고가 발생했던 국내 기프티콘 선물 앱 ‘일상카페’ 이용자의 데이터를 판매하는 게시글이 올라와 있었다.

판매자는 “110만 이용자의 데이터가 있다. 계정 ID와 비밀번호부터 소셜미디어 계정 아이디,이메일 주소,성별,전화번호,생년월일까지 중요한 개인정보를 망라하고 있다”고 홍보했다.

판매자는 가격을 기재해두는 대신 구매를 원할 때 접촉할 수 있는 텔레그램 아이디를 게시글에 남겼다. 이 사이트에는 이 밖에 한국의 인터넷 프로토콜(IP) 카메라 영상을 해킹해 판매하는 게시글도 올라와 있었다.

이들 사이트에는 일반 이용자도 쉽게 접속할 수 있다. 사용하려는 아이디·비밀번호와 함께 이메일 주소만 등록하면 누구나 쉽게 회원으로 가입할 수 있었다.

스틸리언의 이희찬 연구소장과 장형석 모바일연구팀장,손주환 선제대응팀장(왼쪽부터)이 서울 용산구 스틸리언 사무실에서 한 해킹 데이터 판매 사이트를 살펴보고 있다. [이승환 기자] 수많은 국내 이용자와 기업 데이터가 유출 위험에 노출돼 있는 셈이다. 이희찬 스틸리언 연구소장은 “미국이 다크웹에 강력 대응하면서 최근에는 주요 다크웹 사이트에 접속하기가 어렵다”면서도 “하지만 살펴본 것처럼 일반 웹에서도 접근할 수 있는 해킹 데이터 거래 사이트가 여전히 많다”고 지적했다.

그는 “금융 데이터가 유출되면 카드 번호를 포함해 결제에 필요한 정보가 모두 노출될 위험이 있다”며 “판매자들은 다크웹과 일반 웹을 가리지 않고 데이터를 비싸게 판매할 수 있는 곳이라면 어디든지 올린다”고 설명했다.

더 큰 문제는 해커들의 공격이 금전적 이득을 위한 개인정보 획득을 넘어 산업 기밀과 국가 기반 인프라스트럭처로 향하고 있다는 점이다. 최근 한국수력원자력 협력사가 해킹 공격을 받아 원전 정보를 포함한 자료 72만건이 유출된 사고가 뒤늦게 알려지기도 했다.

손주환 스틸리언 선제대응팀장은 “공격자는 돈을 노리는 집단과 산업 기밀을 원하는 집단,국가 내부 정보나 기간 인프라를 노리는 집단 등 세 부류로 나뉜다”며 “국가 배후 해커 조직들은 국가 기반 시설 공격이나 산업 정보 탈취에 특화돼 있다”고 설명했다.

데이터 탈취 경로는 다양하다. 공격자가 직접 특정 기업 내부망을 뚫고 들어가는 경우도 있지만,사용자의 모바일 기기나 PC가 침해당하거나 기업이 사용하는 가상사설망(VPN)처럼 외부 서비스를 통해 침투당하는 경우도 많다.

손 팀장은 “공격자는 일단 약한 고리를 찾아 최초로 침투한 후 횡적으로 이동하면서 다른 자산에 악성 코드를 전파하는 것이 특징”이라고 설명했다.