잡아도 잡아도 끝이 없다…추가 피해 낳는 '불법 해킹 포럼'
유출된 데이터를 사고파는 '불법 거래'가 텔레그램이나 다크웹 해킹 포럼 등에서 활발히 이뤄지고 있다. 심지어 가장 인기 있는 해킹 포럼이 폐쇄됐음에도 피해는 속출하고 있다. 뒷거래된 데이터들은 보이스피싱 등 추가 범죄에 악용될 가능성이 있어 데이터 유출을 방지하기 위한 보안 강화 필요성이 높아지고 있다. 계속되는 '탈취 정보 뒷거래'…추가 피해 우려 해킹의 진원지인 불법 해킹 포럼은 '암시장'으로 보면 된다. 도둑이 남의 집을 털고, 훔친 물건을 가져다 몰래 판매하는 곳이다. 올해 상반기까지만 해도 가장 인기 있었던 불법 해킹 포럼 '브리치포럼스(Breachforums)'에는 전 세계 기업 및 기관의 유출된 데이터들이 암암리에 거래되고 있다. 한국도 예외는 아니다. 올해 초에만 해도 브리치포럼스 운영진으로 알려진 유명 악질 해커 '인텔브로커(IntelBroker)'가 환경부의 소스코드를 탈취한 정황이 확인됐다. 인텔브로커는 올해 초 환경부의 X(舊 트위터) 공식 계정을 탈취해 북한 관련 게시글을 올렸으며, 환경부 소스코드를 판매한다고 밝힌 바 있다. 이 외에도 중소 웹사이트를 해킹하고, 이름, 휴대전화 번호, 주민등록번호 등 개인정보를 탈취해 판매하는 경우도 빈번하다. 한국 기업의 데이터를 탈취해 판매한다는 게시글도 어렵지 않게 발견된다. 다만 현재 브리치포럼스는 폐쇄된 상태다. 브리치포럼스는 2023년 미국 연방수사국(FBI)에 의해 폐쇄됐으나, 2번째 버전이 2년가량 유지됐다. 하지만 지난 6월 파리 경찰청 사이버범죄전담부서(BL2C)에서 브리치포럼스 운영진 5명을 체포한 사실이 밝혀지면서 결국 자취를 감췄다. 그럼에도 경쟁 포럼인 '다크포럼스(Darkforums)'가 브리치포럼스의 대안으로 떠오르면서 탈취 데이터 거래는 계속되고 있다. 보안 정보업체 KELA 리서치에 다르면 브리치포럼스가 폐쇄되기 시작한 4월부터 6월까지 약 3개월간 다크포럼스의 활동량이 600% 이상 폭증한 것으로 나타났다. 브리치포럼스에 접속이 불가능해지자 여러 수사기관의 '허니팟'(해커를 분석·검거하기 위한 미끼용 가짜 데이터)들이 생겨나면서 브리치포럼스 사용자 대부분이 다크포럼스로 넘어간 것으로 보인다. 이 때부터 다크포럼스의 페이지도 브리치포럼스와 비슷한 디자인으로 구성됐다. 사이버 위협 인텔리전스 전문 기업 S2W에 따르면 지난 5월 기준 사용자는 약 1만6000명, 업로드된 게시글만 5만 건이 넘는 것으로 집계됐다. S2W도 "브리치포럼스의 운영 중단 이후 다크포럼스가 새로운 대안으로 떠오르면서 기존 브리치포럼스 이용자를 포함한 많은 유저들이 활발하게 게시글을 올리고 있다"고 분석했다. 유명 해킹 포럼의 폐쇄 조치에도 불구하고 거래가 계속되고 있는 이유는 '돈'이다. 불법 해킹 포럼에서 탈취한 데이터를 판매하는 사람은 텔레그램을 통해 구매자와 직접 거래하거나, 포럼 내 재화를 얻기도 한다. 금전적인 이득을 보는 셈이다. 또 추가 피해도 일으킬 수 있다. 구매자들은 탈취한 데이터를 바탕으로 피해를 입은 기업에 추가 공격을 가할 수 있다. 탈취된 데이터를 통해 '침투 경로'를 확보하게 되고, 추가적인 취약점을 찾아내 다시 한 번 해킹 공격을 가하는 것도 가능하다. 가령 랜섬웨어 그룹이 탈취된 데이터를 구매했다면, 기업을 해킹하고 협박을 통해 금전적 이득을 보려 하는 식으로 추가 위협이 있을 수 있는 것이다. 이름, 휴대전화, 주소, 주민등록번호 등이 표시된 개인정보를 구매해 보이스피싱에 악용할 우려도 나온다. 구매한 탈취 정보를 통해 보이스피싱 수법을 더욱 정교화하는 것이 가능해지기 때문이다. 예컨대 "검찰입니다. 법원 등기 서류가 반송됐습니다"하는 식의 피싱보다, "○○○ 씨죠? 검찰입니다. 본인 주소 ○○구 ○○동에 보냈던 법원 서류가 반송돼서 연락드렸습니다"와 같이 보다 정교한 피싱에 악용될 수 있는 것이다. '범죄가 편한 환경' 텔레그램, 탈취한 데이터 거래하는 '시장'됐다 불법 해킹 포럼뿐 아니라 텔레그램도 사이버 범죄의 진원지로 지목되고 있다. 텔레그램은 개인정보 보호에 민감한 사람들이 선호하는 플랫폼으로, 보안과 사용 편의성이 뛰어나 많은 인기를 끌고 있는 메신저이기도 하다. 그러나 익명성, 추적 어려움, 채널 생성 용이성 등이 오히려 탈취한 데이터를 판매하기 딱 좋은 환경이 되기도 한다. 텔레그램은 사용자가 실제 신원을 밝히지 않고도 계정과 채널을 만들 수 있다. 또 일부 기능은 의도된 수신자만 메시지에 접근할 수 있도록 종단간 암호화 기능도 탑재돼 추적이 어렵다. 자동 삭제 기능을 통해 지정된 시간에 메시지를 삭제하는 것도 가능하다. 이 때문에 법 집행 기관이 추적 및 감시하기 어렵게 만들고 더 자유로운 불법 행위가 가능하다. 뿐만 아니라 텔레그램 채널의 경우 구독자 수에 대한 제한이 없어 많은 사람들이 손쉽게 정보에 접근할 수 있고, 대용량 파일 공유도 가능하기 때문에 도난 당한 대규모 데이터도 거래가 가능한 공간이 되기도 한다. 다크웹은 특수한 브라우저나 우회 경로를 통해 접속해야 하는 번거로움이 있지만, 텔레그램은 다크웹에 비해 쉽게 접근할 수 있어 고객 확보에도 유리하다. 이에 불법 해킹 포럼에서도 탈취 데이터를 거래할 때 게시글에 자신의 텔레그램 계정을 올려놓는 등 불법 거래에 적극 악용하고 있다. 규모가 큰 랜섬웨어 그룹도 각자 텔레그램 채널을 운영하기도 한다. 보안업계 관계자는 "결국 데이터 유출부터 잘 막아야 불법 해킹 포럼이나 텔레그램에서 유출된 데이터들이 확산되는 것을 최소화할 수 있다"며 "텔레그램 및 다크웹 모니터링, 위협 인텔리전스 확보, 데이터 유출 탐지 등 선제적 보안 강화에 나서야 한다"고 강조했다.
