다크웹에서 카드 정보 판매하던 스웜숍, 해킹 공격에 두 번째 당해

페이지 정보

작성자 cfpa 댓글 0건 조회 1,873회 작성일 21-04-10 21:18

본문

출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=96380


카드 정보를 공격자들이 훔치는 이유는 누군가 이 정보를 사기 때문이다. 훔친 정보의 거래가 이뤄지는 곳들은 주로 다크웹에 있는데, 그 중 한 곳이 두 번째로 해킹 공격에 당했다. 이번에는 관리자들의 연락처까지 공개돼 당분간 재기하기는 어려울 것으로 보인다.

[보안뉴스 문가용 기자] 다크웹에서 사이버 범죄자들이 탈취된 카드 정보를 거래할 수 있도록 만들어진 웹사이트가 침해됐다. 작년에 이어 두 번째 일이다. 두 차례 침해 공격에 당한 곳은 스웜숍(Swarmshop)이라는 유명 마켓플레이스이며 60만 건이 넘는 지불카드 정보가 스웜숍 관리자와 고객 정보와 함께 유출됐다고 한다. 보안 업체 그룹아이비(Group-IB)가 이러한 상황을 최초로 공개했다. 


스웜숍을 침해한 건 고객들 중 일부일 가능성이 높아 보이지만 확실한 건 아니다. “공격자에 대해 알려진 바는 없지만 보복성 공격으로 보입니다. 스웜숍은 다크웹 내에서 입지가 굳건한 카딩 포럼인데 이번 침해 사고로 명성은 물론 사업 아이템도 모두 잃게 되었습니다. 이런 식으로 추락했을 경우 회복이 불가능할 때가 많습니다.”

그룹아이비 측이 보복 해킹을 의심하는 건 두 가지 이유 때문이다. 2020년 1월에 발생한 첫 번째 공격에서 공격자는 스웜숍을 파괴하고 싶다고 이유를 밝혔었다. 2021년 3월에 발생한 두 번째 사건에서는 공격자가 탈취한 정보를 무료로 풀었다. 여기에는 스웜숍의 관리자와 고객의 정보까지 포함되어 있다. 또한 두 명의 스웜숍 고객이 악성 스크립트를 웹사이트에 주입하려고 했었는데 이 사건과 침해 사고 사이의 연관성은 아직 확실히 밝혀지지 않았다.

이번에 공개된 데이터는 1만 2천 건이 넘는 기록들로, 스웜숍 관리자, 판매자, 구매자가 보유하던 것들이었다. 이들이 스웜숍 내에서 사용하던 이름, 해시 처리된 비밀번호, 연락 방법, 활동 이력, 현재 잔고 등이라고 그룹아이비는 설명했다. 또한 62만 3천 건의 지불 카드 정보와 500건의 은행 계좌 크리덴셜, 6만 9천여 건의 미국 및 캐나다 주민등록번호도 포함되었다. 지불 카드의 경우 미국, 캐나다, 영국, 중국, 싱가포르, 프랑스, 브라질, 사우디아라비아, 몍시코에서 발행된 것들로 분석됐다.

스웜숍은 최소 2019년 4월에 열린 불법 데이터 거래 사이트다. 현재는 약 12만 명이 활발히 거래를 진행하고 있다. 다크웹에서는 꽤나 유명한 편이지만 최대 규모는 아닌 것으로 알려져 있다. 하지만 지난 해 1월 48만 건이 넘는 데이터를 도난 당했고 1년 정도만에 또 다른 해킹 공격에 당했기 때문에 앞으로 규모는 크게 줄어들 것으로 보인다.

하지만 러시아어를 구사하는 사이트 운영자는 지난 해 사건과 이번 사건 모두에서 별다른 입장 발표를 하고 있지 않다. 다만 지난 3월 누군가 관리자 크리덴셜을 포럼에 올렸을 때 오래된 정보이며 더는 사용되지 않고 있다고 주장했다. 그리고 일주일이 지난 후 스웜숍은 접속 불가능한 상태가 되었고, 스웜숍 사용자들은 계정 잔액에 문제가 생겼다고 불만을 제기하기 시작했다. 그러면서 침해 사고 사실이 드러났다.

그룹아이비는 이번에 유출된 기록들을 입수해 분석했고, 4명의 관리자 정보, 90명의 판매자 정보, 1만 2250명의 구매자 정보를 확인할 수 있었다고 한다. 이 기록들은 현재 수사 기관들로 넘어간 상태다. 최근 사법 기관들이 다크웹 시장과 웹사이트들을 공격적으로 수사하고 있기 때문에 이 정보가 유용하게 활용될 수 있을 것으로 예상된다.

지난 1월에는 유로폴과 다른 국가의 수사 기관들이 공조하여 다크마켓(DarkMarket)의 운영자를 체포했었다. 같은 달 조커스 스태시(Joker's Stash)라는 다크웹 사이트도 폐쇄를 발표했는데, 이는 FBI와 인터폴이 계속해서 사이트 운영자들을 압박했기 때문이다.