전체메뉴

[애플경제 이보영 기자] 해킹 등 사이버공격의 도구가 되는 ‘다크웹’ 자체가 온라인 암시장에서 활발히 거래되면서 거대한 시장을 형성하고 있다. 국제 마약이나 무기거래 시장이 성황을 이루듯이, 사이버 범죄에 유용하게 쓰이는 무기 거래를 위한 암시장이 날로 번창하고 있는 것이다. 특히 글로벌 보안 전문매체인 ‘프라이버시 어페어즈’(PA)는 20일 그 중 대표적인 500여 개의 다크웹 시세를 일목요연하게 공개해 충격을 주고 있다.

이른바 ‘Dark Web Price Index 2022’라는 제목을 단 내용을 보면, ‘다크웹 마켓플레이스’와 숫자와 이에 접속하는 구매자들은 날로 폭증하고 있다. 몰려드는 예비 사이버 범죄자 ‘고객’들로 인산인해를 이루고 있다. 이에 대해 ‘PA’는 “날이 갈수록 많은 구매자들이 몰려들면서 시장은 전년보다 훨씬 더 크고, 더 다양하며, 활기찬 분위기”라고 전했다.

해당 리포트를 좀더 자세히 분석해보면, 이는 2021년 2월부터 2022년 6월까지 거래된 양상을 조사하면서, 특히 주목할 만한 변화에 초점을 맞추고 있다. 이에 따르면 복제된 신용 카드나 카드 소유자의 개인정보 등을 담은 신용카드가 2021년 12월 한 달 동안만 약 450만 장이 거래되었다. 그런 가운데 다크웹 마켓플레이스 간의 경쟁도 치열하다. 서로 자신들의 다크웹을 팔아먹기 위해 또 다른 시장 경쟁을 벌이고 있는 것이다.

그 중에서도 최근까지 가장 막강한 마켓플레이스는 ‘화이트 하우스 마켓’이었다. 백악관의 이름을 딴 해당 마켓플레이스는 ‘시장의 선두주자’로서 엄청난 매출을 올리며 승승장구했다. 2021년 10월 이전까지 많은 구매자들로부터 최고의 인기를 끌었다. 이는 보안당국이나 보안기술에 맞서 더 치밀하게 은폐하며, 은밀하게 거래하거나 침투할 수 있는 기능을 제공하고, ‘고객 서비스’를 특별히 강조하기도 했다. 그래서 가장 성황을 이루며 인기있는 마켓플레이스로 명성이 높았고, 한때는 전세계적으로 약 9천개로 추산되는 다크웹 판매자(벤더)들 중 약 3분의 1과 거래했다.

그러나 지난해 10월 사이트 관리자들은 별다른 설명 없이 사이트를 폐쇄한다고 발표했고, 실제로 사이트를 폐쇄했다. 그 후에는 ‘ToReZ’나, 최근 다시 재구성된 ‘알파베이’ 등이 선두를 알리고는 있으나, 앞서 ‘화이트 하우스 마켓’만큼의 독보적 위상에는 미치지 못하는 것으로 평가된다.

이들 마켓플레이스와 벤더들의 다크웹 수법도 날로 발달하고 있다. 그 만큼 사이버보안이 강조되면서 각국 보안당국이나 전문가, 기업들이 보안 기능도 발전한데 대한 대응이라고 할 수 있다. 특히 마켓플레이스 거래 시스템 보안도 무척 철저하다. 각국의 법 집행 기관의 탐지 및 추적을 피하기 위해 다크 웹 사이트들도 최근엔 다크 웹 트랜잭션 전반에 걸쳐 더 많은, 그리고 더 정교한 그들만의 보안 조치를 사용하고 있다. 심지어는 지난해는 익명성 암호화폐인 모네로이나, 비트코인을 결제 수단으로 대체하기도 했다.

날이 갈수록 다크 웹 사이트들은 자체 보안 기능과 고객 서비스 품질을 놓고 치열한 경쟁을 벌이고 있다. 그들 역시 여느 전통적인 마케팅 전략에 주력하고 있다. 예를 들어 “복제된 신용카드 2개 구매, 1개 무료”라는 식의 할인 방식이나, 쿠폰, 또는 사용자 후기 등도 난무하고 있다. 테크리퍼블릭은 이를 두고 “흉기를 사서 범죄를 저지른 들이 그 흉기에 대해 제품 리뷰를 하는 격”이라고 했다. 이런 풍경은 최근 경쟁이 치열한 다크웹 사이트에서 흔히 볼 수 있는 것들이다.

현재 ‘PA’가 정확히 파악하고 있는 다크웹 마켓플레이스 32곳 가량은 기업체나 개인, 공공기관 사이트에서 절취하거나, 해킹 또는 위조된 데이터와 문서를 판매하는 해킹업체(벤더)또는 개인이 거의 200만 개에 달하는 것으로 나타났다. 그 중 활성화된 벤더들은 평균 1,280개 가량의 다크웹을 판매한 것으로 파악되고 있다.

그렇다보니 최근엔 가격도 점차 하락하고 있다. 반면에 지난해 다크웹 데이터 시장은 총량 이나 제품 다양성에선 더욱 그 규모가 커졌다. ‘PA’에 따르면 판매량 면에선 작년에 훨씬 많은 품목들이 팔렸다. 가짜 신분증과 신용카드를 판매하는 9천개 이상의 판매업자들은 각각 지난 해 수천 건의 거래를 기록한 것으로 나타났다.

또 2020년에 비해 2021년에는 가짜 신용카드 데이터, 개인정보, 서류 등이 더 많이 팔렸다. 또 해킹된 암호화폐 계정과 우버와 같은 웹 서비스 등의 항목이 추가되는 등 상품 메뉴도 한층 다양해졌다. ‘PA’는 이런 동향을 분석하는 한편, 시장 특성에 따라 대략 8가지 카테고리로 나눠 실제 ‘가격표’를 소개하고 있어 눈길을 끈다.

장문의 보고서 성격을 띤 ‘PA’의 기사 내용을 자세히 분석해보면 우선 훔친 신용카드 세부 정보 거래가 많이 눈에 뜬다. ‘PA’는 각 카테고리별, 벤더별로 구분해 약 500여 개의 다크웹 거래 가격을 자세하게 ‘표’로 정리하고 있다. 대표적으로 훔친 신용카드 정보의 경우 평균 가격은 1달러(미국, 캐나다, 호주)에서 20달러(홍콩)까지다. 또 결제 처리 서비스도 다크웹의 대상이 되고 있다. 많은 자영업자나 소매업자들이 모바일 결제와 다른 형태의 온라인 결제를 받아들이면서 결제 프로세서도 이들 다크웹 벤더들의 먹잇감이 되고 있는 것이다.

우선 ‘PA’에 따르면 신용 카드 데이터는 여러 가지 형태로 판매된다. 이름, 만료 날짜 및 CVV 코드, 신용 카드 번호 등은 기본이다. 이런 도난 정보는 사이버 범죄자들이 다른 웹사이트에서 제품이나 서비스를 온라인으로 구매하는데 필요하다. 또한 신용카드 정보는 개별적으로 또는 규모에 따라 구분, 판매한다. 카드를 많이 구입할수록 구입가격이 낮아진다. 구입가격 결정의 또다른 중요한 요소는 발급 은행이 어디냐는 것과, 원래 주인의 계좌에 남은 잔액과 사용한도다. 계좌 잔액이 최대 5,000달러인 신용카드 데이터는 다크웹에서 평균 120달러에 판매되지만, 보통은 신용카드 하나에 최저 15달러에 판매된다.

도난당한 금융 서비스 계정도 판매된다. 최소 잔액이 1,000달러인 도난당한 페이팔 계좌는 20달러 상당의 가치가 있는 반면, 잔액이 없는 해킹된 페이팔 계정 자격 증명 50개는 평균 150달러에 판매된다. 일부 데이터는 더 비싸다. 예를 들어 ‘CashApp’ 인증 계정의 가치는 최대 800달러이고, 결제 게이트웨이가 있는 인증된 Stripe 계정의 가치는 최대 1,000달러다.

암호화폐 계좌도 인기 상품이다. 암호화폐 계좌는 가입할 때 자세한 정보가 필요하기 때문에 일부 사기범들은 가짜 신분증, 운전면허증, 여권 등으로 계좌를 만든 뒤 판매한다. 이러한 계좌 중에서 ‘블록체인 닷컴’ 계좌의 경우는 90달러, X 코인 교환 플랫폼 계좌의 경우 320달러까지 가는 등 다양하다.

개인 식별이 가능한 정보나, 소셜 미디어 혹은 위조 문서도 인기다. 전문가들에 의하면 이들 사이버 범죄자들은 이른바 ‘정체성에 관한 사업’을 매우 중시한다. 즉, 신용 사기나, 민감한 금융 웹 서비스, 실제 신원을 요구하는 다른 모든 것에 등록하기 위해 가짜 신원을 사용한다. 그래서 특히 위조된 문서는 실제 품목으로 판매될 수도 있고, ‘설득력 있는’ 스캔으로 판매되기도 한다. 특히 실물 여권은 매우 비싸다. 유럽연합의 어느 나라 여권이라도 3,800달러에 팔린다. 또한 어떤 종류의 가상 아이디라도 약 150달러면 살 수 있다. 특히 소셜 미디어 계정은 해킹된 트위터 계정의 경우 25달러, 해킹된 페이스북 계정의 경우 45달러 사이에 판매된다.

악성 프로그램 및 DDoS 공격을 위한 ‘무기’도 활발히 거래되고 있다. 예를 들어 ‘악성코드 감염 기계’는 다양한 가격에 판매된다. 유럽에선 1,000개의 ‘고품질 감염 기계’에 대한 접근은 1,800달러 상당의 가치가 있는 반면, 유럽에서 1,000개의 저품질 감염은 120달러에 판매된다. 이러한 가격 차이는 얼마나 맬웨어 감염이 성능이 뛰어난가에 따라 차이가 크다.

분산형 서비스 거부 공격은 대상에 따라 가격이 다르다. 보호되지 않은 대상 웹 사이트는 1시간 동안 초당 10,000개에서 50,000개의 요청으로 공격받을 수 있으며, 최소 10달러 또는 최대 850달러에 달할 수 있다. 보호된 웹사이트는 200달러로 하루 종일 여러 엘리트 프록시를 사용하여 초당 20,000개에서 50,000개의 요청을 받을 수 있다.

초기 액세스 데이터도 주목을 끄는 것 중 하나다. 지난 한 해 동안 호황을 누린 서비스 중 하나는 유효한 접속을 온라인으로 기업체에 판매하는 것이다. 초기 액세스 브로커는 다크 웹에서 점점 더 많이 등장하고 있으며, 많은 사이버 범죄 시장에서 거래되고 있다. 최근 다크웹에서 기업 네트워크에 대한 접속을 판매하는 200개 가양의 다크웹 벤더들을 분석한 ‘PA’에 따르면, 접속료는 보통 2,000달러에서 4,000달러 사이다.

특히 다크 웹에서 이러한 가격으로 판매되는 가장 일반적인 액세스 유형이 또 있다. 즉, 사이버 공격자가 조직의 직원을 가장하고, 기업 네트워크 내에서 초기 기반을 확보할 수 있는 RDP 액세스에 유효한 자격 증명이 그것이다. 이 역시 다크웹 시장에서 활발히 거래되고 있다. 이는 아예 상한선이 없어 보인다. 실제로 매출 4억6500만 달러의 한 회사에 속한 액세스 데이터가 50,000달러에 판매되는 것으로 전해지기도 한다.

이처럼 다크웹 마켓플레이스가 성황을 이룰 정도로 사이버 범죄가 기승을 떨면서 전문가들은 더욱 신원이나 데이터 도난으로부터 보호하는데 주력할 것을 당부하고 있다. 지금까지 여러 보안매체들이나 금융보안원, ‘인터넷보호나라’ 등 국내외 보안전문가들에 따르면 우선 모든 시스템과 소프트웨어를 항상 최신 상태로 유지하고 패치를 적용할 필요가 있다. 또한 RDP, FTP, 웹 메일, 웹 패널 관리를 포함하여, 인터넷 연결을 허용하는 모든 시스템에 다중 요소 인증이 배치되는게 바람직하다.

특히 ‘피싱’ 사기에 빠지지 않도록 모든 직원을 대상으로 정기적인 인식 캠페인이 이루어져야 하며, 직원들은 소셜 네트워크에 자신을 너무 많이 노출하지 않도록 교육해야 한다. 신용카드 번호나 ID와 같은 정보는 절대로 암호화되지 않은 채로 네트워크의 어느 곳에도 저장해서는 안 된다. 또한 대부분의 다크웹 사이버 범죄 포럼(암시장)과 마켓플레이스에 유출되었는지 여부를 모니터링하고, 해당 브랜드와 회사 이름을 검색해야 한다. 이는 시간이 많이 걸리기 때문에, 필요한 경우 사이버 보안 회사들에 의뢰할 수도 있다.

‘PA’가 전하는 ‘Dark Web Price Index 2022’의 쇼핑 목록은 그야말로 가관이다. 그 중 몇 가지 사례를 들어 소개하면 다음과 같다.

▲ 신용 카드 데이터=신용카드 세부 정보, 계좌 잔액 최대 5,000달러 최소 120달러, 신용카드 세부 정보, 계좌 잔액 최대 1,000달러 최소 80달러, 온라인 뱅킹 로그인 도난, 계좌 $65에 최소 2,000달러.

▲결제 처리 서비스=도난당한 계좌에서 PayPal 이체, $1,000 – $3,000 잔액 $45 캐시앱 확인 계정 $800, 도난당한 PayPal 계정 정보, 최소 $1,000 잔액 $20, 도난당한 영국 전체 확인 Skrill 계정 세부 정보 $120, 50 해킹된 페이팔 계정 로그인 $150, 해킹당한 퍼펙트 머니 계좌 $110, 도난당한 계좌에서 PayPal 이체, 잔액 $100-1,000 $15

▲암호화폐 계정=크라켄 확인 계정 $250, Cex.io 확인 계정 $170, 해킹된 코인베이스 인증 계정 $120, Coinfield.com 확인 계정 $120, 미국 확인 로컬 비트코인 계정 $120, Blockchain.com 확인 계정 $90, Crypto.com 확인 계정 $250, 바이낸스 확인 계좌 $260

▲소셜 미디어 해킹=페이스북 계정 $45, 해킹당한 인스타그램 계정 $40, 해킹당한 트위터 계정 $25, 해킹된 Gmail 계정 $65, 인스타그램 팔로워 x 1000$, 팔로워 식별 x 1000달러, 트위치 팔로워 x 1000$, LinkedIn 회사 페이지 팔로워 x 1000 $10

▲위조 문서–스캔=공공요금 템플릿 $25, 뉴욕 운전 면허증 $70, 미국 비즈니스 수표 템플릿 $10, 러시아 여권 스캔 100달러, 보유 ID $120의 미국 셀카, NSW(호주) 운전면허 $150, 앨버타 CA 운전면허(스캔) $165, 위조 서류 – 몰타 여권 $3,800, 라트비아 국민 ID $160, 네덜란드 여권 $3,800, 폴란드 여권 $3,800, 프랑스 여권 $3,800