[아이뉴스24 김혜경 기자] 개인정보가 사이버 범죄자의 새로운 먹잇감으로 부상한 가운데 최근 한 해커가 중국인 10억 명의 개인정보를 빼돌렸다고 주장하면서 논란이 일고 있다. 이 같은 주장이 사실일 경우 역대급 데이터 유출 사고로 기록될 전망이다.
최근 개인정보를 겨냥한 공격 유형은 사용 중인 계정을 탈취하거나 개인정보 유출로 끝나지 않고 판매로 이어지고 있어 2차 피해가 더 커지고 있다. 전문가들은 신속한 데이터 분석과 유출된 정보가 기업 서비스에 영향을 미칠 수 있는지 신속한 파악이 필요하다는 지적이다.
![최근 한 해커가 10억 명에 달하는 중국인 개인정보를 해킹했다고 주장하면서 논란이 일고 있다. [사진=성지은 기자]](https://image.inews24.com/v1/947a8d823849e3.jpg)
7일 보안업계에 따르면 지난달 30일 '차이나댄(ChinaDan)'이란 아이디의 해커는 한 온라인 사이버 범죄 포럼에 약 24테라바이트(TB) 분량의 개인정보를 판매한다는 게시글을 올렸다. 이 해커는 데이터 출처가 상하이 경찰이라고 밝히며, 취득한 정보를 10비트코인(약 20만 달러)에 넘기겠다고 제안했다.
자신이 획득한 데이터에는 이름과 연락처, 주소, 신분증 번호, 학력, 직업을 비롯해 통화 위치 데이터, 범죄 기록 등 민감한 정보도 포함됐다고 주장했다. 다만 이 해커가 올린 게시글은 이날 기준 해당 포럼에서는 더 이상 검색되지 않는 상황이다.
![지난달 30일 '차이나댄(ChinaDan)'이란 아이디의 해커는 온라인 사이버 범죄 포럼에 약 24테라바이트(TB) 분량의 개인정보를 판매한다는 게시글을 올렸다. 현재 이 해커가 올린 게시글은 해당 포럼에서는 보이지 않는다. [사진=온라인 사이버 범죄 포럼 화면 캡쳐]](https://image.inews24.com/v1/dd81ce822878fe.jpg)
글로벌 보안기업 아크로니스(Acronis)는 다크웹에서 해당 정보가 거래되고 있지만 데이터베이스(DB)의 진위 여부는 아직 확실하지 않다고 전했다. 최초 공격 경로(벡터)도 아직 불분명한 상황이다.
스타스 프로타소브(Stas Protassov) 기술 총괄 사장은 "중국 최대 IT 기술 커뮤니티인 '중국소프트웨어개발연맹'의 개발자 블로그 게시물에 엑세스 자격 증명(크리덴셜)이 포함된 데이터가 있었다"며 "조직의 로그 파일에 액세스하지 않고 공격 벡터를 확인할 수는 없지만 가능성이 높은 시나리오"라고 전했다.
이어 "IT 인프라의 복잡성이 증가하면서 클라우드 DB와 데이터 버킷(data buckets)에서 접근 제어가 제대로 관리되지 않는 대규모 데이터 침해 사례가 점점 늘어나고 있다"고 덧붙였다.
문종현 이스트시큐리티 이사는 "데이터 게재자의 신원이 아직은 불분명하므로 어떤 공격 벡터로 정보가 유출됐는지 판단하기에는 시기상조"라며 "개인정보 판매를 시도하는 사이버 암거래사이트에 대한 접근 차단 조치도 고려해볼 필요가 있다"고 말했다.
![한 온라인 사이버 범죄 포럼에서는 의료 기록과 소셜미디어 계정, 특정 국가의 백신 관련 데이터 등 세계 각국에서 유출된 다양한 정보가 공유되고 있다. [사진=온라인 사이버 범죄 포럼 화면 캡쳐]](https://image.inews24.com/v1/dd0a1fa79cf0b4.jpg)
개인정보 탈취 범죄는 국내·외에서 지속 발생하고 있다. 해당 포럼에는 지난 4일 또 다른 해커가 '이번 사건에서 영감을 받았다'며 자신도 중국 경찰당국에서 빼돌린 데이터를 공유하겠다고 나섰다. 이 외에도 의료 기록과 소셜미디어 계정, 특정 국가의 백신 관련 데이터 등 세계 각국에서 유출된 다양한 정보가 공유되고 있다.
전문가들은 데이터 진위 여부와 해당 데이터가 사실로 판명될 경우 특정 기업 서비스에 영향이 있는지 분석하는 작업이 우선돼야 한다고 강조했다.
김성동 SK쉴더스 탑서트(Top-CERT) 팀장은 "이번에 유출된 정보가 최신 데이터인지 이미 유출된 정보를 조합해 만든 데이터인지 우선 파악해봐야 한다"며 "범죄자들은 자신이 판매하는 데이터 가치를 높이기 위해 이미 공개된 정보를 가공해 새로운 것처럼 포장하는 경우도 많기 때문"이라고 설명했다.
김 팀장은 "경찰 내부 시스템의 경우 일반 기업보다 보안성이 더 높을텐데 유출된 것이 사실이라면 인적 실수인지 다른 이유가 있는지 파악해야 한다"며 "국내에서도 경찰 등 공공기관에서 데이터를 안전하게 보관·관리하고 있는지 살펴볼 필요가 있다"고 말했다.
신동휘 스틸리언 최고기술책임자(CTO)는 "10억 명의 개인정보를 실제 추출한 것인지 이미 공개된 것들을 조합해 10억 명 분량으로 만든 것인지는 아직 불분명하다"며 "중국을 대상으로 서비스하는 업체들은 반드시 해당 데이터를 입수해 진위 파악을 해봐야 한다"고 강조했다.
이어 "유출된 정보가 사실로 판명된다면 다른 범죄자가 해당 수준의 정보를 활용해 기업 서비스를 악용할 가능성이 있는지 면밀하게 살펴봐야 한다"고 덧붙였다.
/김혜경 기자(hkmind9000@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기