다크웹 마켓 '드림마켓'에서 지난 2월 3차례에 걸쳐 총 8억 4,000만 개에 이르는 사용자 계정이 판매된 것으로 나타났다.
이달 데이터 침해와 해킹, 랜섬웨어 공격, 신원 도용 및 사기, 피싱 공격 등 많은 사이버 범죄 사례가 발생했지만, 그중에서도 데이터 유출은 현재까지 가장 큰 규모의 정보 침해 중 하나로 기록됐다.
이번 데이터 유출은 해커들이 여러 인기있는 웹사이트 수 십군데의 온라인 계정으로부터 수 억개에 달하는 데이터를 탈취한 것으로, 이들을 모두 드림마켓에서 팔아버린 것이다.
첫 라운드
6억 2,000만 계정 유출
이번 사건을 최초로 보도한 더레지스터에 따르면 가장 처음 발생한 케이스는 2월 11일로 16개의 사이트로부터 총 6억 2,000만 개에 달하는 계정이 유출돼 판매됐다.
영향을 받은 사이트는 ▲덥스매시(1억 6,200만)▲마이피트니스팔(1억 5,100만)▲마이헤리티지(9,200만)▲쉐어디스(4,100만)▲오트룩(2,800만)▲아니모토(2,500만)▲아이엠(2,200만)▲8피트(2,000만)▲화이트페이지스(1,800만)▲포토로그(1,600만)▲500px(1,500만)▲아머게임즈(1,100만)▲북메이트(800만)▲커피미츠베이글(600만)▲아트시(100만)▲데이터캠프(70만) 등이다.
도난당한 계정에는 사용자 이름과 이메일 주소, 해시 혹은 암호화된 비밀번호 등이 포함된 것으로 나타났으며, 일부 링크된 소셜 미디어의 사용자 위치 정보와 인증 토큰같은 기타 개인 정보도 추가로 유출된 것으로 보인다.
또 위에 언급된 사이트 가운데 일부는 사용자의 은행 카드 정보 및 기타 결제 정보를 저장하고 있지만, 매체는 드림마켓에는 이런 정보들이 포함된 계정은 없었다고 전했다.
이어 아머게임즈와 북메이트, 화이트페이지스를 제외하고는 피해를 당한 대부분의 사이트는 자사의 시스템 침해를 확인한 것으로 알려졌다. 그러나 데이터 침해 공격과 관련해서는 공식적인 입장을 피하고 있다.
다만 커피미츠베이글측은 성명을 통해 사건 인지 및 사과문을 발표했다.
업체는 허가받지 않은 침입자가 2018년 5월 이전에 사용자 이름이나 이메일 주소 등의 일부 사항에 접근했다는 것을 알게됐다며, 사건 피해를 확인한 후 즉각적으로 법의학 전문가들의 도움을 받아 종합적인 조사에 착수했다고 밝혔다.
이어 현재 영향을 받은 사용자들에게 이를 통지하고 있으며, 이번 사건과 관련해 불편함을 끼쳐 사과드린다고 전했다.
두 번째 라운드
1억 2,700만 계정 피해
그러나 1차 데이터 유출 사건이 일어난지 불과 얼마되지 않아 2차 데이터 유출이 발생했다. 이들 데이터 역시 드림마켓에서 판매됐으며, 다만 마켓은 1차 사례는 모두 삭제했다.
이는 새 비밀번호 검사 기능을 갖춘 구글 등의 보안 조치를 피하기 위한 목적이 크다. 이번 2차로 판매된 계정은 모두 8개 사이트를 통해 수집된 1억 7,200만 개의 계정들로, 1차 보다 규모면에서 크지는 않지만 역시 적은 수도 아니다.
영향을 받은 사이트는 ▲하우즈(5,700만)▲유나우(4,000만)▲익시고(1,800만▲스트롱홀드 킹덤스(500만)▲롤20닷넷(400만)▲Ge.tt(183만)▲펫플로우앤브이불틴포럼(150만)▲코인마마(42만)이다.
이번 역시 코인마마 등 일부 사이트만 피해 사실을 인정했다. 코인마마는 이스라엘에 소재한 세계 최대의 비트코인 판매사로, 회사의 자체 조사를 통해 사용자의 이메일 주소와 해시암호 등이 영향을 받았다고 밝혔다.
그러나 해시된 암호가 일반텍스트(평문)로 변환됐는지 여부나 제3자에 의해 부정한 목적으로 사용됐는지에 대한 보고는 없었다. 다만 2017년 8월 5일 이전에 코인마마에 가입한 사용자들이 영향을 받았다고 덧붙였다.
업체는 성명을 통해 2019년 2월 15일 현재를 기준으로, 침해 자료가 가해자에 의해 도용됐다는 증거가 없다며, 다른 코인마마 시스템은 손상된 것으로 보이지 않는다고 언급했다. 이어 자사는 신용카드 정보를 저장하지 않는다고 강조했다.
또한 잠재적으로 영향을 받을 수 있는 모든 사용자들에게 즉시 비밀번호 변경을 촉구했으며, 모르는 발신자로부터 받은 의심스러운 이메일이나 첨부 파일을 열지 말라고 당부했다.
마지막 라운드
9,300만 계정 침해
마지막은 총 8군데의 사이트로부터 9276만 개의 계정이 유출, 판매된 케이스다.
여기에는 ▲피잡(6,008만)▲잡앤탈렌트(1,100만)▲지파이캣(800만)▲스토리버드(400만)▲레전드애즈닷tv(386만)▲원비프(260만)▲클래스패스(150만)▲스트리스이지(100만) 등이 있다.
도난당한 정보는 이메일 주소와 사용자 이름, ip주소, 그외 기타 개인 정보들로, 비밀번호 역시 유출됐다.
다만 비밀번호는 레전드애즈닷tv와 원비프의 사용자들을 제외하고는 대부분 해시 혹은 암호화된 것으로 확인됐다. 위 2개 사이트의 경우 일반텍스트로 전환된 것으로 보인다.
노스틱플레이어즈
IT 매체 지디넷에 따르면 이들 데이터 유출은 '노스틱플레이어즈'라는 이름으로 활동하는 해커인 것으로 알려진다.
이들은 매체와의 인터뷰를 통해 자신들이 데이터 유출 사건의 배후임을 자처했는데, 자신의 두 가지 주요 목표가 돈, 미국의 몰락이라고 언급했다.
무려 8억 4,000만 개에 이르는 계정이 이 해커에 의해 유출, 그리고 다크웹에서 엄청난 가격에 판매된 것이다.