엘살바도르에서 역사적인 사건이 발생했다. 전국민 80%의 생체 정보가 유출된 것이다. 여기에 더해 각종 개인 식별 정보도 같이 새나갔다. 사실상 한 나라의 모든 사람들이 각종 사기 공격에 노출된 것인데, 이런 일은 처음이다.

[보안뉴스= 셰인 스나이더 IT 칼럼니스트] 한 사이버 공격자가 엘살바도르 국민 500만 명 이상의 개인 식별 정보를 다크웹을 통해 유출시켰다. 이는 엘살바도르 전체 인구의 80%에 해당하는 수치다. 해커는 다크웹에서 CiberinteligenciaSV라는 이름으로 활동을 하고 있던 자이며, 이번에 공개된 데이터는 144GB에 달한다. 고화질 사진만 5,129,518장이 포함되어 있으며, 각 사진에는 엘살바도르 주민 등록 번호까지 첨부되어 있었다.


이것만이 아니었다. 사진과 함께 공개된 거대 데이터베이스에는 각 사람의 이름과 생년월일, 전화번호, 이메일 주소, 거주지 주소도 저장되어 있었다. 더 치명적인 건, 거기에 생체 인증 정보도 같이 들어있었다는 것이다. 얼굴 인식을 위한 자료들이 개인별로 정리되어 있었고, 각 자료들에 개인을 식별하기에 충분한 정보까지도 알맞게 첨부되어 있었다. 누구라도 마음만 먹으면 이 정보를 가지고 개인을 특정해 접근할 수 있다.

아직까지 누가 이런 짓을 저질렀는지, CiberinteligenciaSV라는 자가 누구인지는 알 수 없다. CiberinteligenciaSV는 자신이 누구인지, 혹은 어떤 단체에 속해 있는지 정확히 밝히지 않고 있다. 다만 악명 높은 해킹 단체와 관련이 있다는 뉘앙스만 살짝 풍기는 정도였는데, 정작 문제의 정보가 처음 공개된 게시글에서는 특정 그룹과 전혀 관련성이 없다는 문구가 있었다. 스페인어로 “우리는 어떠한 활동가 그룹에도 속해 있지 않으며, 공개된 정보를 포워딩 할 뿐”이라고 주장하고 있으며, “이미 과카마야 그룹(Guacamaya Group)이 이전에 인터넷에 공개한 정보이므로 우리가 지금 전달하는 정보는 공개된 정보다"라고 CiberinteligenciaSV는 텔레그램을 통해 주장하고 있다. 과카마야는 남미 지역에서 활동하는 핵티비스트 단체 중 하나다.

이렇게 그룹에 속해 있음을 부인하고 있긴 하지만 CiberinteligenciaSV의 텔레그램 채널은 ┖https://t.me/guacamayal┖라는 링크를 사용하고 있다. 아마도 사람들을 끌어모으기 위한 것으로 보인다. 이런 식으로 자신의 정체를 헷갈리게 하는 것 자체가 전략일 수 있으며, 이는 사이버 공격자들이 흔히 사용하는 것이기도 하다.

어찌됐든 이번 데이터 유출은 사이버 범죄 역사에서 매우 특별한 이정표가 될 것으로 보인다. 한 국가를 구성하는 인구 대부분이 ‘생체 정보 유출 사건’에 연루된 것이기 때문이다. 최초의 사례라고 할 수 있다. 공격자들은 엘살바도르 인구 대부분의 개인 식별 정보 기록뿐만 아니라 피해자 각각의 얼굴 사진도 가져갔는데, 이는 특히 생성형 인공지능의 황금 시대에서 중요한 생체 측정 데이터로 작용할 가능성이 다분하다. 즉 엘살바도르 인구 대부분이 신원 도용과 사기에 상당히 노출되어 있다는 뜻이다. 현대의 딥 페이크 기술로 무장한 위협 행위자들은 피해자의 얼굴 사진과 관련된 개인 식별 정보를 이용하여 더 설득력 있는 사기 전략을 펼칠 수 있을 것으로 보인다.

CiberinteligenciaSV는 다음처럼 스크립트도 같이 공개했다. 사진을 특정 인물 혹은 특정 데이터셋과 연결시켜주는 기능을 하는 것으로, 여러 정보들을 보다 쉽게 찾고 검색하고 매칭시키게 하기 위한 것으로 보인다. 스크립트 내 주석은 스페인어로 되어 있다.

# instrucciones:
# 1- covertir la db de texto plano a formato de db
# 2- descargar (PyQt5)
# 3- colocar las rutas de lo que pide
# 4- darse un tiro en la cien

import os
import sys
import sqlite3
from PyQt5.QtWidgets import QApplication, QMainWindow, QLabel
from PyQt5.QtGui import QPixmap

class DUIs(QMainWindow):
def __init__(self, n_DUI):
super().__init__()
self.setWindowTitle(f"{n_DUI}.jpg")

img = QPixmap(f"/{n_DUI}.jpg")

lb_img = QLabel(self)
lb_img.setPixmap(img)

self.setCentralWidget(lb_img)

def Searth(
DUI=None,
Nombres=None,
Apellidos=None,
Ciudad=None,
Cumpleaños=None,
Telefono=None,
):
# filtro SQL
query = "SELECT * FROM WHERE 1=1"
if DUI:
query += f" AND DUI like ┖%{DUI}%┖"
if Nombres:
query += f" AND Nombres like ┖%{Nombres}%┖"
if Apellidos:
query += f" AND Apellidos like ┖%{Apellidos}%┖"
if Ciudad:
query += f" AND Ciudad like ┖%{Ciudad}%┖"
if Cumpleaños:
query += f" AND Cumpleaños like ┖%{Cumpleaños}%┖"
if Telefono:
query += f" AND Telefono like ┖%{Telefono}%┖"

conn = sqlite3.connect("")
cursor = conn.cursor()
cursor.execute(query)
result = cursor.fetchall()
cursor.close()
conn.close()

if result[0] == "":
print("*** No se encontro la persona")
else:
return ResultDB(result)

def ResultDB(data):
for i in range(len(data)):
dataOne = data[i]
print("####################################################################")
print(f"# Personas Encontradas: {i+1}/{len(data)}")
print(f"# Nombre Completo: {dataOne[8]} {dataOne[7]}")
print(f"# DUI: {dataOne[1]}")
print(f"# Fecha de Nacimiento: {dataOne[9]}")
print(f"# Telefono: {dataOne[12]}")
print(f"# Dirección: {dataOne[10]}")
print(f"# Ciudad: {dataOne[16]}")
print(f"# Pais: {dataOne[14]}")
print("####################################################################")
if len(data) == 1:
if os.path.exists(f"/{dataOne[1]}.jpg"):
app = QApplication(sys.argv)
ventana = DUIs(n_DUI=f"{dataOne[1]}")
ventana.show()
sys.exit(app.exec())
else:
print("*** La fotografia no existe")


print("*** Si no sabes un dato, dejalo en blanco")
Searth(
DUI=input("(1/6) Ingresa el DUI (12345678-9): "),
Nombres=input("(2/6) Ingresa los nombres (Jorge Armando): "),
Apellidos=input("(3/6) Ingresa los apellidos (Perez Diaz): "),
Ciudad=input("(4/6) Ingresa la ciudad (San Salvador SS): "),
Cumpleaños=input("(5/6) Ingresa la fecha de nacimiento (1999-12-31): "),
Telefono=input("(6/6) Ingresa el numero de telefono (1234-5678): ")
)

# LiLa :)

생체 인증 정보를 노리는 공격자들
정보를 불법적으로 탈취해 돈으로 전환시키는 사이버 공격자들은 현재 생체 인증에 큰 관심을 갖고 있다. 이번 엘살바도르 국민 해킹 사건도 그러한 맥락에서 이해할 수 있다. 생체 측정 데이터는 비밀번호와 핀 코드와 달리 변경시킬 수 없기 때문에 공격자에게 특히 가치가 높다. 보안 회사 노드VPN(NordVPN)이 이전에 언급했듯이 “지문이나 얼굴과 같은 생체 측정은 변하지 않으므로 공격 시에는 신원이 영원히 위험에 노출될 수 있”는 것이다.

생체 정보로 인증을 하는 사례는 빠르게 증가하고 있다. 공공 및 사설 부문에서 전 세계적으로 기업과 기관들은 직원 및 시민 신원을 수집, 처리 및 확인하기 위해 점점 얼굴, 홍채 및 지문 인식 기술을 도입하고 있다. 다른 생체 측정 정보 기술은 단일 바이오 마커를 기반으로 사람의 나이, 성별 또는 인종부터 성격 특성, 건강, 소질 또는 데이터 캡처 시점에서의 감정적 성향까지 다양한 특성을 결정할 수 있다고 주장한다. 현대의 생체 인증 및 분석 사용 사례는 의료 검사, 고용, 여행, 금융 서비스에서의 고객 식별 확인 및 일반적인 보안 검사 등을 포함한다.

그러면서 소비자들은 증가하는 위험에 직면하고 있다. 예를 들어 특정 위치에서 소비자를 식별하기 위해 생체 측정 정보 기술을 사용하면 그들에 대한 민감한 개인 정보를 공개할 수 있으며, 이는 그들이 받은 의료 치료의 종류, 참석한 종교적인 행사, 면접을 보거나 정치적이거나 노동 조합 모임에 참여한 사실과 같은 정보를 포함한다. 폭스뉴스의 보도에 따르면, 일리노이 주의 한 여성이 대형 소매업체 타깃(Target)에 대해 제기한 최근의 집단 소송은 생체 측정 데이터 수집을 둘러싼 불신 분위기의 증가를 보여준다고 한다. 원고는 "타깃이 법률을 위반하여 그녀의 동의 없이 얼굴과 지문 스캔을 수집하고 저장했다"고 지적했다.

생체 인증 정보가 딥페이크와 만나면
대규모로 노출된 얼굴 신원 기록은 해당 국가의 시민들에게 전례 없는 사기 및 신원 도용 위험을 가중시킨다. 게다가 다크웹 상의 급속히 진화하고 있는 딥페이크 경제에 주목해야 한다. 2022년에 보안 업체 리시큐리티(Resecurity)는 크립토 인플루언서 딥페이크를 만드는 것을 전문으로 하는 위협 행위자들의 증가에 주목했는데, 당시 이들은 일론 머스크, 비탈릭 부테린, 그리고 여러 가지 암호화폐 임원들의 모습을 위조하기 위해 생성형 인공지능을 사용하는 데 집중하고 있었다.

그 이후로 딥페이크 비디오를 사용한 기업 및 로맨스 사기가 급증했으며, 그 중에서도 홍콩에서 발생한 2천 5백만 달러의 비즈니스 이메일 사기 (BEC) 사건이 가장 주목할 만하다. 금융 업무를 하는 한 직원이 딥페이크를 활용해 최고 재무 책임자로 위장한 사기꾼에게 속은 것이었다.

올해 초에 404 미디어가 최초로 보도한 것에 따르면, 인공지능 기반 서비스인 온니페이크(OnlyFake)는 ‘신경망’을 사용하여 15달러에 가짜 신분증의 현실적인 모습을 생성할 수 있다고 한다. 이 이야기를 공개한 기자인 조셉 콕스는 온니페이크에서 생성된 ID를 사용하여 암호화폐 거래소 OKX의 신원 확인 프로세스를 성공적으로 거쳤다고 밝히기도 했다. 이 보도 이후에 폐쇄된 온니페이크 서비스의 운영자는 또한 생성된 신분증이 바이낸스와 코인베이스와 같은 다른 거래소에서도 사용될 수 있다고 주장했다.

또 다른 의미
이번에 발생한 엘살바도르 국민 개인 식별 정보 유출 사건에는 한 가지 의미가 더 있다. 최근 남아메리카 지역을 노리는 사이버 공격이 급증하고 있다는 것이 한 번 더 증명되었다는 것이다. 남아메리카 지역은 현재 ‘디지털 연결성’ 확대 사업으로 들끓고 있다. 여기 저기 컴퓨터와 인터넷이 빠르게 보급되고 있는 것이다. 국제전기통신연합(International Telecommunication Union)에 따르면 현재 남아메리카 지역 인구의 77.9%가 인터넷을 사용하고 있는데, 이는 전년도 대비 74.8% 증가한 것이라고 한다. 세계 평균인 66.3%를 훌쩍 뛰어넘는 수치이기도 하다. 또, 라틴아메리카 인터넷 사용자의 절반이 평균 하루 6시간을 소셜미디어에 사용한다는 조사 결과도 있다.

인터넷 보급률이 높아지면서 사이버 공격 리스크도 크게 증가했다. 인터넷 보급률만큼 ‘보안 보급률’이 늘어나지는 않았다. 그래서 로이터는 이 지역의 기관과 정부가 다른 지역보다 취약하다고 보도한 바 있다. 사기 방지 기업 세온(SEON)이 조사한 결과에 따르면 전 세계 93개국 중 남아메리카의 9개 국가가 사이버 공격 준비도 측면에서 하위 50%에 랭크되었다고 한다. 또한 남아메리카는 2022년 기준 전 세계에서 ‘보호되지 않는 형태의 데이터’를 가장 많이 보유한 지역으로 꼽히기도 했다.

그렇기 때문에 이 지역의 기관과 기업, 일반 소비자들을 대상으로 한 디지털 위생 교육이 활발히 이뤄져야 할 필요가 있다. 이런 교육을 통해 사이버 위생이 문화적으로 널리 퍼져야 한다. 그렇지 못한 상태로 인터넷 인구가 크게 늘어나고 신기술이 급속도로 도입되었을 때 사이버 공격자 천국이 되는 것이고, 그것이 이번 엘살바도르 전국민 해킹 사건의 형태로 터진 것이라고 할 수 있다. 즉, 문제가 쌓이고 쌓인 채 방치되었을 때 이러한 역사적 사건이 일어난 것이지, 우연히 혹은 운이 없어서 엘살바도르에 그런 일이 발생한 게 아니라는 것이다. 이는 여러 지역, 국가, 도시, 기관, 기업에도 적용될 수 있는 교훈이다.

글 : 셰인 스나이더(Shane Snider), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>