[보안뉴스 호애진] 해킹된 페이팔 계정은 범죄 세계에서 금전적 가치를 지닌 상품으로 언더그라운드 포럼에서 빈번하게 거래가 이뤄진다. 하지만 해킹된 페이팔 계정만을 전문적으로 판매하는 웹사이트가 있다는 사실이 한 보안 전문가에 의해 드러났다.

미국 보안 전문가인 브라이언 크렙스(Brian Krebs)는 5일(현지시각) 블로그를 통해 이같이 밝히고 iProfit.su에서 판매되는 페이팔 계정은 잔액이 없는 경우가 많지만 웹사이트의 운영자의 말을 인용, 이들이 모두 ‘인증된’ 것이라고 전했다.

페이팔 계정을 인증하려면 은행 계좌를 첨부해야 한다. 페이팔에서 해당 은행 정보를 입력하고 은행을 통해 페이팔 계정에 소액을 입금시켜야 인증이 마무리되며 신용 카드를 이용해 인증을 할 수도 된다. iProfit.su 사이트에서 현재 판매하는 해킹된 페이팔 계정은 모두 신용카드로 인증된 것이었다.

크렙스에 따르면 미인증된 페이팔 계정은 묶음으로 판매된다. 현재 계정 100개에 50달러에 팔고 있으니 계정 하나에 50센트인 셈이다.

판매되는 계정은 이메일 정보가 있는 경우도 있고 없는 경우도 있다. 피해를 입은 이용자가 페이팔에 등록할 때 사용했던 이메일 계정의 ID와 패스워드가 포함될 수 있는 것이다.

iProfit.su의 운영자는 피싱 공격을 통해 계정들을 탈취했다고 하지만 페이팔 계정이 이메일 정보와 함께 판매된다는 것은 이 가운데 적어도 일부 계정은 피해자의 PC에 숨어 있는 패스워드 탈취 트로이목마에 의해 하이재킹됐음을 시사한다.

인증 계정이 얼마에 팔리는지는 불분명하다. 매물로 나와 있는 계정들을 보면 잔액이 0~10달러 사이인 인증 계정의 경우 가격이 2.5 달러에서 시작한다. 잔액이 많은 경우라면 총액의 8~12% 사이에서 가격이 결정되는 것으로 보인다. 예컨대 잔액이 125달러인 계정이라면 15달러에 판매되는 식이다.

잔액이 무려 1,102.37 달러인 계정도 있었는데, 판매가는 45 달러였다. 크렙스는 이메일 주소의 도메인을 보고 오하이오주 에이크론의 소프트웨어 개발사인 갬빗 시스템즈에서 일하는 사람의 계정으로 추정, 그 회사의 관리자에게 이메일을 보내자 그는 이 사실을 전달했고 페이팔은 해당 계정을 동결시켰다고 한다.

iProfit.su의 운영자는 사회보장번호나 생년월일을 파악하는 서비스, 신용카드 정보 등 온갖 종류의 탈취된 물품과 불법적인 서비스를 판매하는 ‘카딩(carding)┖ 사이트인 blackservice.su도 운영한다.

이들 사이트의 최상위 도메인(TLD)은 ‘.su’이며 이는 소비에트 연방을 나타낸다. 1990년 소비에트 연방의 국가 코드 TLD로부터 잔류된 것들이다. 오랫동안 사라진 것으로 알려졌던 ‘.su’는 특히 러시아 사이버 범죄 포럼을 운영하는 사이트들에서 현재 상당히 즐겨 쓰는 도메인이다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>