• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

훔친 카드 정보가 현금이 되기까지 어떤 일이 일어날까? 2016.04.14

카드 정보로 물건 구매 후 다른 나라에 되파는 방식
중간에 물건 패키징하고 배송하는 ‘알바’들, 사기 당한 피해자

[보안뉴스 문가용] 지불카드 정보를 훔쳐낸 조직의 두목은 1년에 못해도 1백만 달러를 벌어들인다고 한다. 이는 11억이 넘는 돈이다. 이렇게 높은 수익을 어떻게 낼 수 있는 것일까? HP 엔터프라이즈 시큐리티 리서치(HP Enterprise Security Research) 팀에서 이를 조사했다. 결론부터 말하면 훔친 카드 정보를 현금으로 바꾸는 과정에 투입되는 사람들을 등쳐먹고 있기 때문이라고 한다.


HP팀은 지불카드 정보가 어떤 식으로 실제 ‘수입’으로 전환되는지 그 과정을 먼저 조사했다. 이 범죄에 가담한 자들은 상당히 조직적으로 일을 처리하고 있었는데, 기본적으로는 훔친 카드정보로 물건을 사서 되파는 게 현금화의 주요 골자다. HP가 조사한 바, 거의 모든 경우 피해자는 미국 시민이고, 물건의 구입처도 미국이며(미국의 온라인 쇼핑몰), 그 물건들은 미국의 중간상을 통해 러시아로 옮겨간다고 한다.

이런 조직적인 움직임은 크게 두 가지 주요 요소로 구성되어 있는데 이를 스터퍼(stuffer)와 드랍(drop)이라고 부른다. 이 둘의 총괄은 주로 웹 상에서 이루어진다. HP가 밝힌 구체적인 단계는 다음과 같다.

1. 관리자들이 스터퍼들에게 어떤 물건이 필요한지 알린다. 때로 구입처까지 지정해줄 때가 있다. 주로 월마트, 베스트바이, AT&T, 스프린트, 버라이즌 중 하나일 때가 많다.
2. 스터퍼들은 지시 대로 물건을 온라인으로 구입한다. 가전제품, 영양제, 장난감, 총기 부품 등 다양하다. 스터퍼들은 아이템에 따라 25~40%의 수수료를 챙긴다.
3. 구매를 완료했다면 스터퍼들은 드랍들에게 물건을 보낸다. 둘 다 대부분 미국 내에 위치해 있다.
4. 그동안 관리자들은 가짜 송장을 구입한다. 대부분 페덱스나 UPS, 미국우편국 등의 표시가 가짜로 붙어 있다. 불법 밀수품에 이걸 붙이면 당당히 세관을 통과할 수 있다.
5. 관리자들은 이 송장을 드랍에게 보낸다.
6. 드랍은 스터퍼에게 받은 물건과 관리자에게 받은 송장을 합해놓는 작업을 한다. 그리고 이걸 합법적인 우편 서비스를 활용해 러시아로 보낸다. 사실 드랍들은 이 물건과 송장이 사기로 얻어진 것인지 모른다.
7. 드랍들은 대부분 조직의 ‘알바’들이다. ‘재택 근무! 높은 연봉!’의 광고에 혹해 포장 및 발송 업무를 하기 위해 자원한 사람들이다. 그러나 실제 월급을 지급받는 경우는 거의 없다.

관리자는 이런 작업의 흐름을 관리하기 위해 특수한 소프트웨어를 사용하는데, 여기에는 새내기 드랍이 시스템에 등록하고, 그만두기까지 추적하는 기능도 있다. 사기에 당했다는 걸 깨닫는 순간 더 일할 이유가 없기 때문에 사람이 금방 바뀐다. 더 심각한 건 새로 드랍이 되어서 일을 하겠다고 등록할 때 개인정보를 기입해야 한다는 것이다. 그렇기 때문에 사기 당했다는 걸 알아챘거나 범죄 조직과 연관되었다는 걸 알고 그만두는 드랍이 ‘위험한’ 행동을 하지는 않는지 추적할 수도 있다.

이렇게 사람을 자꾸 갈아치우는 데에는 이유가 있다. 사람을 계속 쓰려면 유지비가 드는데, 그걸 아낄 수 있기 때문이다. 또한 업무(?)의 특성상 바깥 세계에 가장 많이 노출되는 게 바로 드랍들인데 이들을 자꾸 바꿈으로써 조직 자체가 노출되는 위험을 크게 줄일 수 있기도 하다.

결국 범죄 행위에 연루되기는 했지만 드랍들은 무죄하다는 게 이번 보고서의 주장이다. 오히려 사기에 속아 노동력을 공짜로 제공한 피해자라고 HP팀은 보고서에 작성했다. 그리고 이들이 받지 못한 돈, 이들의 노동력이 바로 두목들이 올리는 높은 수익의 비밀이기도 하다.

관리자와 스터퍼들이 바로 진짜 ‘조직’이다. 관리자들은 이런 모든 과정을 관리하는 웹 인터페이스에 오류가 생기진 않았는지 매일 점검하고 러시아 구매자들에게서 주문을 받는 역할을 한다. 주문내역을 스터퍼들에게 전달하는 것도 이들의 몫이며, 스터퍼에게 담당 드랍을 배정해주기도 한다. 스터퍼는 지시받은 걸 행동으로 옮기는 대원이라고 볼 수 있다.

한편 문제의 관리 소프트웨어는 사실 기존의 유통기업이나 배송업체가 사용하는 것과 매우 비슷하다고 HP는 보고했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>