단순 크리덴셜만 훔쳐서 공급한 자들...앞으로는 응용 서비스 내놓을 것
과거의 데이터 사고들, 이제부터 진정한 면모 드러낼 것 예상되기도

[보안뉴스 문가용 기자] 2000년하고도 20년대가 밝았다. 이 새로운 10년은 상업용 데이터 경제가 꽃을 피우는 시기로 정의될 가능성이 높다고 필자는 개인적으로 생각한다. 따라서 소셜 미디어와 스마트 장비들에 대한 의존도는 더욱 높아질 것이고, 이 두 가지 창구를 통해 수집되는 데이터는 기술력과 자본력을 가진 기업들을 더욱 윤택하게 만들 것이다. 그러면서 알게 모르게 일반 사용자들에 대한 감시 체제도 굳건해질 수밖에 없다.


이런 모든 발전과 양상은, 세상 모든 것이 그렇듯 양날의 검과 같을 것이고, 누군가는 그 중 어두운 면을 집중 공략할 것으로 예상된다. 예를 들어 수집하는 데이터의 양을 늘린다고 했을 때, 고객의 경험이 향상될 수도 있지만 그만큼 프라이버시와 보안의 수준은 낮아질 수 있는 것이다. 이런 혼돈의 상황을 공격자들은 잘도 이용할 것이 뻔하다.

마케팅 데이터에 대한 요구가 높아질수록 사기는 복잡, 정교해질 것이다
상업가들은 앞으로 새로운 유형의 데이터를 필요로 하게 된다. 개인 프로파일, 쇼핑 및 브라우징 히스토리, 심지어 정치적 성향까지도 미세하게 활용하는 게 현재 시점에서 이뤄지고 있는 일이다. 이 정보만으로도 공격자들은 매우 정교한 사기 공격을 구사하고 있으며, 더 많은 정보가 거래될수록 공격자들은 더 높은 확률로 피해자들을 속일 수 있을 것이다.

이런 현상을 반영해서인지 요즘 인증 체제는 행동 패턴이나 생체 정보를 기반으로 한 쪽으로 흘러가고 있다. 사기꾼들이 취득하기 어려운 정보를 인증에 활용하기 시작한 것이다. 하지만 사이버 공격자들의 행위에는 큰 변화가 없었다. 그들은 언제나 그랬듯 쉬운 먹잇감을 노리며 여러 가지 공격을 퍼붓고 있다. 쉬운 먹잇감이란, 패치가 안 된 장비나 소프트웨어, 쉬운 크리덴셜로 보호되어 있는 인증 시스템 등을 말한다. ‘제작자의 의도대로 사용되었을 때’ 안전한 여러 보안 및 인증 시스템은, ‘사용자가 편리한 대로 사용되자’ 무너져 내렸다. 이 현상을 되돌릴 획기적인 방법이 앞으로 10년 안에 나올 수 있을까? 필자는 솔직히 회의적이다.

계정 탈취 공격의 산업화 : “서비스형 접근(access as a service)”
다크웹에서 범죄가 산업화 되고, 각종 대형 유출 사고로 크리덴셜이 편만하게 거래되면서 2010년대의 마지막은 계정 탈취 공격의 성행으로 얼룩졌다. 이런 현상은 보다 더 전문적인 상품과 서비스의 출현으로 이어질 전망이다. 스포츠 관련 내기 사이트 사용자들에게 훔친 크리덴셜을 제공하던 다크웹 사업자들은 이제 훔친 ‘마일리지’나 ‘포인트’로 사기성 항공권 및 숙박 예약을 진행해주는 등 한 차원 편리해진 서비스를 제공할 것이다. 즉 훔쳐낸 재료들을 2차가공하는 일을 대신해주는 자들이 등장할 것이라는 것이다.

각종 쇼핑 사이트나 온라인 서비스에 적립된 포인트를 훔쳐서 파는 행위 자체는 다크웹에서 그리 낯선 것이 아니다. 다만 이를 통해 제공되는 서비스와 산업화가 보다 성숙해지고 무르익을 것은 자명한 일이고, 따라서 경계해야 한다. 이런 서비스를 이용하는 다크웹의 고객들은, 계정 탈취 공격과 활용에 따른 불편함과 리스크를 짊어지지 않게 되며, 따라서 산업은 더 커질 것이다.

과거 데이터 사고의 흔적들, 다시 떠오르기 시작한다
현재 우리는 노출되는 데이터의 양이 현저히 달라진 시대를 살고 있다. 몇 년 전까지만 해도 ‘수백만’ 단위의 정보가 유출돼도 대서특필되곤 했는데, 지금은 수억 대를 우습게 넘나들고 있다. 게다가 금융 정보나 개인정보만이 외부로 새나가는 것이 아니다. 의료 정보와 교육 관련 정보들도 같이 노출되며 사기 공격은 보다 정교해지고 있다.

특히 주목해야 할 것은 지난 2년 동안 일어난 마케팅 회사에서의 유출 사고다.
1) 이그잭티스(Exactis) : 3억 4천만 건
2) 베리피케이션즈(Verifications.io) : 8억 9백만 건
3) 데이터 피플 랩스(Data People Labs) : 12억 건
이들이 보유하고 있던 데이터는 추적과 프로파일링을 기반으로 만들어진 것으로, 잘못된 손에 들어갈 경우 대단히 치명적인 결과를 낳을 수 있다. (그리고 실제 잘못된 손에 넘어갔다.)

위조 신원 정보들이 범람한다
수억 건을 우습게 넘나드는 양의 데이터가 매일처럼 새롭게 노출되니, 이를 악용하는 공격자들은 계속해서 새로운 데이터셋을 찾아 헤매게 될 것이다. 가장 최신의 데이터셋은 무엇일까? 바로 이제 막 태어난 아이들의 데이터다. 실제 다크웹에서는 아동들의 개인정보에 대한 수요가 가파르게 올라가고 있다. 그러면서 가짜 신분증이 온라인과 오프라인에서 증가하기 시작했다.

양지의 기업들 역시 아동들을 고객으로 삼으면서, 아동 개인정보를 마구 퍼가고 있는 상황이다. 조만간 신용 등급을 조회하는 아동들의 수가 세계 각지에서 늘어날 것으로 전망된다. 심지어 자신의 잘못이 아닌 이유로 신용불량자가 되는 아동들도 심각한 사회적 문제로 대두될 수 있다. 이이들을 보호하는 움직임이 올해부터 적극 일어나야 할 것이다

여기서부터 우리는 어디로 가야 하는가?
소비자로서 우리는 온라인에서 우리가 스스로 공유하는 것들에 대해 보다 비판적으로 숙고해야 할 필요가 있다. 물론 데이터를 까다롭게 공유할수록 어느 정도 편리성에 대해 양보해야 한다. 하지만 그 만큼 사기 공격에 덜 노출된다는 것을 기억해야 한다. 특히 우리의 아이들이 평생토록 입을 피해로부터 보호된다는 것도 중요한 지점이다.

기업들은 고객의 데이터 수집과 관리에 보다 철저한 모습을 보여야 한다. 사실 기업들은 활용이라는 측면에서 데이터를 수집하고 연구만 하지, 보안이라는 측면에서는 이해도가 상당히 낮은 모습을 보여준다. 이대로라면 지금 성행하고 있는 디지털 혁신이라는 것이, 어쩌면 커다란 재앙의 시작일지도 모른다.

상업성과 혁신이라는 이름 아래 새로운 데이터들이 만들어지고 공유되고 노출될수록 실제로는 사이버 범죄자들에게 도움이 되고 있다. 왜 이 사실을 모두 외면하고만 있는가. 새롭고 혁신적이라는 방어 기술들이 신기루처럼 모두의 마음을 가짜로 위로할 때, 왜 가만히 있는가. 사이버 범죄자들이 판치기 좋은 세상을 언제까지 애써서 구축할 것인가? 2020년대가 전환점이 되기를 기대한다.

글 : 에밀리 윌슨(Emily Wilson), Terbium Labs
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>