성형 기록까지 유출?…韓개인정보 판매 창구라는 다크포럼스 정체는

(서울=뉴스1) 윤주영 기자 = 신원 미상의 해커 조직이 한국의 의료·온라인 쇼핑몰·교육기관 등 21곳 개인정보를 탈취했다고 주장하며 다크웹에 유통하는 것으로 파악됐다. 유출된 데이터에는 성형·지방 흡입 병의원 관련 정보, 대학 기숙사 3년 치 외출 정보 등이 담긴 것으로 전해진다.

해커 닉네임은 '애슐리우드2022'으로 텔레그램 등지에서 활동한다는 걸 제외하면 알려진 바가 없다.

대신 해커가 데이터 샘플을 올린 '다크포럼스'라는 다크웹은 어느 정도 실체가 파악됐다. 지난해 중순 폐쇄된 글로벌 대형 해킹포럼 '브리치포럼스'의 이용자를 흡수하며 급성장한 신생 커뮤니티다.

8일 보안업계에 따르면 과학기술정보통신부 및 한국인터넷진흥원(KISA)은 이같은 동향을 파악 후 데이터 유출 진위 및 침해사고 여부를 조사 중에 있다. 실제 해킹이 이뤄졌는지는 아직 예단하기 어려운 단계다.

정부는 해커 신원을 파악하지 못한 것으로 보인다. 다만 글로벌 위협 인텔리전스 그룹인 '퓨전 인텔리전스 센터'는 문제의 해커가 최소 15개 웹사이트에 걸쳐 활동한 흔적이 확인된다고 짚었다.

유통 창구인 다크웹은 최근 급성장하긴 했지만 비교적 운영이 미숙한 신생 단체로 파악된다. 따라서 당장의 유출 파급력이 우려만큼 크지 않을 수 있다. 실제 탈취 정보가 아닌 유통되는 다른 자료를 재조합·재배포하는 경우가 상당해서다.

글로벌 보안기업 켈라(KELA)에 따르면 이곳은 2022년 'DARK4RMY(다크아미) 포럼스'라는 이름으로 인도 도메인을 통해 개설됐다. 창립자인 '루시퍼'라는 해커 역시 본인이 인도에 거주하고 있다고 소개했다.

이후 다크포럼스로 리브랜딩됐지만, 초기 운영은 다소 미숙했다. 루시퍼는 다양한 유출 데이터베이스(DB), 해킹 도구, 교육 자료를 공유했으나 대부분 다른 위협 행위자의 자료를 재배포한 것에 불과했다. 운영보안 취약 문제로 2023년 커뮤니티 이용자의 정보 대부분이 유출되기도 했다.

창립자인 루시퍼는 거물급 해커가 아닐 거라고 켈라는 분석하고 있다. 2024년 루시퍼는 'Knox'와 'AnonOne'에 운영권을 넘긴 뒤 활동을 중단한 것으로 전해진다.

다만 현재 커뮤니티의 성장세를 무시하기 어렵다고 켈라는 경고하고 있다. 지난해 7월 프랑스 사이버범죄수사대 및 미국 FBI가 브리치포럼스를 궤멸시킨 후, 다크포럼스는 이용자들을 흡수하며 빠르게 몸집을 불리는 중이다. 5000건 안팎에 그치던 월간 포스팅은, 지난해 4월부터 6월까지 6배가량 뛰는 등 급증하고 있다.

켈라 측은 "다크포럼스의 운영진은 브리치포럼스 등 전임자들보다 기술적·조직적으로 정교함이 부족하고, 자체 공격을 수행하는 위협 행위자는 아닌 것으로 보인다. 이들은 콘텐츠를 집계·재유통하는 역할에 가깝다"면서도 "그럼에도 불구하고 사이버 범죄 생태계에서 영향력이 커지고 있어 지속적인 모니터링은 필요하다"고 말했다.

한편 과기정통부는 침해사고가 확인될 경우 KISA에 신고해 기술 지원을 받으라고 잠재 피해 기관들에 안내했다. KISA 역시 기업 최고 정보보안 책임자(CISO) 및 C-TAS 회원사를 대상으로 보안 점검 및 취약점 조치를 강화할 것을 요청했다. 정부는 다크웹, 해킹포럼 등 모니터링을 강화한다는 방침이다.

legomaster@news1.kr