갈수록 커지는 개인정보 DB ‘블랙마켓’의 위협

“2015년부터 2017년 9월까지 디비(DB) 잇서요(있어요). 필요하신 사장님들 연락 바랍니다.”

인터넷 ‘블랙마켓(암시장)’에선 호객행위가 쉴 새 없이 벌어진다. 어떻게 유출됐는지도 모르는 개인정보 데이터베이스(DB)가 적게는 수십만원, 많게는 수백만원에 팔린다. 넘어간 개인정보는 보이스피싱 등 각종 범죄에 악용될 가능성이 높다. 금융당국이 보이스피싱을 사전 차단하는 인공지능(AI)을 개발하는 등 범죄 예방에 총력을 기울이고 있지만, 블랙마켓을 잡지 못하면 사이버 범죄를 막기 어렵다는 지적이 나온다.

블랙마켓은 올해 더 커질 전망이다. 금융보안원은 올해 금융권 보안위협 이슈 7가지를 선정하면서 첫손에 블랙마켓을 꼽았다. 보안업계 관계자는 1일 “10여년간 블랙마켓 피해사례가 꾸준히 늘고 있는 추세”라며 “학교나 유치원 사이트를 해킹하는 새로운 흐름까지 나타나고 있다”고 경고했다.

개인정보가 마구잡이로 유출되면 신종 범죄 위협도 커질 수밖에 없다. 지난해 6월 우리은행에서는 대량의 ‘부정 로그인’ 시도가 있었다. 이미 확보해놓은 개인정보(계정, 비밀번호 등)를 무차별로 대입해 로그인한 후 정보를 추가로 빼내는 ‘크리덴셜 스터핑’ 공격이 의심되는 사건이었다. 다만 우리은행은 금전 피해는 없다고 해명했다.

더욱이 블랙마켓에서 거래되는 품목은 꾸준히 진화 중이다. 판매자들은 개인정보 DB뿐만 아니라 웹사이트 관리자 계정, 각종 공격 도구도 판다. 블랙마켓에서는 “보피(보이스피싱) 사이트 어제 금방 뚫었다. 필요한 사장님 연락 달라” 등의 대화가 수시로 오가는 것으로 전해진다. 사이트 관계자와 계정 거래를 암시하는 내용이다.

별다른 인증을 거치지 않고 시스템에 접속해 서버를 원격 제어할 수 있는 공격 도구 ‘웹쉘’도 블랙마켓에서 팔린다. 시중은행 등 국내 금융회사를 사칭하는 자동응답(ARS) 프로그램도 거래품목 중 하나다.

보안업계에 따르면 한국인의 개인정보 등을 사고파는 블랙마켓은 주로 중국에서 만들어지고 있다. 블랙마켓에서 쓰이는 은어(隱語)의 상당수는 중국어에서 따온 것이다. 예를 들어 블랙마켓에서는 신분증을 ‘SFZ’, 신용카드를 ‘XYK’로 부른다. 이는 신분증(身 證), 신용카드(信用 )의 중국어 한어병음에서 따온 은어다. 결제수단도 주로 알리페이나 위챗페이다.

블랙마켓으로부터 개인정보를 지키려면 어떻게 해야 할까. 전문가들은 여러 온라인 사이트의 아이디와 비밀번호를 통일시키지 말라고 조언한다. 한 계정이 해킹됐을 때 추가로 다른 개인정보까지 유출되는 걸 막기 위해서다. 금융보안원 관계자는 “금융 인증서를 이메일에 넣어놓는다든가 항상 같은 비밀번호를 쓰면 한 곳이 뚫렸을 때 다른 사이트도 뚫릴 수 있다”며 “기업 차원에서는 해킹의 취약점을 미리 파악해 제거하고 꾸준히 모니터링을 해야 한다”고 말했다.

임주언 기자 eon@kmib.co.kr