"계정탈취 데이터 3개월 간 157만건 다크웹에 유통"

포티넷 '사이버위협 보고서' 발간

[파이낸셜뉴스] 포티넷은 '2025년 연휴 시즌 사이버 위협 보고서'를 발간했다고 23일 밝혔다.

포티넷에 따르면 최근 3개월간 전자상거래 플랫폼과 연관된 '스틸러 로그' 데이터 157만 건 이상이 다크웹을 중심으로 유통된 것으로 분석됐다. 스틸러 로그는 악성코드에 감염된 기기에서 사용자 아이디(ID)·비밀번호뿐 아니라 로그인 쿠키, 세션 토큰, 자동완성 정보 등 계정 접근에 필요한 데이터를 탈취한 세트를 의미한다.

보고서에 따르면 이러한 데이터가 계정 탈취, 사기 행위, 자격 증명 스터핑, 세션 하이재킹과 같은 공격을 수행하는 데 직접적으로 활용될 수 있다. 특히 로그인 상태가 유지된 활성 세션 쿠키가 포함된 경우 공격자는 비밀번호나 2단계 인증(2FA) 없이 계정에 접근할 수 있어 기존 로그인 보안을 우회한 계정 악용으로 이어진다. 계정은 사기성 거래에 직접 사용되거나, 다른 범죄자에게 판매되는 등 금전적 이득을 노리는 범죄에 활용될 수 있다. 연말연시 쇼핑 시즌에는 사용자가 전자 상거래 플랫폼 여러 곳에 로그인을 하기 때문에 이러한 공격에 더 많이 노출된다.

또 포티넷은 연말연시 쇼핑 성수기를 맞아 탈취된 계정 접근 권한과 신용카드 정보가 시즌 특가 형태로 거래되는 현상도 함께 나타나고 있다고 밝혔다. 다크웹 상에서는 블랙프라이데이 등 주요 쇼핑 이벤트에 맞춰 계정 접근 권한과 결제 정보가 할인된 가격으로 유통되며, 이러한 재판매 구조가 추가 공격을 촉진하는 요인으로 작용하고 있다는 분석이다.

또 연말연시 쇼핑 트래픽이 집중되는 시기를 노려 전자상거래 플랫폼의 알려진 취약점과 취약한 플러그인이 반복적으로 악용되고 있다. 공격자는 자동화된 공격 기법을 활용해 입력 검증, 인증 우회 등 취약 지점을 공략해 초기 접근 권한을 확보한 뒤 관리자 권한 탈취나 백도어 설치로 침해 범위를 확장하는 것으로 분석됐다.

보고서에 따르면 이러한 공격은 결제 페이지에 악성 스크립트를 삽입해 결제 정보를 탈취하거나, 계정 자격 증명을 악용해 추가적인 사기 행위로 이어질 수 있다. 전자상거래 플랫폼 뿐 아니라 주문·재고·결제를 담당하는 백엔드 시스템까지 영향을 미칠 가능성이 있다.

포티넷은 한 번 침해된 환경이 단발성 공격에 그치지 않고 지속적으로 악용될 수 있다는 점에서, 연말연시 기간 전자상거래 생태계 전반에서 보안에 주의를 기울여야 한다고 경고했다.

포티넷은 소비자는 피싱이나 가짜 쇼핑몰을 통해 계정 정보가 추가로 탈취되는 것을 막기 위해 웹사이트 주소를 꼼꼼히 확인하고, 이메일이나 문자 메시지에 포함된 링크를 무심코 클릭하지 않는 등 기본적인 예방 수칙을 지켜야 한다고 설명했다.

또 로그인 세션 탈취에 따른 피해를 줄이기 위해 다단계 인증(MFA)을 활성화하고 사기 피해 보호 기능이 있는 결제 수단을 이용하는 한편 금융 거래 내역을 수시로 점검하는 것이 중요하다는 설명이다.

기업 역시 계정 악용과 세션 탈취에 대한 대응이 필요하다고 포티넷은 강조했다. 비정상적인 로그인 시도나 자동화된 공격을 탐지할 수 있는 사기 탐지 체계를 강화하고 브랜드를 사칭한 사기성 도메인 등록을 모니터링하는 등 계정 악용으로 이어지는 공격 흐름을 초기에 차단할 수 있는 대응이 요구된다.

kaya@fnnews.com 최혜림 기자