대학·병원 개인정보 다크웹서 대거 유통

소규모 웹사이트 해킹 후 판매
이름·주소 등 민감한 내용 많아

해커들이 보안관리가 허술한 소규모 웹사이트에서 유출된 개인정보를 다크웹에서 무더기로 팔고 있는 것으로 확인됐다. 판매 중인 게시물에는 국내 유명 구직포털 사용자정보뿐 아니라 대학, 중소 쇼핑몰, 성형외과까지 다양했다. 이름, 아이디, 비밀번호뿐 아니라 이력서, 결제정보 등 민감정보로 추정되는 데이터도 포함된 것으로 추정된다.

12일 파이낸셜뉴스가 보안업체 안랩과 S2W를 통해 다크웹 '다크포럼스'를 조회한 결과 '애슐리우드2022'라는 닉네임을 가진 해커가 구직포털, 학술단체, 교육 플랫폼, 판매 플랫폼, 성형외과, 대학교 기숙사 등 다양한 기관의 정보를 탈취해 판매하고 있었다. 해커가 올려둔 샘플 데이터에는 011·016·019로 시작하는 옛날 전화번호부터 2024년 데이터까지 혼재돼 있었다. 해커는 지난해 12월부터 개인정보를 탈취한 것으로 분석된다.

다크웹은 검색엔진을 통해서는 접근할 수 없고, 전용 브라우저를 통해서만 접속할 수 있다. 접속주소 또한 소수만 공유해 불법정보를 거래하는 경우가 많다. 통상 다크웹에선 판매자가 일부 데이터 샘플만 공개하고, 수요자가 대가를 지불하면 전체 데이터를 주는 방식으로 거래를 진행한다. 해커가 공개한 한 유명 구직포털 샘플 데이터에는 이력서 등 민감정보를 포함해 아이디, 비밀번호, 전화번호, 성별, 생년월일 등 약 1만1000명의 샘플 데이터가 게재돼 있었다. 학술단체 관련 게시글에도 이름, 이메일, 비밀번호, 연락처 등이 샘플로 제시됐다. 011·016·019 등 과거 번호와 서비스가 중단된 이메일 도메인이 포함돼 최신 데이터는 아닌 것으로 파악됐다.

온라인 교육 플랫폼에서 탈취된 데이터에는 이름과 닉네임, 이메일 주소, 전화번호, 거주지 주소, 학교명, 접속정보(IP) 등 여러 개인정보가 포함돼 있었다. 유출된 회원정보의 가입일시가 2024년 초에 집중돼 있어 최근 데이터인 것으로 추정된다. 또 판매 플랫폼 관련 게시글에는 이름과 생년월일은 jumin, card, bank 등으로 시작되는 샘플 데이터도 있었다. 각각 주민번호, 신용카드 정보, 계좌 정보 등이 담겼을 것으로 보인다.

성형외과와 대학교 기숙사 관련 게시글에서는 이름, 비밀번호, 주소 등이 샘플로 나왔다.

보안업계는 이번 사태를 업데이트가 중단되거나 장기간 방치된 소규모 웹사이트를 노린 공격 양상으로 분석하고 있다. 오래된 데이터라 하더라도 이 정보를 다른 최신 사이트에 대량으로 자동입력해 추가 탈취하는 '크리덴셜 스터핑' 공격 등 2차 피해로 확산될 수 있다는 우려가 나온다.

kaya@fnnews.com 최혜림 기자