중국 해킹, 10억명 개인정보 유출?…진위와 영향은

한 해커가 중국인 10억명의 정보를 해킹했다고 주장하고 있다. 이 해커는 데이터의 출처를 상하이 경찰이라고 밝히며 취득한 정보를 10비트코인(약 20만 달러)에 넘기겠다는 제안을 하고 있다.

5일 로이터와 블룸버그 등 외신 보도 등의 내용을 종합해보면 '차이나댄’(ChinaDan)이라는 활동명을 쓰는 해커는 지난주 한 온라인 사이버범죄 포럼에 자신의 해킹을 과시했다.

그가 상하이 경찰에서 빼돌렸다고 주장하는 정보의 규모는 24TB(테라바이트)에 달한다. 여기에는 중국인 10억명에 대한 정보와 각종 사건 관계자의 이름, 출생지, 주민번호, 휴대전화 번호 등이 있다고 해커는 주장하고 있다.

이같은 주장이 사실일 경우, 이는 중국 역사상 최악의 정보 유출 사고로 기록될 전망이다.

현재 이 정보는 다크웹에서 거래되는 중이다. 아직은 판매자 측의 일방적인 주장으로, 판매되고 있는 DB의 진위 여부는 아직 다 조사되지 않은 상태다.

이와 관련, 중국 암호화폐 거래소 바이낸스 창업자 겸 최고경영자인 자오창펑은 트위터를 통해, 아시아의 한 나라에서 주민 10억명의 기록이 유출된 것을 탐지했으며 해킹 피해를 입을 수 있는 사용자들을 위해 인증 절차를 강화했다고 밝혔다.

상하이 당국은 입장 표명을 하지 않았으며, 자오리젠 중국 외교부 대변인은 4일 정례 브리핑에서 '아는 바 없다'는 입장을 냈다.

글로벌 보안업체 아크로니스(Acronis)의 공동 설립자이자 기술 총괄 사장인 스타스 프로타소브(Stas Protassov)에게 이번 중국 해킹 사건에 대한 의견을 들어봤다.

◆ 포럼에서 어떤 종류의 데이터가 판매되고 있는가

사이버 범죄자들은 ​​24TB의 개인 정보가 포함된 데이터베이스의 전체 덤프를 제공했으며, 요청 가격은 현재 약 20만 달러인 10비트코인이다.

▲ 온라인 포럼에서 판매 중인 데이터의 스크린샷. 자료=아크로니스

샘플에는 3가지 유형의 데이터가 있다. 이는 개인 정보 파일, 전화 번호와 함께 통화 위치 데이터(또는 소유자 주소), 장소 및 짧은 사건 설명이 포함된 경찰 사건 또는 형사 사건 정보 등이다.

형사 사건 정보로 알려진 대부분은 "기관이 중재할 분쟁이다", "수도계량기를 도난 당해 경찰이 기록을 남겼다", "경찰에 신고한 사람이 차를 몰다가 실수로 차량 왼쪽을 긁었다" 등 경미한 사건이다. 하지만 이러한 기록은 관련된 사람들을 언급하기 때문에 정보가 유출된 사람들 중 일부에게 피해를 줄 수 있다.

◆ 데이터 누출이 공무원이나 개발자가 실수로 CSDN(중국소프트웨어개발연맹)에 게시했기 때문이라는 지적이 있는데

실제로 액세스 자격 증명(크리덴셜)이 포함된 데이터가 중국 최대 IT 기술 커뮤니티인 CSDN의 개발자 블로그 게시물로 있었다. 이것이 공격자의 진입점이었을 수 있다.

조직의 로그 파일에 액세스하지 않고 공격 벡터를 확인할 수는 없지만, 가능성이 매우 높은 시나리오다.

ID 형식에 따라 오픈소스 검색시스템 '엘라스틱서치(ElasticSearch)' 덤프처럼 보인다고 자신 있게 말할 수 있다.

다시 말하지만, 유출된 자격 증명 때문인지 아니면 처음부터 잘못 구성되었는지는 확실하지 않다.

가장 일반적으로 이러한 종류의 누출은 누군가가 실수로 인터넷에서 사용할 수 있는 인증되지 않은 엘라스틱 인스턴스를 남길 때 발생한다.

◆ 소셜 미디어 플랫폼과 같은 서비스를 사용할 때 합법적인 개인 식별 정보를 요구하고 있는데, 이번 유출이 중국에서 영향을 미칠 가능성이 있는가

데이터 자체가 신원 확인을 통한 서비스에 도용되기에는 충분하지 않기 떄문에 피해가 발생할 여지는 거의 없다.

하지만 개인정보 유출로 인한 침해 사고가 발생한다면 이후 전화 번호를 교환하거나 신원을 도용하는 사기 활동으로 이어져, 소셜 미디어 플랫폼에서 사용자가 부정적인 점수를 받을 수 있다.

◆ 중국에 고객 및 사업장을 두고 있는 조직은 데이터 유출로 인한 잠재적인 공격으로부터 어떻게 보호할 수 있는가

이 정보는 스피어 피싱과 같은 향후에 발생할 공격에 사용될 수 있다.

예를 들어 개인 정보를 도용해 범죄를 저지르거나 피해자 이름으로 사기를 저지르는 데 사용될 수 있다.

조직과 개인은 근시일 내에 발생할 수 있는 악성 이메일이나 문자 메시지를 지속적으로 점검해 경계하고, 사기 행위를 모니터링해야 한다.