해킹된 데이터의 거래가격

해킹이 일어나는 이유는 무엇인가. 달리 구하기 어려워서 굳이 해킹을 해야 얻을 수 있는 것이 무엇인가. 이러한 질문은 회사의 규모를 막론하고 늘 나오게 된다. 대부분의 경우 회사가 보유한 제조방법이나 유행전망 등의 정보는 이를 보유한 회사 혹은 그 경쟁사가 아닌 이들에게는 큰 가치가 없다. 하지만 개인식별정보(personally identifiable information), 보건정보(protected health information, PHI), 카드정보 등의 고객정보는 상당한 가치를 가지고 있으며 쉽게 매각할 수 있다. 회사의 규모에 관계없이 고객정보 또는 직원에 대한 정보를 컴퓨터에 저장하고 있다면 해킹표적이 된다. 그렇다면 해커가 이러한 정보에 대한 해킹을 통해 얻을 수 있는 건 무엇인가.

 

신용/직불카드 정보

기본 계좌정보 및 만료일자는 건당 5달러에 거래되는데 몇몇 해킹사레의 경우 이런 정보가 수십만 건 탈취된다는 사실을 생각한다면 이는 결코 우습게 될 액수가 아니다. 지속적으로 거래하는 고객에 대한 우편주소, CVV2 번호, 주민등록번호 등 데이터베이스 보관 정보는 미국에서는 건당 30달러 그리고 유럽에서는 건당 45달러까지 올라갈 수 있다. 반경 10km 정도에 대해서만 영업을 하는 작은 업체라 해도 해킹시도가치가 있을 정도의 정보를 보유하고 있을 공산이 높다.

 

페이팔(PayPal) 계좌

페이팔(또는 유사서비스) 계좌에 대한 정보는 그 계좌의 잔액에 따라 건당 50달러에서 300달러까지 올라갈 수 있다. 페이팔 계좌가 대체로 체크카드계좌 또는 예금계좌와 이어져 있음을 생각한다면 이는 섬뜩한 일이다.

 

기프트카드

기프트카드는 직접 절취된 경우든 위조된 경우든 표시금액의 50~65% 정도에 해당하는 가치를 가진다. 개인의 경우 기프트카드 도난시 그 금액을 되찾을 길이 없기 때문에 특히 위험하다.

 

여권스캔

스마트태그(radio frequency identification, RFID) 보호케이스는 쓸데없는 물건이 아니다. 공항에서 가방에 스캐너만 담고 있다면 보안검색대를 거치는 일 없이 건당 2달러의 정보를 찰취할 수 있으며 이는 개인카드를 보호케이스로 가려야 하는 이유로 충분하다.

 

티켓

기차표나 비행기표 등 티켓의 경우 장당 10달러의 가치를 가지고 있으며 온라인 이미지를 통해 손쉽게 복제될 수 있다. 인스타그램에 티켓을 올리는 일은 자칫 후회할지도 모르는 결과로 이어질 수 있으므로 재고해야 한다.

 

호텔 마일리지프로그램

인기 호텔브랜드의 마일리지프로그램 정보는 건당 5~20달러 정도의 가치를 가진다. 이 정보를 적립포인트를 선물하거나 다른 사람의 예약을 대신 할 수 있으며 사람들이 대체로 평소에 자신의 월별 포인트적립내역에 크게 신경을 쓰지 않는다는 점을 생각한다면 타인이 그 적립포인트를 사용해 버려도 본인이 직접 호텔을 예약하기 전까지 이를 알지 못하는 경우가 생길 수도 있다.

 

이메일계정

탈취된 이메일계정에 대한 거래시장은 붕괴된 상태다. 2007년 기준으로 이메일계정은 건당 30달러에 거래됐다. 현재는 1000건당 많아도 10달러 정도밖에 못 받는다. 사람들이 링크를 클릭하여 맬웨어를 다운받고 이를 통해 그들의 시스템에서 스팸이 발송되도록 유도하는 일이 쉽게 때문에 계정을 직접 탈취할 이점이 크지 않다.

 

게임계정

게임에서 허술한 비밀번호를 사용하여 도난당한 계정은 건당 10~15당 달러에 팔릴 수 있다. 때로는 계정에 있는 아이템들까지 팔려 버려서 사용자의 캐릭터가 거지꼴이 되는 일도 생긴다.

 

인프라서비스(infrastructure as a service, IaaS) 클라우드계정

공격자는 클라우드를 통해 서버구축, 공격실행, 맬웨어호스팅, 온라인보관데이터 접근 등을 할 수 있다. IaaS 서비스에 대한 관리자 계정은 건당 7~8달러에 거래될 수 있다. 그러므로 관리자계정에 대해서는 언제나 다중인증방식을 취해야 한다. 이 분야의 모든 서비스가 이미 MFA를 옵션으로 제공하기도 한다.

 

인기 케이블채널 구독계정

인기 케이블채널 스트리밍서비스 계정은 건당 10달러 정도에 거래된다. 인기 드라마가 있다면 이 가격은 도욱 올라갈 수 있다.

 

스포츠네트워크 스트리밍서비스 계정

온라인으로 스포츠경기를 볼 수 있는 온라인스트리밍서비스 계정은 스포츠 종류에 따라 다르지만 건당 15달러 가량에 거래된다. 몇몇 국가에서는 스포츠스트리밍 서비스가 제공되지 않기 때문에 경기를 볼 목적으로 해킹과 같은 방법을 사람들도 있다 하겠다.

 

그렇다면 해커들은 이들 정보를 어떻게 파는가. 흔히 말하는 다크웹(dark web)에서부터 보다 규모가 크거나 조직적인 범죄집단에 직접 넘기는 방법까지 아주 다양한 방식으로 정보가 거래된다. 러시아, 중국, 브라질이 이러한 거래가 비교적 쉬운 국가로 알려져 있으나 온라인에서 토르(Tor)와 같은 서비스를 사용한다면 익명으로 해킹한 정보를 팔 수 있는 장소는 어렵지 않게 찾을 수 있다. 경우에 따라서는 믿을 수 있는 자에 의한 신원보증이 필요하지만 정해진 수량의 계정을 거래수수료로 "지불"하면 족하기도 하다(이 경우 자신이 경찰 등이 아닌 실제 해킹주체라는 믿음을 줄 수 있다). 이상과 같이 회사가 보유한 데이터는 암거래시장에서 분명한 가치를 지니고 있기 때문에 어떤 회사든 해킹표적이 될 수 있다. 패치작업이 귀찮아지거나 신규 보안소프트웨어 예산을 승인받을 때 이 사실을 기억해야 하겠다.

<참고>유료안티바이러스 http://storefarm.naver.com/softmate 

Casper Manes, How much does your stolen data go for?, 5. 10. 2016.

http://www.gfi.com/blog/how-much-does-your-stolen-data-go-for/

번역: madfox

참고링크 

<유료안티바이러스 제품소개>