도난당한 암호화폐가 다크 웹에서 단돈 105달러에 판매된 사건에 대한 상세 보고서입니다.

저자: 올가 알투코바 편집자: far@Centreless

작성자: Centreless X (트위터) @Tocentreless

일반적인 피싱 공격은 사용자가 사기성 링크를 클릭하고 가짜 웹사이트에 개인 정보를 입력하는 것으로 시작됩니다. 하지만 공격은 거기서 끝나지 않습니다. 기밀 정보가 사이버 범죄자의 손에 들어가면 즉시 상품화되어 다크 웹 시장의 "조립 라인"에 들어가 거래됩니다.

이 글에서는 도난당한 데이터의 흐름을 추적합니다. 텔레그램 봇과 고급 관리자 패널 등 다양한 도구를 통한 데이터 수집부터 판매 및 이후 새로운 공격에 활용되는 과정까지 살펴봅니다. 또한 이전에 유출된 사용자 이름과 비밀번호가 어떻게 대규모 디지털 아카이브에 통합되었는지, 그리고 범죄자들이 어떻게 수년 전의 데이터 유출 정보를 악용하여 표적 공격을 감행할 수 있는지 분석합니다.

피싱 공격으로 탈취된 데이터의 행방을 추적하기 전에, 먼저 해당 데이터가 피싱 페이지를 떠나 사이버 범죄자의 손에 들어가는 과정을 이해해야 합니다.

실제 피싱 페이지를 분석한 결과, 가장 일반적인 데이터 전송 방법은 다음과 같습니다.

• 이메일 주소로 보내주세요
• 텔레그램 봇으로 보내기
• 관리자 패널에 업로드

공격자들이 서버 탐지를 어렵게 하기 위해 합법적인 서비스를 이용하여 데이터를 수집하는 경우가 있다는 점에 유의해야 합니다. 예를 들어, 구글 폼이나 마이크로소프트 폼과 같은 온라인 양식 서비스를 이용할 수 있습니다. 탈취된 데이터는 깃허브, 디스코드 서버 또는 기타 웹사이트에 저장될 수도 있습니다. 하지만 이 분석에서는 위에서 언급한 주요 데이터 수집 방법에 초점을 맞추겠습니다.

이메일

피해자가 피싱 페이지의 HTML 양식에 입력한 데이터는 PHP 스크립트를 통해 공격자의 서버로 전송된 후, 서버에서 공격자가 관리하는 이메일 주소로 전달됩니다. 그러나 이 방법은 전송 지연, 호스팅 제공업체의 발신 서버 차단 가능성, 대량 데이터 처리의 어려움 등 이메일 서비스의 여러 한계로 인해 점차 사용이 줄어들고 있습니다.

 피싱 키트 구성품

예를 들어, 저희는 DHL 사용자를 대상으로 한 피싱 키트를 분석했습니다. index.php 파일에는 사용자 데이터(이 경우 이메일 주소와 비밀번호)를 탈취하는 데 사용되는 피싱 양식이 포함되어 있었습니다.

 DHL 웹사이트를 모방한 피싱 양식

피해자가 입력한 정보는 next.php 파일의 스크립트를 통해 mail.php 파일에 지정된 이메일 주소로 전송됩니다.

 PHP 스크립트의 내용

텔레그램 봇

위에서 설명한 방법들과 달리, 텔레그램 봇을 사용하는 스크립트는 이메일 주소 대신 봇 토큰과 해당 채팅 ID가 포함된 텔레그램 API URL을 지정합니다. 어떤 경우에는 이 링크가 피싱 HTML 양식에 직접 하드코딩되어 있기도 합니다. 공격자는 데이터를 성공적으로 탈취한 후 봇으로 자동 전송되는 상세한 메시지 템플릿을 설계합니다. 아래에 코드 예시가 나와 있습니다.

 데이터 제출용 코드 조각

이메일을 통한 데이터 전송과 비교했을 때, 텔레그램 봇을 이용하는 것은 피싱 공격자에게 더 큰 가능성을 제공하기 때문에 점점 더 인기를 얻고 있습니다. 데이터는 봇으로 실시간으로 전송되며 운영자는 즉시 알림을 받습니다. 공격자들은 추적 및 차단이 더 어려운 일회성 봇을 사용하는 경우가 많습니다. 또한, 봇의 성능은 피싱 페이지 호스팅 서비스의 품질에 영향을 받지 않습니다.

자동 관리 패널

더욱 정교한 사이버 범죄자들은 ​​BulletProofLink 및 Caffeine과 같은 상용 프레임 포함한 특수 소프트웨어를 사용하는데, 이러한 프레임워크는 일반적으로 서비스형 플랫폼(PaaS) 형태로 제공됩니다. 이러한 프레임 피싱 캠페인을 위한 웹 인터페이스(대시보드)를 제공하여 중앙 집중식 관리를 용이하게 합니다.

공격자가 제어하는 ​​피싱 페이지에서 수집된 모든 데이터는 통합 데이터베이스에 집계되며, 공격자의 계정 인터페이스를 통해 확인하고 관리할 수 있습니다.

 관리자 패널로 데이터 전송

이러한 관리 패널은 피해자 데이터를 분석하고 처리하는 데 사용됩니다. 구체적인 기능은 패널 사용자 지정 옵션에 따라 다르지만, 대부분의 대시보드는 일반적으로 다음과 같은 기능을 제공합니다.

• 실시간 통계 및 분류: 시간별 및 국가별 공격 성공 건수를 확인하고 데이터 필터링을 지원합니다.
• 자동 검증: 일부 시스템은 신용카드 정보나 로그인 자격 증명과 같은 도난 데이터의 유효성을 자동으로 검증할 수 있습니다.
• 데이터 내보내기: 다양한 형식으로 데이터를 다운로드하여 나중에 쉽게 사용하거나 판매할 수 있도록 지원합니다.

 관리자 패널의 예시

관리 대시보드는 조직적인 사이버 범죄 집단에게 핵심적인 도구입니다.

하나의 어업 활동에서 위에서 언급한 여러 데이터 수집 방법이 동시에 사용되는 경우가 많다는 점에 주목할 필요가 있습니다.

사이버 범죄자들이 탐내는 데이터 유형

피싱 공격으로 탈취된 데이터는 다양한 가치와 용도를 지닙니다. 범죄자들의 손에 들어간 이 데이터는 수익 창출 수단이자 복잡하고 다단계적인 공격을 실행하는 도구로 활용됩니다.

도난당한 데이터는 사용 목적에 따라 다음과 같이 분류할 수 있습니다.

• 즉각적인 수익 창출: 원시 데이터를 대량으로 직접 판매하거나 피해자의 은행 계좌 또는 전자 지갑에서 즉시 자금을 빼돌릴 수 있습니다.

1. 은행 카드 정보: 카드 번호, 유효 기간, 카드 소지자 이름, CVV/CVC 코드
2. 온라인 뱅킹 및 전자지갑 계정: 사용자 이름, 비밀번호, 그리고 일회용 2단계 인증(2FA) 확인 코드.
3. 은행 카드와 연결된 계정: 온라인 쇼핑몰, 구독 서비스 또는 Apple Pay/Google Pay와 같은 결제 시스템의 로그인 자격 증명 등.

• 추가 수익 창출을 위한 후속 공격에 사용됨: 탈취한 데이터를 활용하여 새로운 공격을 감행하고 더 큰 이익을 얻음.

1. 다양한 온라인 계정 자격 증명: 사용자 이름과 비밀번호. 비밀번호가 없더라도 로그인 이름으로 사용되는 이메일 주소나 전화번호는 공격자에게 유용한 정보가 될 수 있다는 점에 유의해야 합니다.
2. 휴대전화 번호: 전화 사기(예: 2단계 인증 코드 탈취) 또는 인스턴트 메시징 애플리케이션을 통한 피싱 공격에 사용됩니다.
3. 성명, 생년월일, 주소와 같은 개인 식별 정보는 소셜 엔지니어링 공격에 자주 사용됩니다.

• 정밀 공격, 랜섬웨어, 신원 도용 및 딥페이크에 사용됩니다.

1. 생체 데이터: 음성, 얼굴 이미지
2. 여권, 운전면허증, 사회보장카드, 납세자 식별번호 등 개인 신분증명서의 스캔본 및 사본.
3. 신분증을 들고 찍은 셀카: 온라인 대출 신청 및 신원 확인에 사용됩니다.
4. 기업 계정: 기업을 대상으로 하는 공격에 사용됩니다.

2025년 1월부터 9월까지 발생한 피싱 및 사기 공격을 분석하여 범죄자들이 가장 빈번하게 노리는 데이터 유형을 파악했습니다. 분석 결과, 공격의 88.5%는 다양한 온라인 계정 정보를 탈취하는 것을 목표로 했고, 9.5%는 개인 식별 정보(이름, 주소, 생년월일)를, 그리고 단 2%만이 은행 카드 정보를 노린 것으로 나타났습니다.

다크웹 마켓플레이스에서 데이터 판매

실시간 공격이나 즉각적인 수익 창출에 사용되는 경우를 제외하고, 도난당한 데이터의 대부분은 즉시 사용되지 않습니다. 데이터의 흐름 경로를 좀 더 자세히 살펴보겠습니다.

1. 데이터 패키지 판매

일단 수집된 데이터는 "덤프"라는 이름으로 다크 웹 마켓플레이스에서 판매됩니다. 덤프는 일반적으로 다양한 피싱 공격과 데이터 유출로 얻은 수백만 건의 기록이 압축된 파일입니다. 덤프 하나는 50달러 정도의 저렴한 가격에 팔리기도 합니다. 주요 구매자는 활동적인 사기꾼이 아니라, 공급망의 다음 연결 고리 역할을 하는 다크 웹 데이터 분석가들입니다.

2. 분류 및 검증

다크 웹 데이터 분석가들은 데이터 유형(이메일 계정, 전화번호, 은행 카드 정보 등)별로 데이터를 분류하고 자동화된 스크립트를 실행하여 검증합니다. 여기에는 데이터의 유효성과 재사용 가능성을 확인하는 작업이 포함됩니다. 예를 들어, 페이스북 계정 비밀번호를 스팀이나 Gmail에도 사용할 수 있는지 여부를 확인하는 것입니다. 사용자들이 여러 웹사이트에서 동일한 비밀번호를 사용하는 경우가 많기 때문에, 몇 년 전에 한 서비스에서 탈취한 데이터가 오늘날 다른 서비스에서도 여전히 유효할 수 있습니다. 로그인 가능한 검증된 계정은 판매 시 더 높은 가격에 거래됩니다.

분석가들은 또한 여러 공격 사건에서 얻은 사용자 데이터를 상호 연관시키고 통합합니다. 예를 들어, 소셜 미디어에서 유출된 예전 비밀번호, 가짜 정부 포털의 피싱 양식에서 얻은 로그인 자격 증명, 사기 웹사이트에 남겨진 전화번호 등을 모두 종합하여 특정 사용자의 완전한 디지털 프로필을 만들 수 있습니다.

3. 전문 시장에서 판매

도난당한 데이터는 주로 다크 웹 포럼과 텔레그램을 통해 판매됩니다. 특히 텔레그램은 가격이나 구매자 후기 등의 정보를 보여주는 "온라인 상점"으로 자주 사용됩니다.

 텔레그램에 표시된 소셜 미디어 데이터 제공 내역

계정 가격은 계정 생성 시기, 잔액, 연결된 결제 수단(신용카드, 전자지갑), 2단계 인증(2FA) 활성화 여부, 서비스 플랫폼의 평판 등 다양한 요인에 따라 크게 달라집니다. 예를 들어, 이메일 주소와 연결되어 있고 2FA가 활성화되어 있으며 오랜 사용 내역과 대량 주문 기록이 있는 전자상거래 계정은 더 높은 가격에 거래됩니다. 스팀과 같은 게임 계정의 경우, 고가의 게임 구매 내역이 많을수록 가치가 높아지며, 평판이 좋은 은행의 잔액 계좌와 관련된 온라인 뱅킹 데이터는 상당한 프리미엄이 붙습니다.

아래 표는 2025년 기준 다크 웹 포럼에서 발견되는 다양한 계정 가격의 예시를 보여줍니다*.

4. 고가치 목표물 선정 및 표적 공격

범죄자들은 ​​특히 기업 임원, 회계사 또는 IT 시스템 관리자와 같이 중요한 정보를 보유한 고가치 표적을 노립니다.

"웨일링" 공격의 가능한 시나리오를 살펴보겠습니다. A사가 데이터 유출 사고를 겪었는데, 여기에는 이전에 A사에서 근무하다 현재 B사의 임원으로 재직 중인 직원의 정보가 포함되어 있습니다. 공격자는 공개 정보(OSINT)를 활용하여 해당 직원이 현재 B사에 재직 중임을 확인합니다. 그런 다음 B사의 CEO가 보낸 것처럼 위장한 피싱 이메일을 정교하게 제작하여 해당 직원에게 발송합니다. 신뢰도를 높이기 위해 이메일에는 해당 직원의 이전 회사에 대한 정보까지 포함되어 있습니다(물론 공격 방식은 여기서 끝나지 않습니다). 피해자의 경계심을 허물어뜨린 공격자는 B사의 시스템을 더욱 침해할 기회를 얻게 됩니다.

이러한 표적 공격은 기업 부문에만 국한되지 않는다는 점에 주목할 필요가 있습니다. 공격자는 은행 계좌 잔액 많은 개인이나 중요한 개인 문서(예: 소액 대출 신청에 필요한 서류)를 소지한 사용자도 표적으로 삼을 수 있습니다.

핵심 요약

탈취된 데이터의 흐름은 매우 효율적인 조립 라인과 유사하며, 각 정보는 명확한 가격표가 붙은 상품이 됩니다. 오늘날의 피싱 공격은 민감한 정보를 수집하고 분석하기 위해 다양한 시스템을 광범위하게 사용합니다. 일단 탈취된 데이터는 텔레그램 봇이나 공격자의 제어판으로 빠르게 유입되어 분류, 검증 및 수익화됩니다.

데이터가 유출되면 단순히 사라지는 것이 아니라 축적되고 쌓여 몇 달 또는 몇 년 후에 표적 공격, 협박, 신분 도용 등에 이용될 수 있다는 사실을 명심해야 합니다. 오늘날의 사이버 공간에서는 경계를 늦추지 않고, 각 계정마다 고유한 비밀번호를 설정하고, 다단계 인증을 활성화하고, 디지털 발자국을 정기적으로 모니터링하는 것이 더 이상 권장 사항이 아니라 생존에 필수적입니다.

만약 불행히도 피싱 공격의 피해자가 되셨다면, 다음과 같은 조치를 취하시기 바랍니다.

1. 은행 카드 정보가 유출된 경우 즉시 은행에 연락하여 정보 유출 사실을 신고하고 카드를 동결 십시오.
2. 계정 정보가 도용된 경우 해당 계정의 비밀번호를 즉시 변경하고, 동일하거나 유사한 비밀번호를 사용하는 다른 모든 온라인 서비스의 비밀번호도 변경하십시오. 각 계정마다 고유한 비밀번호를 설정해야 합니다.
3. 지원되는 모든 서비스에서 다단계 인증(MFA/2FA)을 활성화하십시오.
4. 계정 로그인 기록을 확인하고 의심스러운 세션을 모두 종료하십시오.
5. 만약 인스턴트 메시징이나 소셜 미디어 계정이 해킹당했다면, 즉시 가족과 친구들에게 알리고 본인 명의로 발송되는 사기성 메시지에 주의하도록 당부하세요.
6. Have I Been Pwned와 같은 전문 서비스를 이용하여 귀하의 데이터가 알려진 데이터 유출 사고에 포함되었는지 확인하십시오.
7. 예상치 못한 이메일, 전화 또는 홍보 메시지에 대해 각별히 주의하십시오. 공격자는 탈취한 데이터를 이용하여 이러한 메시지를 신뢰할 만하게 보이도록 만들 수 있습니다.