>
연구(Insikt)

수집 #1 데이터 유출 배후 위협 행위자 식별

게시일: 2019년 2월 1일
작성자: Insikt Group

Executive Summary

2019년 1월 17일, 보안 전문가인 트로이 헌트는 1,160,253,228개의 이메일 주소와 해당 비밀번호의 고유 조합으로 구성된 데이터 유출 컬렉션인 '컬렉션 #1'을 공개했습니다 . 총 772,904,991개의 고유 이메일 주소와 21,222,975개의 고유 비밀번호가 발견되었습니다. 그리고 1월 31일, PCWorld는 하소 플랫너 연구소의 연구원들이 컬렉션 #1 데이터 유출에 기인한 6억 1,100만 개의 인증 정보를 추가로 발견했다고 보도했습니다.

레코디드 퓨처는 2019년 1월 19일에 전체 덤프를 분석한 결과, 컬렉션 #1에 포함된 계정 인증정보 중 상당수가 이전에 발생한 다양한 데이터 유출 사고에서 비롯되었으며, 그 중 일부는 2~3년 전의 것으로 새로 유출된 계정은 포함되지 않았음을 확인했습니다.

여러 위협 행위자가 데이터의 출처라고 주장하며 다크 웹을 통해 이러한 데이터베이스를 배포하고 있었으며, 그 중에는 위협 행위자 "Clorox"도 포함되어 있습니다. 그러나 레코디드 퓨처는 컬렉션 #1의 최초 제작자이자 판매자가 "C0rpz"라는 배우라고 어느 정도 자신 있게 평가하고 있습니다. 러시아의 유명한 해킹 포럼의 또 다른 공격자는 1,000억 개의 사용자 계정으로 구성된 대규모 데이터베이스를 공유하는 것이 관찰되었는데, 이 데이터베이스에는 컬렉션 1에서 발견된 것과 동일한 데이터 세트가 있을 수 있습니다.

위협 분석

인식트 그룹은 2019년 1월 17일 Clorox가 파일 공유 서비스 MEGA에서 호스팅되는 별도의 데이터베이스에 7개의 URL을 게시한 포럼 게시물을 발견했습니다. 아래 나열된 7개 데이터베이스에는 이메일 주소와 비밀번호, 사용자 아이디와 비밀번호, 휴대폰 번호와 비밀번호 등 세 가지 사용자 인증 정보가 포함된 총 993.53GB의 데이터가 포함되어 있었습니다.

  • "안티퍼블릭 #1"(102.04GB)
  • "AP MYR & 자부고르 #2"(19.49GB)
  • "컬렉션 #1"(87.18GB)
  • "컬렉션 #2"(528.50GB)
  • "컬렉션 #3"(37.18GB)
  • "컬렉션 #4"(178.58GB)
  • "컬렉션 #5"(40.56GB)

포럼 게시물에서 Clorox는 트로이 헌트의 "7억 7300만 건의 '컬렉션 #1' 데이터 유출" 기사를 링크하며, 트로이 헌트가 보유한 데이터베이스는 불완전하며 다크웹에서 컬렉션 #1로 알려진 원본 덤프의 일부에 불과하다고 주장했습니다. 또한 Clorox는 원본 데이터 덤프가 다른 포럼에서 다른 당사자에 의해 판매되고 있었고, 그 당사자가 MEGA의 다른 URL에 호스팅된 원본 파일을 삭제했다고 밝혔습니다. Clorox에 따르면 트로이 헌트는 개인이 삭제하는 것을 잊은 데이터베이스 중 하나를 다운로드할 수 있었지만, 얼마 지나지 않아 삭제했다고 합니다.

추가 분석 결과, 2019년 1월 7일에 컬렉션 #1의 최초 제작자이자 판매자라고 주장하는 C0rpz라는 닉네임을 사용하는 또 다른 개인이 발견되었습니다. 또한 다른 포럼 회원인 'Sanix'가 컬렉션 #1을 구매한 후 다른 포럼 회원에게 재판매를 시도했다고 C0rpz는 밝혔습니다. Sanix는 브라이언 크렙스가 "773만 개의 비밀번호 '메가브레치'는 수년 전의 일"이라는 글에서 밝힌 개인으로, 저희 분석 결과 원래 C0rpz가 만든 데이터베이스를 판매하려 했던 개인과 동일인임이 확인되었습니다. 이후 Sanix는 포럼에서 금지되었으며, C0rpz는 메가 공유 컬렉션 #1 링크를 커뮤니티에 무료로 게시했습니다.

레코디드 퓨처는 컬렉션 #1의 또 다른 소스를 발견했습니다. 2019년 1월 10일, 러시아어를 사용하는 유명 해커 포럼의 한 활동가가 개인 웹사이트에 호스팅된 1,000억 개의 사용자 계정이 포함된 데이터베이스에 대한 자석 링크와 직접 다운로드 링크를 모두 게시했습니다. 그 다음 주에는 트로이 헌트의 글에 언급된 데이터 덤프가 자신들의 덤프에도 포함되어 있음을 분명히 했습니다.

전망

레코디드 퓨처는 데이터베이스 컬렉션 #1과 그 변종이 다크 웹 커뮤니티에서 계속 공유되고 다양한 위협 행위자의 크리덴셜 스터핑 공격에 사용될 것이라고 높은 확신을 가지고 평가합니다. 그러나 컬렉션 #1에 포함된 계정 인증정보 중 상당수는 이전에 발생한 다양한 데이터 유출 사고에서 나온 것이며, 그중 일부는 2~3년 전에 유출된 것입니다. 이번 유출로 인해 피해를 입은 많은 사람들이 이미 비밀번호 변경을 요구받았을 가능성이 높습니다.

개인은 노출된 이메일 주소나 휴대폰 번호를 노리는 피싱 공격에 대비해야 합니다. 기존 고객은 자세한 내용을 알아보려면 레코딩된 미래 인텔리전스 서비스 컨설턴트에게 문의할 수 있습니다.

관련