제한적인 법률로 인해 중국 사이버 범죄가 새로운 수익 창출 기법으로 진화하고 있습니다.
편집자 주: 각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.
이 보고서는 중국어권 위협 행위자들이 사이버 범죄 활동을 촉진하기 위해 사용하는 인터넷 소스의 구조를 분석합니다. 특히 중국어 다크웹 마켓플레이스와 사이버 범죄 관련 텔레그램 채널의 광고, 게시물, 상호작용에 초점을 맞추고 있습니다. 또한 중국의 데이터 보안 및 사이버 범죄에 대한 중국 법률 및 규정의 영향도 고려합니다. 이 보고서는 2021년 중국의 사이버 범죄 환경과 주변국에서의 중국 사이버 범죄에 대한 이전 보고서의 후속 보고서입니다. 보안 관련 위협을 더 잘 모니터링하기 위해 사이버 범죄 지하 조직을 이해하려는 조직과 지정학적 분석가, 그리고 중국어 지하 조직을 연구하는 사람들이 가장 관심을 가질 만한 책입니다.
Executive Summary
중국이 국가에 더 큰 통제권을 부여하는 사이버 보안법을 계속 통과시키면서 사이버 범죄의 표적이 되는 기업들은 개인 식별 정보(PII) 데이터 보안을 강화해야 하는 역효과가 발생하고 있습니다. 그럼에도 불구하고 (중국인과 해외 법인 모두의) PII 데이터는 여전히 다크웹 마켓플레이스, 특수 액세스 포럼, 텔레그램 채널에서 광범위하게 유출되어 판매되고 있습니다. 또한, 암호화폐 거래를 금지하는 새로운 법률, 은행 규제 강화, 통신(텔레콤) 및 온라인 사기에 대한 단속이 강화되면서 사이버 범죄자들이 중국에서 활동하기는 더욱 어려워지고 있습니다. 그 결과, 사이버 범죄자들은 해외로 활동 무대를 옮기고 PII 데이터를 무기화하여 사기 행위를 저지르는 새로운 방법을 고안해냈습니다.
작년에 새롭게 등장한 중국어 다크웹 마켓플레이스와 사이버 범죄에 특화된 인기 중국어 텔레그램 채널을 분석했습니다. 저희는 영어 및 러시아어 특별 액세스 포럼에서 중국 및 대만 관련 PII 및 액세스 제공을 조사하고 랜섬웨어 위협 행위자에게 초기 액세스 권한을 제공할 수 있는 방법을 분석했습니다. 또한 중국 사이버 범죄 환경의 몇 가지 독특한 사기와 앞서 언급한 다크웹 마켓플레이스 오퍼링으로 추적할 수 있는 방법에 대해서도 살펴봤습니다. 마지막으로 중국과 대만 간의 지정학적 긴장이 향후 양안 간 사이버 분쟁을 어떻게 형성할지에 대한 분석을 제공했습니다.
주요 판단
- 중국의 개인정보 보호법(PIPL)과 데이터 보안법(DSL)의 제정은 중국 정부가 데이터 보안에 대해 진지하게 고민하고 있다는 신호입니다. 암호화폐 거래, 채굴 및 광고 금지, 자금 세탁에 대한 새로운 규제, 통신 및 온라인 사기 방지를 위한 새로운 법률로 인해 사이버 범죄자들이 중국뿐만 아니라 주변 국가에서 활동하기가 점점 더 어려워지고 있습니다.
- 빅데이터를 기반으로 한 디지털 경제를 향한 중국의 노력은 해커들의 공격 표면을 넓히고 데이터를 취약하게 만들었으며, 그 결과 지난 한 해 동안 대량의 PII 데이터가 노출된 여러 건의 유명한 데이터 침해 사고가 발생했습니다. 위협 행위자는 사이버 범죄 소스를 통해 수익을 창출하기 위해 대규모 데이터를 수집하고 분석하여 보다 구체적인 그룹과 개인이 포함된 소규모 데이터 세트로 구성 및 분석했을 가능성이 높습니다.
- 위에서 언급한 문제에도 불구하고 중국어 다크 웹 마켓플레이스는 계속 진화하고 있으며, 오프라인으로 전환된 기존 마켓플레이스를 대체할 새로운 마켓플레이스가 등장하고 있습니다. 텔레그램은 또한 중국 사이버 범죄 현장에서 중요한 역할을 하고 있으며, 텔레그램 채널에서 데이터 세트와 악의적인 활동을 광고하는 위협 행위자들이 다크웹 마켓플레이스를 보완하는 데 사용되기도 합니다.
- 해외에서 유출된 데이터가 중국어 다크웹 마켓플레이스에 더 많이 등장하고 영어와 러시아어로 된 유명 범죄 소스에 중국/대만 데이터와 접속 정보가 더 많이 게시되면서 사이버 범죄자들의 국경이 점점 더 모호해지고 있습니다.
- 중국 사이버 범죄자들은 정교한 스피어피싱 수법을 통해 개인 식별 정보(PII)를 무기화하여 사기를 치는 혁신적인 방법을 고안하면서 초국가적인 작전을 더욱 조직적으로 수행하고 있습니다.
배경
중국 사이버 범죄 환경에 대한 이전 보고서에서는 중국어 다크웹 시장, 클리어넷 해킹 포럼 및 블로그, 메시징 플랫폼에 대해 다루었습니다. 저희는 이러한 출처의 특징과 중국어권 위협 행위자들의 전술, 기법 및 절차(TTP)를 각국의 고유한 문화적, 정치적, 법적 특성의 맥락에서 분석했습니다. 주변국의 중국 사이버 범죄에 대한 보고를 통해 우리는 자금력이 풍부한 중국 사이버 범죄 조직이 해외, 특히 법이 더 느슨한 동남아시아 국가로 활동 무대를 옮기고 있으며, 이를 통해 전 세계적으로 사기(예: CryptoRom 멀웨어를 이용한 온라인 로맨스 사기)를 지속할 수 있다는 추세를 발견했습니다. 중국이 디지털 경제로 나아가고 데이터 보안을 강화하고 통신 사기 및 사이버 범죄를 단속하기 위한 새로운 법률과 규정을 제정함에 따라 사이버 범죄자들에게 점점 더 어려운 환경이 조성되고 있습니다. 그러나 새로운 사회경제적, 기술적 발전은 사이버 범죄자들이 새로운 환경에서 생존하고 번창할 수 있는 기회를 제공하며, 지속적으로 TTP를 업데이트하고 있습니다.
위협 분석
중국 사이버 범죄 환경에 영향을 미치는 법률 및 규정
이 섹션에서는 중국의 사이버 범죄 환경에 직접적인 영향을 미치는 다양한 법률과 규정, 특히 민간 기업의 PII 데이터 수집 및 저장, 암호화폐 사용 및 채굴에 대한 중국 정부의 지속적인 단속, 사기 및 범죄를 조장하는 활동을 방해하기 위한 법률을 작년에 시행한 내용을 요약해 보았습니다.
PIPL 및 DSL의 제정
2021년 8월 20일 전국인민대표대회에서 통과된 중국의 개인정보 보호법(PIPL)이 2021년 11월 1일부터 시행되었습니다. PIPL은 유럽연합의 일반 데이터 보호 규정(GDPR)에 해당하는 중국의 규정으로 간주되며, 중국 내 기업들에게 더 많은 규정 준수 요건을 추가할 것으로 예상됩니다. 중국 정부는 사용자 개인정보 침해로 인한 잘못된 관리와 오용에 대한 대중의 불만이 제기되는 가운데 거대 기술 기업에 사용자 데이터의 안전한 보관을 강화하도록 지시했습니다. 법에 따르면 개인정보 취급은 명확하고 합리적인 목적을 가져야 하며, 취급 목적을 달성하는 데 필요한 "최소한의 범위로 제한되어야 합니다(" 데이터). 또한 개인의 동의를 얻는 등 기업이 개인 데이터를 수집하기 위해 준수해야 하는 조건을 제시하고, 데이터를 국외로 전송할 때 데이터 보호를 보장하기 위한 가이드라인도 마련했습니다. 이 법은 또한 개인정보 취급자에게 개인정보 보호 책임자를 지정할 것을 요구하고, 개인정보 취급자가 법을 준수하는지 확인하기 위해 주기적으로 감사를 실시할 것을 요구했습니다. 2021년 9월 21일에 발효된 데이터 보안법(DSL)이 통과된 후 PIPL이 시행되면서 기업이 데이터의 경제적 가치와 중국 국가 안보와의 관련성을 기준으로 데이터를 분류할 수 있는 프레임워크가 마련되었습니다. PIPL과 DSL은 향후 중국 인터넷을 관리하기 위한 두 가지 주요 규정을 함께 제공합니다.
데이터 보안 위반으로 벌금형 받은 Didi
2022년 7월 21일, 중국 인터넷 규제 당국은 차량 호출 서비스 업체인 Didi의 방대한 데이터 수집 정책과 민감한 사용자 정보에 대한 허술한 보안 보호에 대해 12억 달러의 벌금을 부과했습니다.
중국 사이버공간관리국(CAC)은 이 회사에 대한 네트워크 보안 검토를 마친 결과 '불법 활동'과 중국 네트워크 보안법(DSL 및 PIPL) 위반을 발견했다고 밝혔습니다. 이 벌금은 중국이 부과한 데이터 보호 벌금 중 역대 최대 규모이며, 지난해 반독점 조사에 따라 규제 당국이 알리바바에 27억 5천만 달러의 벌금을 부과한 이후 중국 기술 기업에 부과한 두 번째로 큰 벌금입니다.
CAC는 2021년부터 시작된 디디에 대한 조사에서 약 1,200만 명의 사용자 사진 앨범, 1억 7백만 명의 승객 얼굴 인식 프로필, 상당한 양의 사용자 PPI 데이터를 불법으로 수집하는 등 16건의 위반 사항을 발견했다고 밝혔습니다. 중국 규제 당국에 따르면 Didi는 수백만 건의 민감한 사용자 기록을 암호화하지 않은 채 보관하여 '국가 안보 위험'을 야기했습니다.
또한 이 회사의 앱은 운전자에 대한 '과도한' 정보를 수집하고 있었고, 사용자의 기기에 광범위하게 액세스할 수 있는 기기 권한을 요청하는 경우가 많았습니다. CAC의 대변인은 회사가 수집하는 정보가 필요한 이유에 대해 "부정확하고 불명확한" 설명을 했다고 비판했습니다.
CAC는 향후 몇 년 동안 사이버 보안 및 데이터 보호법 집행을 "강화"할 계획이라고 밝혔습니다.
암호화폐 채굴, 거래, 광고 금지 및 디지털 위안화 도입
중국은 2013년부터 암호화폐 업계와 적대적인 관계를 유지해왔지만, 가장 최근인 2021년에 가장 심각한 단속을 실시했습니다. 국무원은 기후에 미치는 영향에 대한 우려를 이유로 2021년 5월부터 암호화폐 채굴 및 거래에 대한 제한을 요구하기 시작했습니다. 이 성명 이후 내몽고와 같은 지방 정부는 암호화폐 채굴을 근절하기 위한 적극적인 조치를 취하기 시작했습니다. 그 결과 해당 지역의 채굴자들은 영구적으로 채굴을 중단하거나 다른 암호화폐 친화적인 국가로 이주해야 했습니다. 2021년 8월, CAC는 소셜 미디어 플랫폼에 "금융 혁신이라는 명목으로" 암호화폐를 홍보하는 12,000개의 계정을 해지하도록 명령했습니다. 삭제된 계정은 웨이보, 바이두, 위챗 등 여러 플랫폼에 걸쳐 있었습니다. 또한 암호화폐 매매 튜토리얼을 운영하는 105개의 웹사이트도 폐쇄했습니다. 2021년 9월, 중국 당국은 암호화폐 채굴에 대한 새로운 단속을 명령하고 사실상 모든 암호화폐 거래 활동을 불법화했습니다.
2022년 초, 중국 중앙은행은 디지털 위안화(디지털 화폐 전자 결제(DCEP), 전자 위안화(e-Renminbi), e-CNY라고도 함)를 발행하여 2021년 하반기 동안 중국의 여러 도시에서 시범적으로 사용하고 2022년 2월 베이징 동계 올림픽에서 전 세계에 데뷔할 계획입니다. 중앙은행 디지털 화폐(CBDC)는 블록체인 기술에 의존하여 거래를 수행하지만 규제 당국에 의해 중앙에서 통제되고 법정통화 보유고로 뒷받침되는 화폐입니다. 또한, 프라이버시와 익명성이 보장되는 암호화폐와 달리 디지털 위안화는 정부가 데이터에 직접 액세스할 수 있기 때문에 거래에 대한 전례 없는 가시성을 확보할 수 있습니다. 또한 정부가 지급을 발행하거나 중단할 수 있도록 프로그래밍할 수도 있습니다. 이미 10개국에서 CBDC를 출시했으며 더 많은 국가가 이를 고려하고 있습니다.
모든 중국어 다크웹 마켓은 비트코인, 테더, 이더리움 등의 암호화폐를 기반으로 운영됩니다. 다크웹 마켓플레이스 섹션의 뒷부분에서 자세히 설명하겠지만, 이러한 마켓플레이스가 오프라인으로 전환되는 동안 그 자리를 대신할 새로운 마켓플레이스가 등장했습니다. 중국 정부의 단속과 디지털 위안화 발행으로 인해 암호화폐 거래는 더욱 지하로 밀려나고 다크웹 마켓플레이스에서 점점 더 많이 이루어질 것입니다.
자금 세탁 방지를 위한 규정
중국 중앙은행에서 자금 세탁 방지를 위한 새로운 규정을 발표했으며, 2022년 3월 1일부터 시행될 예정이었습니다. 그러나 "기술적 이유"로 인해 연기되었습니다.
새로운 규정에 따르면 한 번의 현금 입출금 금액이 5만 위안(미화 6,904달러) 또는 외화 1만 달러를 초과하는 경우 자금의 출처와 사용처를 신고해야 합니다. 중국인민은행(PBoC), 중국은행보험감독관리위원회, 중국증권감독관리위원회가 지난달 발표한 공동 명령에 따라 관련 거래를 취급하는 은행 및 기타 인가 금융기관도 고객 정보를 검증하고 저장해야 합니다.
이 규제를 비판하는 사람들은 금융 기관이 재량에 따라 입출금을 제한할 수 있는 권한을 부여함으로써 개인의 재산권을 효과적으로 침해하고, 자본의 흐름을 막고 중국의 경제 회복을 저해할 수 있다고 주장합니다. 암호화폐 거래 금지와 함께 이 새로운 규정으로 인해 중국 내 사이버 범죄자들이 수익을 현금화하기가 더 어려워졌습니다.
통신 및 온라인 사기에 대한 법 집행
2022년 9월 2일, 제13기 전국인민대표대회(전인대) 제36차 상임위원회 회의에서 《중화인민공화국 통신 및 온라인 사기 방지에 관한 법률》(중화인민공화국 전기통신망사기방지법)이 통과되었습니다, 2022년 12월에 시행될 예정입니다.
이 법은 지난 10년 동안 중국에서 통신 및 온라인 사기가 더욱 기승을 부리면서 통과되었습니다. 사우스차이나모닝포스트는 최근 몇 년 동안 범죄자들이 첨단 통신 네트워크 기술을 통해 불법적으로 피해자의 정보를 입수하고 관리의 허점을 이용했으며, 이러한 활동이 만연해 공공 보안과 사회 안정에 심각한 위협이 되고 있다고 보도했습니다. 범죄 조직은 명확한 분업 체계를 갖추고 더욱 조직화되었으며, 중국 내 사람들을 대상으로 사기를 치기 위해 여러 국가에 걸쳐 활동할 수 있는 것으로 알려졌습니다.
이 법은 통신 사업자, 은행 및 금융 기관, 비은행 결제 기관, 인터넷 서비스 제공업체에 사기 방지 보안에 대한 주요 책임을 부여하고 있습니다. 이러한 조직은 내부 위험 예방, 제어 및 보안 시스템을 구축해야 합니다. 이 법은 중국 영토 안팎에 모두 적용되며, 통신 네트워크 사기 행위를 하는 해외 조직이나 개인은 이 법의 관련 조항에 따라 책임을 져야 합니다.
이 법은 중국 외교부와 공안부가 이러한 범죄를 단속하기 위해 국제 법 집행 기관과 더욱 긴밀히 협력해야 한다고 규정하고 있습니다. 이 법에 따라 경찰은 핫스팟 국가 및 지역, 특히 동남아시아 국가를 자주 방문하는 용의자에게 해당 지역 여행에 대한 타당한 이유를 제시하지 못하는 한 여행 제한을 부과할 수 있습니다. 또한 전과자는 형기를 마친 후 최장 3년 동안 여행 금지 조치를 받을 수 있습니다.
빅 데이터와 주요 데이터 유출을 향한 추진력
Gartner의 정의에 따르면 빅데이터는 "향상된 인사이트, 의사 결정 및 프로세스 자동화를 가능하게 하는 비용 효율적이고 혁신적인 형태의 정보 처리를 요구하는 대용량, 고속 및/또는 다품종 정보 자산"입니다.
브루킹스 연구소에 따르면 중국 정부의 많은 기관이 감시 목적으로 방대한 양의 데이터를 수집하고 있으며, 당국은 이를 '가시화(可視化)'와 '경찰 정보화(警务信息化)'라고 부르고 있습니다. 중국의 데이터 융합 프로그램을 통해 중국의 감시 시스템은 자국민에 대한 매우 상세한 정보를 수집할 수 있습니다. 중국 정부는 데이터 융합 도구를 사용하여 '정부에 청원하는 개인, 테러에 연루된 것으로 추정되는 개인, 중국 정부가 '사회 안정을 저해하는 것으로 간주하는 개인'을 포함하여 '중점 관리 대상자'로 분류된 개인의 정보를 모니터링, 수집 및 저장합니다. 브루킹스는 이러한 데이터 융합 도구가 신장에서 예측 치안 시스템을 구축하는 데도 도움이 되었으며, 테러리스트의 '종교적, 조직적, 행동적 특성'을 '정확하게 묘사'하는 데도 도움이 되었다고 말합니다.
개인의 민감한 정보를 과도하게 모니터링, 수집, 저장하는 행위는 중국 법률에 따라 불법이 아닙니다. 중화인민공화국 개인정보 보호법 제28조 및 33조에 따라 중국 경찰과 같은 국가 기관이 민감한 정보를 취급할 수 있으며, 중국 정부가 합법적으로 수집하거나 저장할 수 있는 데이터 유형의 범위와 한계는 국가 기관이 결정할 수 있습니다. 관련된 정보 유형에는 생체 인식, 종교적 신념, 개인 식별 정보(PII), 의료, 금융 계좌, 개인 소재지 및 기타 정보, 14세 미만 미성년자의 개인 정보가 포함됩니다.
빅데이터 산업의 발전은 중국 산업 경제가 디지털 경제로 전환함에 따라 제14차 5개년 계획(2021~2025년) 기간의 핵심 과제로도 꼽혔습니다. 빅데이터 산업은 13차 5개년 계획 기간(2016~2020년) 동안 연평균 30% 이상의 성장률을 기록했습니다. 빅데이터 산업이 통합 혁신, 빠른 개발, 심층 애플리케이션, 구조적 최적화의 새로운 단계로 진입할 수 있도록 새로운 요구사항이 제안되었습니다. 코로나19 팬데믹 기간 동안 빅데이터를 향한 움직임은 더욱 가속화되었습니다. 그러나 지난 한 해 동안 보고된 몇몇 유명 데이터 유출 사건에서 알 수 있듯이 보안은 데이터 수집의 빠른 증가 속도를 따라잡지 못하고 있습니다. 위협 행위자들은 매우 민감한 정보가 포함된 대량의 데이터를 확보한 다음, 이러한 데이터 세트를 분석하고 작은 데이터 세트로 재포장하여 중국어 및 비중국어 사이버 범죄 소스에서 재판매하고 있습니다.
베이징 및 상하이 건강 코드 앱의 데이터 유출 사례
코로나19 팬데믹이 시작된 이후 중국은 자국민이 스마트폰에서 전자여권 역할을 하는 앱을 사용하여 공공장소 출입 허용 또는 격리 여부를 결정하도록 요구하고 있습니다. 이 앱은 전자상거래 대기업 알리바바의 자매 회사인 앤트 파이낸셜의 도움을 받아 항저우 지방 정부에서 처음 출시했습니다. 녹색 코드는 소지자가 제한 없이 이동할 수 있음을, 노란색 코드는 7일 동안 집에 머물러야 함을, 빨간색 코드는 2주간 자가격리를 의미하며, 이 앱은 3가지 색상 중 하나의 QR 코드를 생성합니다. 뉴욕타임즈가 이 앱의 소프트웨어 코드를 분석한 결과, 이 앱은 감염 위험 여부를 실시간으로 판단하는 것 외에도 사용자의 정보를 경찰과 공유하여 개인정보 보호에 대한 우려를 불러일으켰습니다. 휴먼라이츠워치의 중국 연구원 마야 왕은 "중국은 2008년 베이징 올림픽과 2010년 상하이 세계 엑스포 등 주요 행사를 이용해 원래의 목적보다 오래 지속되는 새로운 모니터링 도구를 도입한 전례가 있다"고 지적합니다. 마야 왕은 또한 "이번 코로나19 사태는 중국 내 대규모 감시 확산의 역사에서 획기적인 사건 중 하나로 기록될 것"이라고 덧붙였습니다.
개인정보 보호 문제 외에도, 건강 코드 앱과 관련된 데이터베이스의 보안 취약성으로 인해 아래에 설명된 두 건의 데이터 유출 사고가 발생했습니다.
2022년 4월 28일, 베이징 시 정부 관계자 웨이빈은 코로나19 팬데믹 기간 동안 건강 코드를 확인하고 핵산 검사 결과를 제공하는 데 사용된 모바일 기반 앱인 베이징 젠캉바오(北京健康宝)가 해외 해커의 공격을 받았다고 공개했습니다. "베이징 젠캉바오는 방문객이 가장 많은 기간인 목요일 오전에 공격을 받았습니다. 기술자 팀은 문제를 신속하게 해결했습니다", 위는 기자 회견에서 다음과 같이 덧붙였습니다. "나중에 공격의 출처가 해외에서 발생했다는 사실을 알게 되었습니다". 위는 2022년 베이징 동계 올림픽 기간에도 이 앱이 해외 해커의 공격을 받았다고 주장했습니다. 현재까지 다크웹 마켓플레이스나 포럼에서 앱의 데이터가 제공되는 사례는 발견되지 않았습니다.
2022년 8월 10일, 중급 침해 포럼의 일원인 'XJP'는 올해 초 유출된 베이징 건강 코드에 해당하는 상하이의 随身码(수이셴마)의 고유 사용자 4850만 명의 데이터를 판매하고 있었습니다. 수이센마 건강 코드는 2020년 초 상하이시 정부 산하 기관인 상하이 빅데이터 센터에서 지역 당국의 코로나19 발병 관리를 돕기 위해 개발했습니다. 대중교통을 이용하거나 공공장소에 들어가기 전에 그린 코드를 제시해야 하는 상하이 시민들의 일상 생활에 필수적인 디지털 도구가 되었습니다. 위협 행위자인 XJP는 이 데이터베이스에 슈셴마 앱이 도입된 이후 상하이에 거주하거나 방문한 모든 사람이 포함되어 있다고 주장하며 데이터 샘플 스크린샷을 공유했습니다. 데이터베이스의 가격은 4,850달러였는데, 나중에 4,000달러로 인하되었습니다. XJP는 매트릭스(breach.co:XJP)를 주요 연락 수단으로 사용합니다. 해당 게시물은 확인된 것으로 표시되었고, XJP는 BreachForums의 관리자인 pompompurin이 위협 행위자를 대신하여 이 데이터베이스의 거래를 수행할 수 있도록 승인했습니다. 게시물에 대한 많은 댓글이 데이터베이스에 관심을 보였지만, 대부분은 할인된 가격에도 불구하고 너무 비싸다고 생각했습니다. 이 게시물에서 건강 코드 앱을 표시할 때 정확한 随身码 대신 随伸码라는 한자를 사용했다는 점이 흥미로운데, 이는 XJP가 중국어 원어민이 아닐 수 있음을 시사합니다. 2022년 9월 9일에는 2020년 7월부터 2022년 7월까지 중국 국경을 넘은 사람들의 정보가 포함된 것으로 알려진 중국 출입국관리국의 데이터를 판매하겠다고 제안하기도 했습니다. 위협 행위자는 데이터베이스에 2억 4천만 개 이상의 기록이 포함되어 있지만 불완전할 수 있으며 외교적 방문에 대한 데이터가 포함되어 있지 않을 수 있다고 밝혔습니다. 데이터베이스의 가격은 10만 달러였습니다. 이 위협 행위자는 2022년 7월 계정을 등록한 이후 5개의 스레드와 20개의 게시물을 작성했으며, 이 보고서 작성 시점의 평판 점수는 92점으로 보통 수준입니다.
그림 1: 중국 베이징에서 4,850만 명의 주민에게 QR 의료 코드를 판매하고 있는 XJP(출처: BreachForums)
상하이 경찰 데이터베이스 유출
2022년 7월 3일, 상하이 경찰이 중국 시민의 개인정보 23TB를 유출했다는 뉴스 보도가 나왔는데, 이는 사용자 'ChinaDan'이 BreachForums에 게시한 것입니다. 라디오 자유 아시아에 따르면, 유출된 데이터베이스는 알리바바 클라우드에서 호스팅되었을 가능성이 높다고 합니다. 로이터 통신의 보도에 따르면, 바이낸스의 CEO인 자오 창펑은 2022년 7월 4일, 자사의 위협 인텔리전스가 "다크웹에서 10억 명의 아시아 국가 거주자"의 기록이 판매되는 것을 감지한 후 암호화폐 거래소가 사용자 확인 절차를 강화했다고 밝혔으며, 이는 대부분 차이나단의 브릿포럼 게시물을 참조한 것으로 보입니다.
레코디드 퓨처는 차이나단이 공유한 샘플 데이터를 입수했으며, 해당 데이터에는 1995년부터 최근인 2019년까지의 성명, 집 주소, 출생지, 주민등록번호, 휴대폰 번호, 범죄/사건 정보가 포함되어 있는 것을 확인할 수 있었습니다. 데이터 샘플에 대한 예비 평가에 따르면 데이터는 진본으로 보입니다. 그러나 데이터 패키지의 알려진 크기를 고려할 때 전체 패키지가 광고된 것과 동일한지 여부를 확인하는 것은 불가능합니다.
그림 2: 브릿포럼에서 상하이 경찰 데이터베이스를 판매하는 차이나단, 브릿포럼의 소유자 폼폼푸린은 해당 데이터베이스가 합법적인 것으로 확인했습니다(출처: 브릿포럼).
수백만 명의 얼굴을 저장하는 중국 데이터베이스, 온라인에 차량 번호판이 노출된 채 방치됨
2022년 8월 30일, 테크크런치는 수백만 명의 얼굴과 차량 번호판을 저장한 중국 데이터베이스가 수개월 동안 인터넷에 노출된 채로 있다가 2022년 8월에 조용히 사라졌다고 보도했습니다. 전성기에는 8억 개가 넘는 기록을 보유하고 있었던 것으로 알려진 이 데이터베이스는 항저우에 위치한 시나이 일렉트로닉스라는 기술 회사의 소유였습니다. 이 회사는 직장, 학교, 건설 현장, 주차장 등에서 사람과 차량의 출입을 통제하는 시스템을 구축합니다. 시나이 일렉트로닉스는 중국 전역의 카메라 네트워크를 통해 수백만 개의 얼굴 지문과 번호판을 수집했으며, 그 데이터가 서버에 "안전하게 저장되어 있다"고 주장했습니다.
중국 알리바바가 호스팅하는 서버에서 노출된 데이터는 보안 연구원 아누라그 센이 발견했으며, 그는 테크크런치에 도움을 요청하여 보안 허점을 시나이에게 보고했습니다. 센은 데이터베이스나 호스팅된 이미지 파일 모두 비밀번호로 보호되지 않아 웹 브라우저에서 위치를 아는 사람이라면 누구나 액세스할 수 있다고 보고했습니다. 테크크런치에서 노출된 데이터베이스에 대해 알려주는 이메일을 여러 차례 보냈지만 답장이 없자 2022년 8월 중순에 데이터베이스에 액세스할 수 없게 되었습니다.
사이버 범죄 시장에서 이 데이터베이스를 직접 언급하는 게시물은 확인되지 않았지만, 중국어로 된 다크웹 마켓플레이스에서 자동차 소유자 정보에 대한 광고를 종종 발견할 수 있습니다. 예를 들어, 중국의 제너럴 모터스 자동차 소유자에 대한 자세한 정보가 담긴 이 게시물을 발견했습니다. 중국 위협 공격자들이 더 쉽게 수익을 창출하기 위해 특정 속성을 기반으로 유출된 대규모 데이터베이스를 작은 크기로 파싱하는 것이 일반적인 관행이기 때문에 여기에 제공된 데이터가 위에서 언급한 노출된 데이터베이스에서 나온 것인지 확인할 수 없습니다.
펠로시 하원의장 방문을 둘러싼 디도스 공격과 핵티비즘
2022년 8월 3일, 낸시 펠로시 미국(미국) 하원의장이 대만을 방문하여 차이잉원 대만(중화민국) 총통과 만났습니다. 펠로시는 미국이 "대만에 대한 우리의 약속을 포기하지 않을 것"이라고 선언했고, 차이 총통은 대만이 위협에 직면해도 "절대 물러서지 않을 것이라고 말했습니다(" ). 중국은 2022년 8월 2일 하루 종일 그리고 8월 3일까지 펠로시 의장의 방문에 대한 강력한 경고를 이어가며 대만을 처벌하고 미국의 대만에 대한 추가 지원을 저지하기 위한 정치적, 군사적, 경제적 조치를 취했습니다. 2022년 8월 4일, 대만 국방부는 펠로시 의장의 대만 방문 이후 약 2시간 동안 분산 서비스 거부(DDoS) 공격으로 네트워크가 오프라인 상태가 되었다고 밝혔으며, 공격은 펠로시 의장이 대만을 떠난 직후에 시작되었다고 보도했습니다. 더 레코드 기사에 따르면 "중국 정부 관리들은 25년 만에 처음으로 이루어진 미국 고위 관리의 방문에 대해 중국의 '하나의 중국' 정책을 위반했다고 주장하며 분노했다"고 합니다. 대만 국방부는 성명을 통해 디도스 공격이 23시 40분경에 시작되어 00시 30분경(타이베이 시간)에 종료되었다고 밝혔습니다. 국방부는 정부의 정보 보안 인프라를 방어하기 위해 다른 기관 및 대통령실과 협력하고 있다고 밝혔습니다. 이 공격은 펠로시 의장의 방문을 앞두고 외교부, 타오위안 국제공항 등 대만 정부가 운영하는 여러 웹사이트가 중단된 후 발생했습니다.
이 공격은 웹사이트에 잠시 접속할 수 없을 정도로 규모가 컸지만, 특별히 규모가 크지는 않았습니다. ISC Sans와 다른 사이버 보안 기관들은 이번 디도스 공격이 중국의 공식적인 민간 또는 군 사이버 부대가 아닌 중국의 민족주의적 핵티비스트들의 소행일 가능성이 높다고 주장했습니다.
맨디언트의 존 헐트퀴스트는 정부가 후원하는 대규모 사이버 공격에 대한 증거는 없지만, "중국 정부가 '미국이 무엇을 생각하고 있는지, 우리의 결의의 한계가 무엇인지'를 알아내려고 노력하면서 중국의 사이버 스파이 활동이 '오버 드라이브'를 시작할 것"이라고 예상하며 "'이에 대한 답을 찾는 방법은 외교관과 군인, 정부 지도자들의 이메일을 읽는 것'이라고 말했다"고 전했습니다.
중국어 언더그라운드에서 대만에 대한 DDoS 공격에 대한 직접적인 언급은 발견되지 않았습니다. 하지만 디도스 도구, 튜토리얼, 서비스는 종종 중국어로 된 사이버 범죄 마켓플레이스에서 광고되고 있습니다. 관심 있는 사람이라면 누구나 쉽게 소규모 공격을 수행할 수 있는 도구와 지식을 습득할 수 있습니다.
다크 웹 시장의 변화
2021년 중국 사이버 범죄 환경에 대한 마지막 보고서 이후, 다크웹 마켓플레이스의 구성에 눈에 띄는 변화가 있었습니다. 룰란 시티 마켓, 차마고도 마켓, 알리 마켓플레이스, 다크웹 거래소 등 여러 마켓플레이스가 오프라인으로 전환되었습니다. 하지만, 이러한 마켓플레이스의 일부 텔레그램 채널은 계속 운영되고 있습니다. 이러한 다크 웹 마켓플레이스가 오프라인 상태가 되는 데에는 법 집행 조치, 출구 사기, 위협 행위자 간의 내부 의견 불일치 등 여러 가지 이유가 있을 수 있으며, 이에 국한되지 않습니다.
이 보고서를 작성할 당시에도 여전히 운영 중인 마켓플레이스에는 거래소 마켓, 프리시티 마켓, 알리바바 마켓, 중국 연합 에스크로 마켓(UCEM)이 있습니다. 한편, 이 보고서를 작성하는 시점에 3개의 새로운 다크웹 마켓플레이스가 등장하여 운영 중입니다: 다크웹 중국 마켓, 텐구 마켓, 장안 잠 못 이루는 밤입니다. 다음은 이 세 가지 새로운 마켓플레이스에 대한 설명입니다.
다크 웹 중국 시장
다크웹 중국 마켓에 가장 먼저 게시된 게시물은 2021년 9월에 올라온 것입니다. 마켓플레이스 등록은 무료이며 리스팅은 다음과 같은 카테고리로 나뉩니다:
- 유료 광고(이 보고서 작성 시점에 이 섹션에 해당되는 목록이 없음)
- 데이터: PII, 카드 자료 등을 포함한 다양한 도난 데이터
- 튜토리얼 해킹 기법, 소셜 엔지니어링, 사기 수법 등
- 실제 아이템: 대부분 은행 계좌 액세스를 위한 4개의 아이디 세트(중국 내 은행 계좌 액세스를 위한 표준)
- 동영상: 대부분 성인용 콘텐츠
- 가상 아이템: 카드 제작 튜토리얼, 위조 문서용 템플릿 등
- 소프트웨어 웹사이트: 다양한 합법 및 불법 소프트웨어, SMS 수신 서비스 등
이 보고서 작성 당시에는 700개의 매물이 있었고, 비트코인(BTC)뿐만 아니라 미국 달러로도 게시물이 등록되었습니다. 판매 게시물에는 판매된 품목 수, 품목의 등급, 품목이 게시된 시간 등의 정보가 포함됩니다. 판매자의 정보는 개인정보 보호를 위해 완전히 익명으로 처리됩니다(판매자의 핸들은 제공되지 않음).
거래 에스크로 기간은 5일이며, 5일이 지나면 모든 거래가 자동으로 확정됩니다. 연장이 필요한 경우 사용자는 주문 양식에 '시스템에서 자동 결제 중지'를 지정해야 합니다. 판매자로부터 배송이 하루 이상 지연되는 경우 구매자는 환불을 요청하고 그 사유를 메모할 수 있습니다. 거래에 분쟁이 있는 경우 각 당사자는 3일 이내에 요청을 해결해야 합니다. 3일 이내에 답변하지 않는 당사자는 자동으로 중재를 잃게 됩니다. 웹사이트의 익명성으로 인해 이용 가능한 정보로는 관리자를 식별할 수 없습니다.
그림 3: 다크웹 중국 마켓의 랜딩 페이지(출처: 다크웹 중국 마켓)
텐구 마켓
텐구 마켓에 가장 먼저 판매자를 등록한 날짜는 2022년 3월부터입니다. 마켓플레이스 등록은 무료이며 리스팅은 다음과 같은 카테고리로 나뉩니다(원문 그대로):
- BTC 관련: 코인 믹싱 서비스, 비밀번호 분실 없는 암호화폐 지갑, 지갑용 비밀번호 크래커 등
- 데이터베이스: 비밀번호가 포함된 이메일 주소, 미국 운전면허증, 블랙햇 검색 엔진 최적화(SEO) 튜토리얼 등
- 물리적 물품: 휴대폰 카드, 위조 시계 등
- 엔터테인먼트: 다양한 유형의 게임 및 소프트웨어
- 온라인-SMS: Google 음성 번호 및 기타 SMS 수신 서비스
- 괴짜 기술: 원격 액세스 트로이목마(RAT), 해킹 도구 및 튜토리얼 등
- 미스터리: 카드 제작 자료 및 기타 튜토리얼
- 기프트 카드: PayPal 계정 번호 및 비밀번호
이 보고서 작성 시점에 약 60개의 게시물이 있었고, 비트코인만 허용되는 통화임에도 불구하고 미국 달러로 표시된 게시물이 있었습니다. 판매 게시물에는 판매된 품목 수와 남은 품목 수, 품목의 등급, 판매자의 핸들 및 등급 등의 정보가 포함되어 있습니다. 각 판매자의 페이지에는 품질, 커뮤니케이션, 배송 카테고리의 평점이 있습니다. 이 웹사이트는 각 거래에 대해 7%의 처리 수수료를 부과합니다. 목록에 있는 품목을 주문한 후 5시간이 지나도 결제가 이루어지지 않으면 거래가 자동으로 취소됩니다. 이 웹사이트에서는 분쟁이 있는 거래에 대한 중재도 제공합니다. 또한 이 웹사이트에는 관련 채팅방과 텔레그램 채널이 있는 것으로 보입니다. 웹사이트 관리자는 없는 것으로 보이지만 채팅방에는 '관리자'를 뜻하는 중국어인 '管理员'라는 아이디를 가진 회원님이 있습니다.
그림 4: 텐구 마켓의 랜딩 페이지(출처: 텐구 마켓)
장안의 잠 못 이루는 밤
장안의 잠 못 이루는 밤에 대한 가장 오래된 게시물은 2021년 12월에 작성되었습니다. 마켓플레이스 등록은 무료이며 리스팅은 다음과 같은 카테고리로 나뉩니다:
- 유료 광고: 쇼핑 및 도박 데이터 구매 권유가 포함된 일부 목록
- 데이터: 개인 식별 정보(PII), 보호 대상 건강 정보(PHI), 대출 및 소매 데이터 등을 포함한 다양한 도난 데이터
- 동영상: 성인용 콘텐츠
- 기술 능력: 해킹 기술, 사회 공학, 사기 수법 등
- 카딩 및 CVV: 카딩 자료 및 튜토리얼
- 실물 아이템: 은행 계좌 액세스용 신분증 4개 세트(중국 내 액세스 표준), 의약품 등
- 서비스 해킹, 자금 세탁 및 기타 불법 서비스
- 비공개 거래: 등록된 사용자 간의 비공개 거래
- 가상 아이템: 유출된 데이터베이스, 계정 자격 증명, 위조 문서용 템플릿 등
- 기타 기타 튜토리얼 및 사기
이 보고서를 작성할 당시에는 1,600개 이상의 상품이 판매되고 있었으며, 미국 달러와 비트코인으로 게시물이 등록되었습니다. 일부 항목은 테더(USDT)와 이더리움(ETH)으로도 상장되어 있습니다. 판매 게시물에는 판매된 품목 수, 조회 수, 판매자의 핸들, 판매자가 마지막으로 온라인에 접속한 시간 등의 정보가 포함됩니다. 마켓플레이스는 에스크로 서비스를 제공하며, 웹사이트 외부에서의 거래는 권장하지 않습니다. 결제 후 3일이 지나도 구매한 상품이 발송되지 않거나 거래 후 분쟁이 발생한 경우 3일이 지나도 판매자가 응답하지 않으면 구매자가 관리자에게 알림과 동시에 거래를 중지할 수 있습니다. 관리자의 확인을 거친 후 구매자에게 거래 비용이 환불되고 해당 아이템은 오프라인 상태로 전환됩니다. 거래 수익금의 일정 비율은 웹사이트 유지 관리를 위한 처리 수수료로 공제됩니다. 마켓의 공식 텔레그램 채널은 @cabyc이며, 관리자는 웹사이트의 메시징 서비스를 이용하거나 텔레그램(@ganmao)을 통해 익명으로 연락할 수 있습니다.
그림 5: 장안 잠 못 이루는 밤의 랜딩 페이지(출처: 장안 잠 못 이루는 밤)
다음은 지난 보고서 이후 거래소 시장의 새로운 변화에 대한 몇 가지 관찰 결과입니다.
거래소 시장에서 중국 위협 행위자들과의 경쟁 심화
2022년은 2019년 4분기 거래소 마켓이 재출시된 이후 국제 기업에 영향을 미치는 유출된 데이터에 대해 100개 이상의 게시물을 올리며 거래소 마켓에서 어느 정도 신뢰도가 있는 중국 위협 공격자 '302513'과의 경쟁이 활발했던 시기였습니다. 302513은 이미 12개 이상의 판매자에 대해 신고가 접수되었으며, 이들 판매자가 302513에서 구매한 데이터를 재활용하여 재판매하고 있다고 리스팅에 명시했습니다. 302513은 다른 데이터베이스 판매자가 단순히 새 리스팅을 생성하고 Exchange 마켓 플랫폼에서 데이터베이스를 재판매했다고 주장합니다.
저희는 거래소 마켓에 플랫폼 목록에 있는 데이터 세트를 재포장하여 재판매하는 개인을 단속하는 규정이 없다는 사실을 확인했습니다. 이 플랫폼에는 302513과 같은 판매자를 위한 보호 메커니즘이 부족하여 오랜 기간 데이터베이스 판매자의 재정적 이익에 타격을 주고 있습니다. 이러한 관찰은 또한 거래소 마켓이 중국어권 위협 행위자들이 데이터베이스 리스팅을 마케팅하기 위한 플랫폼으로 서서히 진화하고 있음을 보여줍니다. 시간이 지날수록 더 많은 금전적 동기를 가진 위협 행위자들이 거래소 마켓에 참여하여 여러 국가와 산업과 관련된 데이터베이스를 판매할 것으로 예상됩니다.
그림 6: 다른 중국 위협 행위자가 302513의 데이터를 재활용하여 거래소 마켓에서 재판매하는 것에 대해 불만을 제기한 거래소 마켓 판매자 302513, 이 위협 행위자는 12명 이상의 판매자를 상대로 신고를 제기했습니다(출처: 거래소 마켓).
사이버 범죄에 특화된 중국어 텔레그램 채널
앞서 언급했듯이, 다크웹 마켓플레이스와 함께 운영되는 일부 텔레그램 채널은 해당 마켓플레이스가 오프라인으로 전환된 이후에도 계속 운영되고 있습니다. 한편, 카드 도용, 사기, 데이터 유출 및 기타 불법 활동에 관여하는 독립 중국어 채널이 많이 있습니다. 이러한 채널 중 일부는 처음에는 광고를 허용하지 않지만, 시간이 지나면서 많은 채널, 특히 다크 웹 마켓플레이스와 관련된 채널이 광고로 넘쳐나는 것으로 보입니다. 아래 표에는 다크웹 마켓플레이스와 관련된 텔레그램 채널과 독립적으로 운영되는 채널이 나열되어 있습니다. 공개적으로 액세스할 수 있는 이러한 채널의 성격은 대부분 이름에서 알 수 있습니다. 필요한 경우 추가 정보가 메모 섹션에 나열됩니다.
지금은 없어진 차마고도 시장과 관련된 텔레그램 채널
| 그룹 이름 | 멤버십 | 참고 |
| 茶马古道【数据交流】(차마고도 [데이터 교환]) @Tea_group1 |
구독자 4,093명 | |
| 茶马古道【黑产交流】(차마고도 [암시장 거래소]) @Tea_group2 |
구독자 2,060명 | |
| 茶马古道【担保交易】(차마고도 [에스크로 거래]) @Tea_group3 |
구독자 7,037명 | 에스크로 거래를 수행한다고 주장하며 광고 및 채팅을 금지합니다. |
| 茶马古道【账号交流】(차마고도 [계정 교환]) @Tea_group4 |
구독자 2,429명 | 4개의 아이디, QQ 계정, WeChat 계정, 알리페이 계정 등 세트 |
| 茶马古道【查档定位】(차마고도로 [검색 및 위치 찾기]) @Tea_group5 |
구독자 2,279명 | 온라인 검색을 수행하는 경우 |
| 茶马古道【技术交流】(차마고도 [기술 교류]) @Tea_group6 |
구독자 수 1,969명 | |
| 茶马古道会员群【会员专属】(차마고도로 [회원 전용]) @Tea_vip |
구독자 3,055명 | 차마 마켓의 검증된 회원을 위한 그룹 |
| 茶马古道【暗网综合】(차마고도 [다크 웹 종합]) @Cmsvip |
구독자 9,638명 | 텔레그램에서 사기 채널로 표시됨 |
표 1: 차마고도 마켓과 관련된 텔레그램 채널 (출처: 텔레그램)
지금은 없어진 룰란 시티 마켓과 관련된 텔레그램 채널
| 그룹 이름 | 멤버십 | 참고 |
| 楼兰城-暗网楼兰城-暗网交易资源 (룰란 시티 - 다크 웹 룰란 시티 - 다크 웹 교환 자원) @uQJifwRpZ |
14,797명의 구독자 | |
| 룰란 다크웹 OTC/USDT 에스크로 거래소(룰란 다크웹 OTC/USDT 에스크로 거래소) @loulananwang |
구독자 8,190명 |
표 2: 룰란 시티 마켓과 관련된 텔레그램 채널(출처: 텔레그램)
지금은 없어진 668 마켓과 관련된 텔레그램 채널
| 그룹 이름 | 멤버십 | 참고 |
| 668 暗网商城 |综合|担保 (668 다크 웹 마켓 | 종합 | 에스크로) @RR668 |
구독자 13,446명 |
표 3: 668 마켓과 연결된 텔레그램 채널 (출처: 텔레그램)
(활성) 프리시티 마켓과 관련된 텔레그램 채널
| 그룹 이름 | 멤버십 | 참고 |
| 暗网自由城自由交易 (다크 웹 자유 도시 자유 거래소) 프리시티에스크로우 |
구독자 1,298명 | 관리자는 @freecityadmin입니다. |
| 暗网自由城官方担保交易市場 (다크 웹 프리 시티 공식 에스크로 교환 시장) @freecitysocial |
구독자 5,545명 | |
| 무료 시티 다크 웹 튜토리얼 (무료 시티 다크 웹 튜토리얼) 프리시티스터디 |
구독자 1,260명 | |
| 自由城骗子曝光 (자유 도시 사기꾼 폭로) @Freecityexpose | 구독자 226명 | |
| 暗网自由城市场 咸鱼 小姐 资源 社工库 四套件 (다크 웹 자유 도시 시장, 소금에 절인 생선, 소녀, 자원, 사회 공학 데이터베이스, 4 개의 ID 세트) 프리시티소셜101 | 구독자 3,420명 |
표 4: 프리시티 마켓과 관련된 텔레그램 채널 (출처: 텔레그램)
(활성) 장안의 잠 못 이루는 밤과 관련된 텔레그램 채널
| 그룹 이름 | 멤버십 | 참고 |
| Cabyc 长安不夜城 暗网担保交易 防诈骗 绝对可靠 (Cabyc 장안 잠 못 이루는 밤 다크 웹 에스크로 교환, 사기 방지, 절대적으로 신뢰할 수 있음) @cabyc |
구독자 5,212명 | 관리자는 @ganmao입니다. |
| 暗网担保交易 长安不夜城 官方频道 (다크웹 에스크로 거래 장안 잠 못 이루는 밤 공식 채널) @cabycout |
구독자 397명 |
표 5: 장안 잠 못 이루는 밤과 관련된 텔레그램 채널 (출처: 텔레그램)
중국어로 운영되는 독립적인 사기 관련 텔레그램 채널의 사례
| 그룹 이름 | 멤버십 | 참고 |
| 스캐너, 데이터베이스, 크래킹, 데이터, 사전 공격(스캐너, 데이터베이스, 크래킹, 데이터, 사전 공격) 사오하오치포지에 |
구독자 6,065명 | 관리자 @jmpojie, VIP 그룹은 유료 멤버십이 필요합니다. |
| 暗中帝国国际网赚 (다크 제국 국제 온라인 머니 메이킹) @anzhongdiguoxiangmu |
구독자 4,522명 | |
| 加特林梳理 更新早知道 (지아 테 린 카딩, 업데이트를 가장 먼저 알기) cvvhv |
구독자 8,016명 | 인기 중국어 카딩 채널, 관리자 @jiate |
| 数据-CVV-邮箱-12606,黑产交流与交易 (데이터-CVV-이메일-12606, 암시장 교환 및 거래) @shuju1 |
구독자 6,693명 | |
| 딥 다크 웹 토르 브라우저 암시장 외부 사기 방지 신고 교환 시장 (Deep 暗网 tor 洋葱浏览器黑市外围灰产防骗举报诉交易所, 딥 다크 웹 토르 브라우저 암시장 외부 사기 방지 신고 교환 시장) @xxdeep |
구독자 6,178명 |
표 6: 일부 독립적인 중국어 사이버 범죄 텔레그램 채널의 예(출처: 텔레그램)
영어 및 러시아어 포럼의 중국/대만 관련 게시물
앞서 언급한 중국어 다크 웹 마켓플레이스 외에도, 중국 및 대만 관련 유출된 데이터와 액세스 권한은 이러한 판매를 전문으로 하는 기존 위협 행위자들이 Exploit Forum, BreachForums와 같은 최상위 및 중간 수준의 특수 액세스 포럼에서 광고 및 판매하는 경우가 많습니다. 이러한 위협 행위자 중 일부는 순전히 금전적 동기와 기회주의적 동기를 가진 것으로 보이는 반면, 다른 일부는 이데올로기적 동기를 가진 것으로 보입니다. 랜섬웨어 공격자는 손상된 유효한 자격 증명 쌍을 사용하여 손상된 네트워크에 원격으로 액세스하고 공격을 시작합니다. 더 많은 조직이 랜섬웨어 위협을 인식하고 데이터 보안에 더 많은 주의를 기울이면서 랜섬웨어 조직은 공격 대상을 확장하고 있으며 더 이상 주로 서구의 조직에 집중하지 않고 있습니다. 예를 들어, 악명 높은 락빗 갱단은 최근 중국과 대만에서 여러 명의 피해자를 발생시킨 바 있습니다. 아래는 최근 다크웹 또는 특수 액세스 소스에 게시된 데이터 및 초기 액세스 제공 목록입니다.
| 위협 행위자 | Intelligence |
| "0b0ltus" | 2022년 1월 3일, 지금은 사라진 중견급 공격 단체인 Raid Forums의 일원인 0b0ltus는 이름(중국어), 전화번호, 의사 정보(식별 번호, 이름, 위치 등), 진단 데이터 등 PII가 포함된 불특정 중국 소재 병원의 병원 기록 240만 건(2021년 날짜)을 판매하고 있었습니다. 데이터베이스의 가격은 600달러이며, 위협 행위자는 텔레그램(@ob0ltus), 자버(0b0ltus@conversations[.]im), 이메일(0b0ltus@protonmail[.]com)을 연락 수단으로 사용하고 있습니다. 2019년 11월 포럼에 등록한 이후 33개의 스레드를 작성했으며 평판 점수가 177점인 0b0ltus의 신뢰도가 높습니다. |
| "켈빈시큐리티" | 2022년 10월 13일, 중견급 침해 포럼의 회원사인 켈빈시큐리티는 대만 텔레비전 채널인 다아이 텔레비전(daai[.]tv)과 관련된 10,000건의 이메일 데이터베이스를 판매하고 있었습니다. 유출된 정보에는 전체 이메일 데이터베이스와 사용자 이메일 주소 및 비밀번호가 포함됩니다. 위협 행위자는 공개적으로 가격을 명시하지 않았으며, 텔레그램(@PoCExploiter)을 주요 연락 창구로 사용했습니다. 운영자는 2022년 3월 계정을 등록한 이후 131개의 스레드와 164개의 게시물을 작성했습니다. 이 계정은 포럼에서 495개의 지지를 받았습니다. |
| "AgainstTheWest" | 2022년 9월 5일, [보도](https://www.bleepingcomputer.com/news/security/tiktok-denies-security-breach-after-hackers-leak-user-data-source-code)에 따르면 틱톡은 최근 해킹 그룹 '어게인스트더웨스트'의 침해를 받았다는 주장을 부인하며 노출된 소스 코드와 데이터는 회사와 "전혀 관련이 없다"고 주장했습니다. 2022년 9월 3일, 중국, 러시아 및 기타 서구의 이익에 반하는 국가를 대상으로 터무니없는 해킹을 주장한 전력이 있는 어게인스트더웨스트는 BreachForums에서 틱톡과 위챗을 모두 침해했다고 주장하며 두 회사의 데이터베이스가 유출된 것으로 추정되는 스크린샷을 제공하는 스레드를 시작했습니다. 틱톡은 해킹을 당했다는 사실을 부인하고 BreachForums에서 공유된 소스 코드가 자사 플랫폼의 일부가 아니라고 주장했으며, 유출된 사용자 데이터는 스크래핑을 통해 얻을 수 있다고 주장했습니다. 한편, 위챗은 해킹 주장에 대해 어떠한 답변도 내놓지 않았습니다. 2022년 9월 6일, 어게인스트더웨스트는 침해 사고를 제대로 조사하지 않았다는 이유로 포럼의 관리자인 폼폼푸린에 의해 침해 포럼에서 금지되었습니다. |
| "Minori" | 2022년 1월 5일, 지금은 사라진 레이드 포럼의 멤버였던 미노리는 중국에 본사를 둔 차이나 텔레콤, 차이나 모바일, 차이나 넷콤, 차이나넷의 내부 소스(SRC), 파일, 취약점 보고서 및 기타 내부 데이터를 판매하고 있었습니다. 위협 행위자는 데이터에 포함된 회사의 스크린샷과 프로젝트 목록을 포함했으며, 해당 프로젝트는 모네로(XMR)로 350달러에 판매되고 있습니다. 위협 행위자는 XMPP(minori@0day[.]la)와 텔레그램(@reckendheck)을 주요 커뮤니케이션 수단으로 사용합니다. 2021년 1월에 등록한 이 사용자는 포럼에 56개의 스레드를 작성한 후 긍정적인 평판 점수가 1250점으로 높은 신뢰도를 자랑합니다. |
| "Warma2022" | 2022년 8월 12일, 중급 침해 포럼의 회원사인 Warma2022는 의료 종사자(의사, 간호사, 학생)의 정보 2800만 건을 haoyisheng[.]com에서 판매하고 있었습니다. 및 cmechina[.]net 전화번호, 로그인 이름, 비밀번호, 이메일 및 실제 주소, 프로필 사진 등을 포함한 웹사이트를 2,600달러에 이용할 수 있습니다. 위협 행위자가 Jabber(warma@rows[.]im)를 나열했습니다. 를 연락 창구로 사용하세요. Warma2022의 신뢰도는 낮습니다. 이 운영자는 2022년 8월에 등록한 이후 이 게시물 이전에는 게시물을 작성하지 않았으며 이 보고서 작성 시점에 포럼에서 금지된 것으로 보입니다. |
| "오렌지케이크" | 2022년 5월 23일, 최상위 포럼 Exploit의 회원인 orangecake는 연간 매출이 9900만 달러에 달하는 제약 및 의료 생산을 전문으로 하는 대만의 불특정 회사에 VPN 및 RDP 액세스 권한을 경매에 부쳤습니다. 시작 가격은 700달러이며, 1,000달러에 즉시 구매할 수도 있습니다. 운영자는 2021년 9월 계정을 등록한 이후 21개의 스레드와 게시물을 작성했습니다. 이 계정은 포럼에서 많은 유명 위협 행위자들로부터 9개의 추천을 받았으며, 여러 건의 매출이 표시되어 있습니다. |
| "zirochka" | 2022년 5월 13일, 최상위 포럼 Exploit의 회원인 zirochka는 연간 매출이 약 1,200만 달러인 불특정 중국 회사에 로컬 관리자 권한이 있는 RDP 액세스 권한을 경매에 부치고 있었습니다. 위협 행위자에 따르면, 로컬 네트워크에는 약 17개의 디바이스와 8.5TB 이상의 데이터가 유출된 것으로 확인되었습니다. 시작 가격은 $50이며, $70에 즉시 구매할 수도 있습니다. 2016년 7월에 계정을 등록한 이후 56개의 스레드와 게시물을 작성한 zirochka의 신뢰도가 높습니다. 이 계정은 포럼에서 4번의 긍정적인 추천을 받았으며 많은 판매량이 표시되어 있습니다. |
| "YourAnonWolf" | 2022년 6월 20일, 중견급 침해 포럼인 YourAnonWolf는 대만 최대 통신사인 중화 텔레콤의 유출된 데이터베이스를 판매하고 있었습니다. YourAnonWolf는 이 데이터베이스가 위협 행위자 'SiegeSec'에 의해 해킹되었으며 데이터베이스, 소스 코드, 문서 및 내부 사용자 정보를 포함하여 3~4GB라고 주장했습니다. 이 게시물에는 시즈섹의 텔레그램 핸들(@SiegeSec)이 연락처로 포함되어 있습니다. 2022년 3월 계정을 등록한 이후 12개의 스레드와 게시물을 작성했으며 평판 점수는 31점인 YourAnonWolf의 신뢰도는 보통입니다. |
표 7: 중간 계층 포럼에서 중국 및 대만 기업의 데이터베이스와 초기 액세스 권한을 판매하는 위협 행위자(출처: Recorded Future)
중국 사이버 범죄 생태계 특유의 사기 수법
이 섹션에서는 중국 사이버 범죄자들이 중국인과 비중국인을 대상으로 고금리 불법 대출, 외국인 대상 스피어피싱 공격, 암호화폐 로맨스 사기, 중국 외 지역에 거주하는 중국인을 대상으로 한 사기 등 중국 사이버 범죄자들이 저지른 사이버 범죄를 조사했습니다. 중국 위협 행위자들이 저지른 몇 가지 독특한 사기를 조사한 결과, 거의 모든 사례에서 사이버 범죄 소스를 통해 판매 및 유포된 PII 데이터를 활용하는 새로운 방법이 사용되었음을 확인했습니다. 위협 행위자들이 중국 공무원과 유명 기업체를 사칭하여 중국 국경 안팎에서 개인을 속이는 정교한 사회 공학 및 스피어피싱 수법을 고안하여 유출된 PII를 무기화했다는 증거를 확인했습니다.
중국의 불법 대출 관행과 다크웹과의 연결성
2021년 3월, 사우스차이나모닝포스트는 수십억 달러 규모의 범죄 대출 사기로 인해 중국에서 89명이 사망했다고 보도했습니다. 한 남성은 2,000위안(305달러)을 빌린 후 약탈적 대출의 악순환에 빠져 결국 70만 위안(107,000달러)의 빚을 지게 된 것으로 알려졌으며, 연 복리 이자가 5,214%에 달하는 불법 대출 계약에 사람들이 갇히게 되었습니다. 왕 타오라는 남성이 이끄는 무허가 대부업 조직은 2018년 3월부터 2019년 3월까지 475,000명과 336만 건의 계약을 체결했습니다. 불법 업체는 '7일간 무이자' 또는 '낮은 문턱, 빠른 대출' 등의 매력적인 조건으로 순진한 대출자를 유인한 후, 대출자가 빚을 빨리 갚지 못할 경우 연 1,303%에서 5,214%의 이자를 부과하는 계약서를 작성했습니다. 또한 이 조직은 수수료를 받고 피해자와 그 가족을 괴롭히고 위협하고 협박하는 24개의 채권 추심 회사를 고용했습니다. 당국은 이러한 협박으로 인해 일부 피해자가 스스로 목숨을 끊었다고 밝혔습니다.
저희는 다크웹 마켓플레이스에서 위협 행위자들이 신용 문제가 있는 중국인의 PII를 판매했으며, 이러한 데이터의 구매자가 사채업자와 관련이 있을 가능성이 높다는 증거를 발견했습니다. 이러한 유형의 정보는 신용 평가 기관에서 도난당했을 가능성이 높으며 신용 문제가 있는 사람들을 악용하는 데 사용될 수 있다는 사실을 발견했습니다.
중국의 '지금 구매하고 나중에 결제하는'(BNPL) 시장은 성장하고 있지만, 과소비(개인이 계획한 것보다 더 많이 소비하도록 유도)와 서비스 제공업체가 연체료를 부과하는 등의 단점도 존재합니다. 일부 개인은 다크웹에서 판매되는 이러한 유형의 개인 정보로 인해 채무 상환에 어려움을 겪거나 온라인 불법 대출 사기에 넘어갈 수 있습니다.
| PII 유형 | Intelligence |
| 신용 문제가 있는 개인 | 2022년 9월 15일, 거래소 마켓의 회원인 '599731'은 은행 대출 거절자인 중국인 120,000명 이상의 기록이 담긴 데이터베이스를 39달러에 상장했습니다. 위협 행위자가 데이터의 출처를 공유하지는 않았지만, 위협 행위자가 공유한 샘플 스크린샷에는 성명, ID 번호, 휴대폰 번호, 은행이 영업 중인 도시, 은행의 대출 거부 사유 등의 데이터 필드가 포함되어 있습니다. |
| 할부 플랜을 통해 구매하는 개인 사용자 | 2022년 9월 22일, 거래소 마켓의 회원인 '724984'는 Fenqile(fenqile[.]com)의 사용자 3,400명 이상의 기록이 담긴 데이터베이스를 등록했습니다. 25달러에 판매합니다. Fenqile은 할부 플랜을 통해 간편하게 구매할 수 있도록 도와주는 중국 플랫폼입니다. 위협 행위자는 SMS 하이재킹을 사용하여 데이터를 훔쳤다고 주장하며, 샘플 데이터에는 사용자가 펜킬 플랫폼에 로그인하기 전에 입력해야 하는 6자리 일회용 비밀번호(OTP) 번호도 포함되어 있습니다. 위협 행위자가 공유한 샘플 스크린샷에는 다음과 같은 데이터 필드가 포함되어 있습니다: 로그인에 필요한 6자리 OTP 코드, 전화번호, 실제 주소 데이터(주 및 도시). 724984의 신뢰도는 보통입니다. 이 위협 행위자는 2022년 8월 초부터 거래소 마켓에 100개 이상의 게시물을 올렸습니다. |
표 8: 재정적으로 취약한 개인을 대상으로 한 사기 수법에 사용될 수 있는 PII 유형(출처: Recorded Future)
이러한 유형의 PII는 무허가 대부업 조직이 저금리와 빠른 대출을 약속하며 의심하지 않는 개인에게 연락할 수 있는 매력적인 정보입니다. 신디케이트는 이러한 그룹의 사람들이 은행에서 합법적인 대출을 거부당했거나 할부 상품을 이용해 물건을 구매해야 했기 때문에 재정적으로 취약한 경향이 높다는 것을 알고 있습니다. 은행 대출 거절 이유와 높은 월 상환 의무를 아는 것은 신디케이트가 개인을 악용하여 과도한 이자율을 지불하도록 유도하기 위해 합법적이지 않은 은행 대출을 받도록 설득하는 보다 정교한 사회 공학적 계획을 고안하는 데 도움이 됩니다.
그림 7: 신용 문제가 있는 중국인의 PII를 판매하는 중국 위협 행위자; 데이터에는 성명, 식별 번호, 휴대폰 번호, 은행 영업 도시, 은행 대출 거부 사유가 포함되어 있습니다. 중국의 신용 조사 기관에서 데이터를 도난당한 것으로 추정됩니다. 신분증 번호, 전화번호, 성명이 검열되었습니다. (출처: 거래소 시장)
그림 8: 중국 할부 제공업체 Fenqile에서 도난당한 SMS 기록(출처: 거래소 시장)
인도인을 대상으로 하는 사기성 중국 대출 앱과 다크웹 연결성
2022년 8월, 이코노믹 타임즈의 CIO는 중국의 디지털 대출 앱이 규제 가이드라인의 허점을 이용해 기존 비은행 금융회사(NBFC)와 제휴하여 인도 고객을 속이고 있다고 보도했습니다. 이러한 '핀테크' 기업들이 인도 중앙은행으로부터 신규 NBFC 라이선스를 받을 가능성이 낮았기 때문에 중국 디지털 대출 회사들은 기존 NBFC와 공모하여 대규모 대출 활동에 뛰어들었습니다. 인도 당국은 여러 핀테크 기업이 NBFC와 공모하여 약탈적 대출을 일삼고, 과도한 이자율을 부과하고, 연체 시 가혹한 벌금을 부과하고, 불법적으로 운영하며, 강력한 추심 전략을 사용한다는 사실을 발견했습니다. 이 중국 앱은 피해자의 연락처에 액세스할 수 있는 권한을 요청하고, 이후 회사에서 온갖 종류의 협박에 사용했습니다. 대출자에게는 엄청난 수수료와 이자율이 부과되어 많은 사람들이 큰 빚을 지게 되었고, 심지어 일부 피해자는 자살을 선택하기도 했습니다.
Recorded Future의 분석가들은 중국 위협 공격자들이 인도의 디지털 결제 및 금융 서비스 회사인 Paytm의 고객들의 PII를 표적으로 삼아 탈취한 증거를 발견했습니다. 인도 국민의 기록은 위에서 설명한 중국의 사기성 디지털 대출 회사에 판매될 수 있으며, 이 회사는 이 데이터를 사용하여 데이터베이스에 있는 개인에게 피싱 및 스미싱 캠페인을 통해 디지털 대출을 제안할 수 있습니다.
| PII 유형 | Intelligence |
| 인도 디지털 결제 회사 Paytm에 속한 사용자의 PII | 2022년 9월 19일, 거래소 마켓의 회원인 724984는 8백만 명 이상의 Paytm 사용자 기록이 담긴 데이터베이스를 50달러에 상장했습니다. Paytm은 인도의 디지털 결제 및 금융 서비스 회사입니다. 위협 행위자가 공유한 샘플 스크린샷에는 성명, 전화번호, 이메일 주소, 주 정보, 성별 정보, Paytm 서비스 연결에 사용된 은행 이름 등의 데이터 필드가 포함되어 있습니다. 724984의 신뢰도는 보통입니다. 이 위협 행위자는 2022년 8월 초부터 거래소 마켓에 100개 이상의 게시물을 올렸습니다. |
표 9: 인도 국민을 대상으로 한 대출 사기에 악용될 가능성이 있는 인도 디지털 결제 회사 Paytm 소속 사용자의 PII(출처: Recorded Future)
그림 9: Paytm 사용자, 성명, 이메일 주소, 전화번호 샘플 데이터(검열됨) (출처: 거래소 마켓)
스피어피싱을 통해 일본 기업을 노리는 중국 위협 행위자
2022년 8월, 인포시큐리티 매거진에서는 일본 신용카드 고객들이 피싱 공격의 표적이 되고 있다고 보도했습니다. Menlo Labs의 연구팀은 일본의 MICARD 및 American Express 사용자를 대상으로 한 피싱 캠페인을 분석한 결과, 문제의 위협 행위자가 지오펜싱을 사용하여 일본 IP 주소만 웹사이트에 액세스할 수 있도록 가짜 웹 페이지 링크가 포함된 스푸핑 이메일을 잠재적 공격 대상에게 전송하고 있음을 발견했습니다.
익스체인지 마켓에서 중국 위협 행위자들이 주로 일본 기업을 대상으로 하는 피싱 웹사이트 소스 코드를 판매했다는 증거를 발견했습니다. 위협 공격자들은 합법적인 일본 은행, 이커머스, 교통 웹사이트처럼 보이는 피싱 툴킷을 만들어냈습니다.
Exchange Market의 회원인 717451은 로그인 자격 증명과 카드 인증 값(CVV)을 훔칠 수 있는 피싱 웹사이트 소스 코드를 판매했습니다. 위협 행위자는 넷플릭스, 애플 영국, 오리엔트 코퍼레이션의 피싱 키트를 20달러에, 아마존 재팬의 웹사이트 피싱 키트를 50달러에, 에키넷의 피싱 키트를 10달러에 판매한다고 밝혔습니다. 717451의 신뢰도는 낮습니다: 이 위협 행위자는 2022년 9월 거래소 마켓에 가입한 이후 5개의 게시물을 작성했습니다.
이러한 피싱 키트를 만든 위협 행위자는 일본의 언어, 문화, 은행, 전자상거래, 교통 시스템에 대해 잘 이해하고 있으며, 이는 위협 행위자가 일본에 거주하는 중국인일 가능성을 제기합니다. 위협 공격자들은 계속해서 더 많은 피싱 키트를 개발하여 다른 일본 산업을 대상으로 스피어피싱 공격 역량을 확장할 것이며, 유사한 수법을 복제하여 다른 해외 기업을 공격할 수 있을 것으로 예상합니다.
그림 10: Amazon Japan 사용자의 로그인 자격 증명과 CVV를 훔치기 위한 피싱 키트(출처: Exchange Market)
중국 공무원 사칭 사기
아시아원은 2022년 9월, 2022년 1월부터 8월까지 싱가포르에서 중국 공무원을 사칭한 사기가 총 476건 발생했으며, 피해액은 최소 5,730만 싱가포르 달러에 달한다고 보고했습니다. 중국어를 사용하는 위협 행위자는 일반적으로 중국 외 지역에 거주하는 중국 시민에게 전화를 걸어 법 집행 기관을 사칭하는 경우가 많습니다. 사기범들은 피해자에게 범죄를 저질렀다고 비난하고 종종 징역형을 선고하겠다고 협박합니다. 그런 다음 일반적으로 피해자에게 돈을 지불하도록 설득하여 수사와 징역형을 '피'하도록 도와줍니다.
아시아원 기사에 인용된 사례 연구에서는 사기범이 싱가포르에 거주하는 16세 중국인에게 전화를 걸어 중국에서 코로나19 루머를 퍼뜨리고 밀수 범죄에 연루되었다며 그를 비난했습니다. 피해자가 혐의를 반박하자 발신자는 피해자의 어머니가 자신의 신원을 이용해 이러한 범죄를 저지른 악의적인 행위자에게 개인 정보를 제공했을 수 있으며, 중국 본토 경찰이 곧 추가 조사를 위해 전화할 것이라고 말했습니다. 가상의 중국 경찰이 피해자에게 전화를 걸었을 때, 사기범은 피해자에게 어머니가 돈세탁에 연루되었다며 인질극을 벌여 자백을 유도하라고 했습니다. 결국 피해자는 항복하고 인질로 잡힌 자신의 모습을 촬영한 후 피해자가 중국으로 안전하게 귀국하는 대가로 몸값을 받고 어머니에게 영상을 보냈습니다.
2022년 10월에는 홍콩의 한 대학교수가 약 400만 홍콩달러를 사취한 유사한 사건이 발생하기도 했습니다. 이 사례에서 사기범은 피해자가 광저우 공안국이 감독하는 코로나19 격리 규정을 위반했으며 중국 본토에서 자금 세탁 사건에 연루되었다고 주장하며 자신의 결백을 증명하기 위해 중국은행 계좌 정보를 포함한 개인 정보를 사기 조직에 제출할 것을 요구했습니다. 가상의 수사관들은 3개월 동안 총 384만 홍콩달러를 이체하기 위해 공포와 갈취 전술을 성공적으로 사용했습니다.
이러한 유형의 사기는 해외에 거주하는 중국인의 데이터 세트와 함께 학생과 부모 모두의 PII가 포함된 대량의 PII 데이터가 판매되고 있기 때문에 작동할 수 있다고 생각합니다. 아래 표는 신디케이트 조직이 금전적 이득을 위해 화교를 표적으로 삼아 거래소 시장에서 판매된 PII의 몇 가지 사례를 보여줍니다.
| PII 유형 | Intelligence |
| 학생 및 학부모 | 2022년 9월 9일, Exchange Market의 회원인 '649795'는 중국 본토에 거주하는 학부모와 중학생의 100만 명 이상의 기록이 담긴 데이터베이스를 650달러에 판매했습니다. 협박범은 이 목록에 현재 중학교에 재학 중인 학생의 정보가 포함되어 있다고 주장합니다. 위협 행위자가 공유한 샘플 스크린샷에는 학부모의 전체 이름, 해당 학생의 전체 이름, 전화번호, 학생이 재학 중인 학교, 학급, 학생이 재학 중인 레벨 등의 데이터 필드가 포함되어 있습니다. |
| 미국에 거주하는 부유한 중국 국적자 | 2022년 4월 4일, 익스체인지 마켓의 회원인 '628546'은 미국에 거주하는 부유한 중국인의 기록 15,000건을 500달러에 판매했습니다. 위협 행위자가 공유한 샘플 스크린샷에는 중국어로 된 전체 이름, 미국 전화번호, 성별 정보, 결혼 여부, 중국 내 출신 지역, 미국 주와 도시가 포함된 일부 거주지 정보, 직업 정보, 이민 날짜 등의 데이터 필드가 포함되어 있습니다. |
| 일본에 거주하는 화교 시민 | 2022년 5월 8일, 거래소 마켓의 회원인 '567285'는 일본에 거주하는 중국인의 기록 4,000건을 640달러에 판매했습니다. 위협 행위자가 공유한 샘플 스크린샷에는 중국어로 된 전체 이름, 일본 전화번호, 성별 정보, 일본 주와 도시가 포함된 일부 거주지 정보, 결혼 여부, 직업 정보 등의 데이터 필드가 포함되어 있습니다. |
| 중국 거주자의 핵산 결과 | 2022년 9월 5일, 거래소 마켓의 회원인 '737723'은 핵산 검사 결과와 관련된 중국인의 500만 건 이상의 기록이 담긴 데이터베이스(과거 코로나19 감염 여부를 파악하는 데 사용할 수 있음)를 145달러에 판매했습니다. 위협 행위자는 핵산 실험 기간을 공개하지 않았고 핵산 실험이 수행된 특정 지역이나 도시를 명시하지 않았으며 일부 데이터 필드가 불완전합니다. 위협 행위자가 공유한 샘플 스크린샷에는 성명, 국적, 전화번호, 신분증 번호, 건강 코드 색상 등의 데이터 필드가 포함되어 있습니다. |
표 10: 중국 국경을 넘어 중국인을 대상으로 하는 사기를 고안하는 데 기여했을 가능성이 있는 PII의 유형(출처: 레코디드 퓨처)
2022년 9월, 닛케이 아시아는 중국 사기범들이 통신 신호를 방해하고 조작할 수 있는 장비를 사용하여 발신자 번호를 변경하여 피해자가 공식 번호로 전화를 받는다고 믿게 만들었다고 보도했습니다. 대량 메시징 소프트웨어는 알림으로 마스킹된 문자 메시지를 보내는 데도 사용됩니다. 마드리드에 본부를 둔 인권 단체인 Safeguard Defenders가 발표한 보고서에 따르면, 중국은 부패 및 금융 범죄 혐의를 받고 있는 해외 거주 중국인 약 1만 명을 협박, 위협, 심지어 국가가 승인한 납치 등 은밀하고 종종 불법적인 방법을 통해 귀국하도록 강요하고 있습니다. 세이프가드 디펜더스의 2022년 9월 보고서에 따르면, 중국 정부는 미국을 포함한 30개 국가에 경찰이 운영하는 '해외 경찰 서비스 센터'를 최소 54개 설립했으며, 경찰 "이" 대상자의 귀국을 설득하는 데 도움을 주지 않는 중국 내 친척은 경찰이 조사하고 처벌한다는 내용의 정부 문서를 발행했습니다.
레코디드 퓨처는 이러한 정교한 피싱, 스미싱 또는 비싱 사기의 희생양이 된 피해자들이 금융 범죄 혐의로 중국 사법 당국에 의해 중국으로 강제 송환되는 것을 진정으로 두려워하고 있다고 믿습니다. 2015년 포브스 기사에 따르면 많은 기업이 뇌물을 주거나 선물을 주는 중국에서는 뇌물 수수가 암묵적인 규칙으로 통용되고 있다고 합니다. 2021년 3월 NPR의 기사에서 볼 수 있듯이 중국에서는 박해를 피하거나 형사 고발을 줄이기 위해 중국 공무원에게 뇌물을 주는 '돈으로 탈출'이 가능하다는 사실도 널리 알려져 있습니다. 중국 사이버 범죄자들은 금융 범죄, 뇌물 문화, 해외 거주 중국인의 유출된 개인 정보에 기반한 강제 송환 위협을 이용하여 중국 법 집행 기관을 사칭하고 사기 피해자를 성공적으로 사칭한 것으로 보입니다. 사기 전화는 일반적으로 잘 계획되고 정교하게 이루어지며, 사기 발신자는 일반적으로 이름, 신분증 번호, 중국 내 집 주소, 해외 주소, 직업, 가족 구성원 정보 등 피해자의 개인 정보에 대한 중요한 세부 정보를 알고 있습니다. 화교가 합법적인 중국 기관의 전화인지 여부를 판단하기가 매우 어려울 수 있으므로 이러한 세부 정보를 보유하는 것은 사기범이 피해자에게 공포심을 심어주고 피해자가 사기범의 요구에 응하도록 설득하는 데 도움이 됩니다.
해외에 거주하는 중국인은 중국보다 생활비가 훨씬 높은 미국, 싱가포르, 캐나다, 일본, 독일 등 제1세계 국가에 거주할 수 있으면 일반적으로 부유하다는 인식 때문에 표적이 되는 경우가 많습니다. 중국의 '공동 번영'과 '기업가 정신'이라는 정치적 수사와 심각한 코로나19 봉쇄 조치로 인해 이미 많은 부유한 중국인들이 중국을 떠나 싱가포르와 같은 국가로 이주하고 있습니다.
여성을 노리는 암호화폐 로맨스 사기
2022년 6월, 파이낸셜 타임즈는 암호화폐 사기범들이 사랑을 찾는 중국 소수민족 여성들을 대상으로 온라인 연애를 시작한 후 피해자들의 돈을 가로채는 사기를 벌였다고 보도했습니다. 사기범들은 보통 '크라켄코인', '코인베이스 CCY' 등 실제 거래소의 이름을 모방한 가짜 웹사이트를 만들곤 합니다. 이러한 웹사이트는 연중무휴 온라인 고객 서비스와 실시간 코인 가격 변동을 보여주는 차트를 제공하며, 처음에는 의심하지 않는 여성들이 일부 자산을 법정화폐로 인출할 수 있도록 하여 플랫폼을 신뢰하도록 속입니다. 이러한 유형의 사기는 돼지 도살 사기로도 알려져 있으며, 남성과 여성 모두에게 영향을 미칩니다.
2022년 8월, CAC는 암호화폐를 홍보하는 12,000개의 암호화폐 관련 웹사이트와 소셜 미디어 계정을 삭제하도록 명령했습니다. 웨이보, 바이두, 위챗 등 여러 플랫폼의 소셜 미디어 계정과 디지털 자산 구매, 판매, 채굴에 대한 튜토리얼을 홍보하고 운영하던 105개의 웹사이트가 폐쇄되었습니다. 선전의 금융 규제국은 2022년 6월 암호화폐가 범죄 활동을 조장하고 금융 질서를 어지럽힌다고 경고하며 투자자들에게 불법 금융 활동에 참여하거나 사기를 당할 수 있다고 경고했습니다.
중국 다크웹에서 위협 행위자들이 여성의 PII 기록이 포함된 목록을 가지고 있다는 증거를 발견했습니다. 암호화폐 사기범들은 이 데이터를 악용하여 PII가 유출된 여성을 상대로 사용할 사기 전술과 전략을 고안할 수 있습니다.
| PII 유형 | Intelligence |
| 데이트 사이트의 여성 데이터 | 2022년 5월 11일, Exchange Market의 회원인 '565231'은 중국 데이트 웹사이트 zhenai[.]com의 여성 사용자로부터 7,000건의 PII 기록을 광고했습니다. 를 700달러에 판매합니다. 위협 행위자가 공유한 스크린샷의 데이터 필드에는 고객 이름, 휴대폰 번호 및 통신사, 생년월일, 성별, 개인 ID 번호, 실제 주소, 고용주, 출생지 등이 포함되어 있습니다. |
| 중국 여대생 | 2022년 9월 17일, 거래소 마켓의 회원인 '751891'은 광둥성에 거주하는 중국 여대생 240만 명 이상의 기록이 담긴 데이터베이스를 300달러에 상장했습니다. 위협 행위자는 이 데이터가 2022년 8월에 새로 입수한 것이며, 광둥성 내 140개 대학에서 수집한 데이터를 기반으로 대부분의 학생이 19~25세 연령대라고 주장합니다. 위협 행위자가 공유한 샘플 스크린샷에는 성명, 성별, 학생 및 보호자의 신분증 번호, 생년월일, 결혼 여부, 인종, 전화번호, 이메일 주소, 고용 상태, 고향 정보, 연락처 주소, 학생의 보호자의 개인 정보 등의 데이터 필드가 포함되어 있습니다. |
표 11: 여성을 대상으로 한 암호화폐 로맨스 사기의 고안에 기여했을 가능성이 있는 PII 유형(출처: Recorded Future)
전망
2022년 10월 23일, 시진핑 주석은 제20차 전국대표대회에서 중국 공산당 총서기 겸 중앙군사위원회(CMC) 주석으로 3선에 성공하며 권력을 더욱 공고히 했습니다. 시진핑 주석의 당 간부 연설은 이미 경제적, 사회적 비용이 마이너스로 돌아가고 있는 코로나19 제로 정책을 확고히 이행하겠다는 의지를 시사합니다. 경제적 어려움과 높은 수준의 청년 실업률 (20%에 육박)이 증가하면서 중국은 현재 온라인 사기, 특히 소비자를 속여 금전적 이득을 취하려는 수만 개의 위조 금융 서비스 애플리케이션이 증가하는 추세를 보이고 있으며, 더 강력한 새로운 법률을 통해 이러한 활동과 범죄 조직을 지속적으로 단속할 예정입니다. 경제 성장 둔화와 광범위한 불만은 경제적 기회 부족으로 인해 권리를 박탈당한 젊은이들을 사이버 범죄로 내몰 가능성이 높습니다. 또한, 대다수의 낮은 수준의 중국 위협 공격자들은 금전적 이득을 위해 의료, 금융, 정부 및 교육 기관을 포함한 중국 국내 산업을 대상으로 사이버 공격을 계속 수행할 것으로 예상합니다. 더 수완이 뛰어난 위협 행위자들은 사이버 운영을 해외로 이전하거나 해외 데이터/접근에 더 집중하여 포트폴리오를 다양화하고, 글로벌 기업에 대한 사이버 공격에 참여할 해외 사이버 범죄자를 모집할 것입니다.
열띤 수사와 경고에도 불구하고 펠로시 미 하원의장의 대만 방문 기간 동안 대규모 사이버 공격은 발생하지 않았습니다. 애국주의 핵티비즘에 기인한 것으로 보이는 낮은 수준의 디도스 공격만 있었습니다. 그러나 시진핑 주석은 대만을 장악하기 위한 군사력 사용을 절대 포기하지 않 겠다고 다짐했으며, 이는 필연적으로 미국 및 대만과의 긴장을 더욱 고조시킬 것입니다. 중국은 대만과의 통일 일정이 존재하지 않는다고 부인했지만, 최근 군부 지도부 개편을 통해 향후 5년 이후 대만에 초점을 맞출 것임을 분명히 밝혔습니다. 그러나 러시아가 우크라이나 침공에서 군사적 성공을 거두지 못한 점과 침공에 따른 국제사회의 거의 만장일치에 가까운 비난과 제재는 중국이 대만에 대한 군사 침공을 고려할 경우 경고로 작용할 것입니다. 우리는 대규모 군사 충돌이 발생할 가능성은 낮지만, 중국의 사이버전 부대 배치와 주로 반도체 산업과 관련하여 미국과 동맹국에 필수적인 것으로 간주되는 기관을 표적으로 삼아 방해하거나 파괴하는 데 있어 러시아와 북한의 위협 행위자의 지원 가능성을 포함하는 사이버전이 발생할 수 있다고 믿습니다.
2022년 10월 28일, 중국 국무원은 중국이 국가 통합 정부 빅데이터 시스템을 구축할 것이라고 발표했습니다. 정부가 이용할 수 있는 데이터도 전자 면허, 의료 및 보건, 응급 관리, 신용 시스템 등의 정보로 확대하여 국가 통합 정부 업무 빅데이터 시스템에 통합할 계획입니다. 통합된 빅데이터 시스템은 사이버 범죄자들에게는 금광으로 간주될 수 있으며, 위협 행위자들은 새로운 빅데이터 시스템을 침해하고 민감한 데이터를 보유한 다른 국가 기관을 공격하고 데이터 융합 풀을 사용하여 데이터 집합을 분석하고 개인을 상대로 무기화할 수 있는 작은 데이터 집합으로 분해하려고 시도할 것으로 예상됩니다. 이러한 소규모 데이터 세트에는 불법 대출 관행에 연루된 범죄 조직이나 정부 공무원을 사칭하여 사기를 벌이는 조직과 같은 범죄 조직에 호소하는 정보가 포함되어 있을 가능성이 높습니다.
또한 일부 중국 기업에서는 개인을 채용하기 전에 신원 확인의 한 형태로 범죄 기록이 포함된 데이터 세트를 구매할 수 있다고 생각합니다. 또한 과거 범죄 기록이 있는 중국인이 오픈 소스 신원 조회에 관심이 있는 사람들을 위해 자신의 데이터를 수집하여 웹사이트에 게시할 가능성이 있으며, 이는 해당 개인의 사회 경제적 전망에 영향을 미칠 수 있습니다. 또한 위협 행위자가 침해된 데이터 세트에서 발견된 기록을 조작하여 전과자의 데이터를 조작할 가능성도 있으며, 이로 인해 과거 범죄 기록이 없는 사람이 전과자의 기록이 포함된 데이터 세트에 포함되어 채용 기회에 영향을 미치는 등의 부정적인 결과가 발생할 수 있습니다.
중국 정부가 정치적, 경제적 목적을 위해 통합 시스템을 추진하는 것은 부정적인 결과를 초래할 수 있으며, 사이버 범죄 환경이 진화하고 번창하여 더 많은 위협 행위자들이 향후 데이터 유출 시 다른 범죄 조직과 단체의 요구에 부응하기 위해 새롭고 혁신적인 방법을 고안하여 PII를 무기화하거나 조작할 수 있게 될 것입니다.
관련