※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1812호(2017. 9. 6. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

희대의 신용카드 정보 절도 해커가 체포된 이유는 ‘동일 암호 사용’.pdf



ž 미국 법무부는 세계 최대 보안 컨퍼런스 블랙햇(Black Hat) 2017에 참여하여 지난 2014년 체포한 러시아의 신용카드 정보 절도 해커 로만 셀레즈네프의 체포 과정을 설명하였음


Ø 셀레즈네프는 2005 년경부터 미국의 호텔과 레스토랑, 소매점 등의 POS 단말기 시스템에 멀웨어를 감염시켜 신용카드 번호를 훔친 후 이를 러시아 등의 암시장에서 판매한 혐의로 지난 2014년 체포되었으며, 작년 말 징역 27년의 유죄 판결을 받아 현재 미국에서 복역 중


Ø 셀레즈네프는 290만 개의 신용카드 정보를 훔쳐 판매하였고, 판매된 카드 번호는 부정 청구 등에 악용되어 카드를 발급한 3,700개 금융기관에 16,900만 달러의 손실을 입혔으며, 체포 당시 그의 컴퓨터에는 추가로 170만 개의 신용카드 번호가 남아 있었다고 함


Ø 온라인 범죄는 멀웨어 개발자, 멀웨어로 신용카드 번호 등을 훔치는 자, 도난 카드번호를 악용하는 자 등으로 분업화 되어 있는데, 셀레즈네프는 카드 번호를 훔치는 카더(Carder)였고, 수백만 건의 카드번호를 훔쳤다고 해서 미 법무부는 그를 메가 카더(mega carder)라 불렀음


Ø 셀레즈네프의 범죄 행위는 개인정보가 유출된 고객들은 물론 피해자들이 카드를 이용했던 매장들에도 지대한 손실을 입혔는데, 시애틀의 피해 매장들 중에는 개인정보가 유출된 고객들이 아예 발길을 끊는 바람에 결국 문을 닫아야 하는 곳이 많아 사회 이슈가 되기도 하였음


Ø 로만 셀레즈네프는 러시아의 의원인 발레리 셀레즈네프의 아들이기도 하며 몰디브 공항에서 체포되어 미국으로 이송되었기 때문에, 체포 당시 러시아는 미국이 초법적 수단을 이용해 납치를 했다고 강하게 비판해 양국 사이에 긴장 관계가 형성된 바도 있음


Ø 미 법무부는 블랙햇 2017의 세션에 강연자로 참여해 셀레즈네프의 체포 과정과 범죄 소명을 위한 증거 확보 과정에 대해 자세히 설명하였음



[사진] 27년 형을 선고 받은 셀레즈네프



ž 셀레즈네프는 두 개의 닉네임을 이용해 카드번호 해킹 범죄를 저질러 왔으나, 꼬리가 밟힌 이유는 보안성 없는 이메일을 사용했고 범죄에 이용한 서버를 개인 업무에도 썼기 때문


Ø 1984년생인 셀레즈네프는 미성년자였던 2002년경부터 nCuX라는 닉네임으로 해킹 커뮤니티에서 활동했으며, 처음에는 온라인 서비스의 사용자 아이디와 암호를 훔치는 활동을 했지만 2005년부터는 많은 돈을 벌 수 있는 신용카드 번호 절도에 손을 대기 시작하였음


Ø 미 사법당국은 2009년에 닉네임 nCuX의 동향에 집중했고 그를 체포하기 위해 러시아 연방 보안국(FSB)과 회의를 가진 적이 있었는데, FSB와 회의가 있은 직후 nCuX가 온라인 범죄 커뮤니티에서 홀연 모습을 감췄고 이 때문에 체포 계획은 실행에 옮겨지지 못했다고 함


Ø 그 후 셀레즈네프는 Track2Bulba라는 두 개의 닉네임으로 온라인 범죄 커뮤니티에서 활동을 재개했는데, Track2Bulba는 온라인 암시장에서 신용카드 번호를 대량으로 판매하는 대물 카더로 유명세를 얻게 되었음


Ø 미 사법당국이 Track2Bulba가 동일인임을 눈치챈 것은 2010년경으로 아이다호주의 한 레스토랑 POS 시스템에 멀웨어가 설치되고 대량으로 카드번호가 도난 당한 것이 계기가 되었음


Ø 당시 POS 시스템을 조사한 결과, POS 시스템에 설치된 멀웨어가 인터넷을 통해 두 개의 서버와 통신하고 있던 것이 밝혀졌는데, 하나는 Track2.name이라는 도메인이었고 또 하나는 Bulba.cc이라는 도메인이었기에 미 사법당국은 Track2Bulba를 동일 인물이라 추측하였음


Ø 미 사법당국은 Track2Bulba가 사용한 서버의 정보 등으로부터 셀레즈네프의 범죄 IT 인프라를 규명해 갔고, 서버의 IP 주소 정보 추적을 통해 Track'Bulba가 도메인 등록 시 사용했던 이메일 주소를 알아냈는데, 양자 모두 동일한 야후의 무료 이메일 계정을 사용하고 있었음


Ø 흥미롭게도 셀레즈네프는 범죄에 이용했던 야후 이메일 주소를 다른 용도로도 사용했고 그 중 하나가 페이팔이었는데, 아마 페이팔을 이용해 금전을 교환했던 것으로 보임


Ø 사법당국은 페이팔과 주고받은 이메일을 통해 셀레즈네프의 이름과 주소를 쉽게 알 수 있었는데, 이는 이메일이라는 암호화되지 않은 통신 수단을 통해 셀레즈네프가 계정의 암호를 포함한 다양한 정보를 교환하고 있었기 때문임


Ø 더욱 흥미로운 것은 셀레즈네프가 범죄에 이용하던 렌탈 서버를 개인 용무에도 사용했는데. 인도네시아에 보유 중이던 저택으로 가기 위한 항공권 예약에 해당 서버를 사용했기에, 미 사법 당국은 서버 통신 등을 분석해 그의 여권 번호와 얼굴 사진까지 찾아낼 수 있었다고 함


ž 체포 이후 그의 범죄를 소명하는 작업은 의외로 손쉬웠는데, 그 이유는 셀레즈네프가 모든 기기와 이용 중인 하나로 단일화하여 동일한 암호를 사용했기 때문임


Ø 서버 분석을 통해 셀레즈네프를 식별한 미 사법당국은 2011 3월경 체포 준비를 마쳤으나, 셀레즈네프 역시 이 즈음부터 미국 법원의 Pacer Case Locator라는 웹 서비스에 자신의 이름을 자주 검색하며 자신에 대한 체포 영장이 발급되었는지 여부를 지속적으로 확인하였음


Ø 셀레즈네프가 2011년부터 미국에 입국하지 않고 전세계 리조트를 여행함에 따라 미국 정부도 러시아 국외에서 체포하기 위한 준비에 들어갔는데, 그 즈음 모로코 여행 중에 발생한 테러로 큰 부상을 입은 셀레즈네프가 러시아 밖으로 나오지 않아 체포가 이루어지지 못했음


Ø 2013년부터 부상에서 회복한 셀레즈네프가 국외 여행을 재개함에 따라 미 사법당국 추적을 재개하였으며 마침내 2014년 몰디브에서 체포할 수 있었음


Ø 체포 이후 셀레즈네프는 너무도 쉽게 유죄 판결을 받게 되었는데, 그가 가지고 다니던 PC 와 스마트폰에 170만 건의 신용카드 번호가 고스란히 증거로 남아 있었기 때문


Ø 사법당국이 암호가 걸려 있는 PC와 스마트폰에서 증거를 손쉽게 찾아낼 수 있었던 것은 셀레즈네프가 야후 이메일과 여러 온라인 서비스에서 이용하던 OCHKO123라는 비밀번호를 PC와 스마트폰에도 동일하게 사용하고 있었기 때문이라고 함


ž 셀레즈네프 사건은 동일한 암호를 여러 곳에 사용하는 것의 위험성을 역설적으로 보여주고 있으며, 간단해 보이는 것이라도 보안 조치를 취하는 것이 쉽지 않음을 보여 줌


Ø 셀레즈네프 사건은 비밀번호 설정과 관련해 가장 빈번히 지적되는 두 가지 취약점을 잘 보여주는데, 하나는 멀웨어 감염의 대상이 된 POS 시스템 등의 기기는 비밀번호가 없거나 너무나 간단히 유추할 수 있는 것이라는 점이고, 또 하나는 동일한 비밀번호를 여러 곳에 쓰는 것임


Ø 미 법무부는 해킹 제국을 유지하기 위해서는 OCHKO123라는 암호를 반복해서 사용해서는 안 된다'라는 유머로 강연을 마무리하였음


Ø 무고한 사람들의 보안 허점을 공격해 불법으로 돈을 벌고 있던 범죄자가 그 자신의 사소한 보안 의식 결여로 인해 유죄 판결을 받은 것은 아이러니라 할 수 있으나, 그 만큼 그 사소한 보안조치를 실행에 옮기는 것이 사실은 매우 어려운 것이라는 점을 새삼 환기시켜 주고 있음