보안 / 프라이버시

애슐리 매디슨 협박으로 2만 달러를 갈취한 사기 행각 추적

Steve Ragan | CSO 2015.10.27
지난 9월부터 필자는 유출된 애슐리 매디슨(Ashley Madison) 이메일 목록을 대상으로 사기 행각을 벌이고 있는 해외 사기꾼 일당의 갈취 활동을 추적해왔다.

이들이 보낸 이메일은 대부분 데이터를 노출시키겠다고 협박하는 내용이었으며, 이 외에도 DDoS를 실행하겠다는 위협과 정부 지원금 수령을 도와주겠다는 내용도 있었다.

이 사기꾼 일당은 사기 행각을 통해 지금까지 2만 달러 이상을 벌어들였고 지금도 계속 이메일을 보내고 있다. 좀더 자세히 알아보고자 하는 이들을 위해 이 사기 행각의 전체적인 개요와 기타 기술적인 데이터를 정리했다.

9월 22일, 필자가 여러 용도로 사용하는 한 이메일 주소에 이 일당의 첫 이메일이 배달됐다. 이 이메일 주소는 CSO가 2014년 애슐리 매디슨을 대상으로 한 갈취 사건을 조사하기 위해 사용했던 주소 가운데 하나였다.

이 메시지는 단도직입적이었는데, 가감없이 옮기자면 다음과 같다.

"불행히도 최근 애슐리 매디슨 해킹에서 당신의 데이터가 유출되었다. 지금 나는 당신의 정보를 갖고 있다. 사용자 프로파일을 사용해 당신의 페이스북 페이지도 찾았고, 나는 이 페이지를 사용해 이제 당신 친구와 가족에게 메시지를 보낼 수도 있다."

"친구와 가족(그리고 회사 고용주)에게 이 추잡한 정보가 전달되지 않도록 하려면 다음 비트코인(BTC) 주소로 1비트코인을 보내야 한다…."


"왜 비트코인을 보내야 하는지, 다른 사람이 똑같은 위협을 하지 않는다고 어떻게 확신할 수 있는지 등이 궁금할 것이다. 간단히 말하자면, 다른 사람이 친구/가족 목록을 볼 수 없도록 페이스북에서 개인정보 설정을 변경하면 된다. 지금 당장 설정을 업데이트해서 더 이상 이와 같은 이메일을 받지 않도록 하라. 당신이 돈을 보내지 않을 경우를 대비해 나는 이미 복사본을 준비해뒀다."

이 메시지는 3일 내에 돈을 보내지 않으면 해당 정보를 친구 또는 가족에게 보내겠다고 경고했다. 송금이 이루어진 주소(비트코인 지갑)는 37비트코인이 모이자 인출됐다. 미화 1만 달러에 상당하는 금액이다.

1주일 뒤(10월 4일), 이 사기꾼 일당은 비슷한 메시지를 보냈지만 이전의 사무적인 어조에서 인생을 망칠 수도 있다는 투의 더 위협적인 어조로 바뀌었다. 이 메시지는 비트코인을 구매하는 방법(LocalBitcoins.com을 사용하는 방법)을 안내하면서 데이터 몸값도 1비트코인에서 2비트코인으로 높여 요구했다.

"우리에게 연락을 하는 것은 자유지만 그럴 필요는 없다. 돈만 보내면 우리는 사라질 것이다. 그러나 우리를 무시하고 정해진 시간 내에 돈을 보내지 않는다면 협박을 바로 행동으로 옮길 것이다."

"경찰에 신고하고 싶다면 얼마든지 해도 좋다. 그러나 아무 도움도 되지 않을 것이다. 우리는 아마추어가 아니다. 경찰이 기껏 할 수 있는 일은 사건을 공개하는 것이고, 우리는 공짜로 홍보를 하게 되니 좋다. 그러나 당신은 심각한 피해를 입게 될 것이다. 한 번만 지불하면 된다. 돈을 보내면 두 번 다시 당신에게 연락하지 않을 것이다!"


두 번째 협박 시도에서 문제의 비트코인 지갑에는 19비트코인이 모였고 그 가운데서 18비트코인(미화 5,000달러 상당)이 인출됐다. 2일 후인 10월 6일에도 똑같은 메시지가 왔고, 10월 8일에 다시한번 메시지가 왔다.

10월 9일에는 처음 메시지의 친근한 어조로 돌아간 또 다른 메시지가 애슐리 매디슨 목록으로 발송됐다. 요구한 돈은 1비트코인. 이번에도 비트코인 지갑에는 총 19비트코인(미화 4,900달러)이 입금됐다.

10월 11일과 12일에는 전략을 바꿔 10비트코인을 지불하지 않으면 400G~500Gbps의 DDoS 공격을 감행하겠다고 위협했다. 그러나 이전과 달리 이번에는 1비트코인도 받지 못했다.

마지막 DDoS 메시지가 발송되고 하루가 지난 10월 13일, 이 사기꾼 일당은 정부 학생 지원금 프로그램에 대해 대화를 나누자며 전화를 걸라고 요구했다. 이 전화 회선은 미국 동부 표준시각으로 오후 8시~9시 사이에만 통화가 가능했다.

10월 15일에는 세부적인 데이터가 공개되지 않도록 하려면 1비트코인을 보내야 하고, 48시간 내에 보내지 않을 경우 금액은 5비트코인으로 늘어난다는 내용의 이메일을 보냈다.

기한은 7일이었다. 사용된 비트코인 지갑은 10월 4일 이메일에 사용한 것과 동일했다. 메시지는 기한 내에 비트코인을 지불하지 않으면 "당신이 바람을 피웠다는 비밀을 알아서는 안 되는 사람들의 손에 모든 구체적인 정보가 들어가게 될 것"이라고 위협했다.

10월 15일에도 이전과 똑같은 내용의 메시지를 보냈지만 반응이 거의 없어서 메시지 발송 하루 뒤 모인 금액은 1비트코인뿐이었다.

필자가 받은 마지막 메시지는 10월 19일에 발송된 메시지다. 이 메시지는 48시간 내에 2비트코인을, 그 이후에는 5비트코인을 요구했다. 이메일에 언급된 비트코인 지갑은 생성된 후 한 차례만 지불이 이뤄졌다.

애슐리 매디슨 사기꾼들이 사기 행각을 벌이기 시작한 이후 몇 명의 사람들이 온라인에서 이 사기에 대해 토론했는데, 그 가운데에는 자신이 성인 사이트에 관련되었음을 공개적으로 밝히고 이들의 갈취 이메일을 옮긴 한 블로거도 있었다.

사법 기관들도 수사에 나섰다. 스페인 경찰은 수십 건의 신고를 조사했으며, 스페인 중앙 수사 본부 소속 수사관들은 21일 미국 FBI, 캐나다 경찰과 공조를 통해 협박범들의 위치를 찾고 있다고 밝혔다.

문제의 이메일을 보내고 있는 이메일 주소는 AOL 계정에 sharingservices다. 이 이메일 주소는 위조된 것이며, 회신해봤자 사용되지 않는 편지함으로 연결된다.

이 사기꾼 일당은 스스로 DD4BC라고 주장했는데, 이것이 사실이라면 그동안 은행, 출판사, 금융 기관 등 공공 분야를 대상으로 한 탈취 및 DDoS 공격 전력이 있는 그룹이다. 이 그룹은 2014년 7월에 처음 드러났으며 이후 계속 활동해왔다. 마지막 활동 시점은 지난 8월이다.

이 일당이 사용한 BTC 지갑은 다음과 같다.
- 9월 22일: 1AEJiZFnELwRZVjmVSvDSwUaXNZy4X9bQN
- 10월 4일: 1CNrUCKbuHc1RS9XtWxCVbLHMuvhqwkedH
- 10월 6일: 1CNrUCKbuHc1RS9XtWxCVbLHMuvhqwkedH
- 10월 8일: 1CNrUCKbuHc1RS9XtWxCVbLHMuvhqwkedH
- 10월 9일: 1MZBtduhBBz8Ha5ri1brqwTtCQeSmLGdeM
- 10월 11일: 1EqwTAMgw8RtdGpWSFnsW5AdeM7RGVaKrZ
- 10월 12일: 1EqwTAMgw8RtdGpWSFnsW5AdeM7RGVaKrZ
- 10월 13일: 학생 지원금 사기 메시지(888-554-9076)
- 10월 15일: 1MZBtduhBBz8Ha5ri1brqwTtCQeSmLGdeM
- 10월 16일: 1UQRGEBsxcx64tpxRgmGwJ5K8jtVKW1Xu
- 10월 19일: 1b6o5NanAkdPyUzEXzrZQaNN5x1rXWgvT

이번 사기와 관련해 이메일을 받았다면 무시하라. 더 중요한 점은 돈을 지불하지 않는 것이다. 돈을 주면 이들은 사기 행각을 앞으로도 계속 이어가게 될 것이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.