제네시스 스토어는 현재 6만 개에 달하는 도난 프로필 패키지를 미화 5~2,000달러에 판매하고 있다. 여기에는 브라우저 지문인식, 웹사이트 사용자의 로그인 정보와 비밀번호, 쿠키 정보, 신용카드 정보 등이 포함되어 있다.
구매자는 특정 웹 사이트, 피해자의 국가, 운영체제, 또는 프로필이 다크넷 마켓에 처음 올라간 날짜의 로그인 정보 및 비밀번호를 필터링할 수 있게 해주는 검색 패널을 통해 프로필을 쇼핑할 수 있다.
카스퍼스키의 세르게이 로즈킨 선임 보안연구원은 최근 싱가포르에서 열린 보안 애널리스트 서밋에서 “악당들이 구매하는 작은 패키지인데 이제 당신도 그 악당이 될 수 있다”고 밝혔다.
이로 인한 잠재적인 피해는 상당할 것으로 우려된다. 합법적인 온라인 쇼핑객과 사기범을 구별하기 위해 사기 방지 시스템은 통상 쇼핑객의 디지털 지문을 인증하는 메커니즘을 사용한다. 이 '지문'에는 사용자의 기기에 저장된 100개가 넘는 속성들이 들어있을 수 있다. 예를 들어, IP주소(외부 및 로컬), 화면 정보(화면 해상도나 창 크기 등), 펌웨어 버전, 운영체제 버전, 설치된 브라우저 플러그인, 시간대 등이 전부 담겨있을 수 있다.
카드가 과거에 사용했던 기기와 동일한 기기에서(그리고 동일한 지문으로) 사용된다면 결제에는 아무런 문제도 없다.
로즈킨은 “마스크 뒤에 숨어있는 사용자는 합법적인 사용자로 인식되고 제공된 은행 카드를 이용한 구매 시도와 같이 그 사용자의 쿼리도 승인될 것이다“고 말했다.
로즈킨에 따르면, 기기를 모방한 도용이 더욱더 쉽게 이뤄지도록 제네시스 스토어는 사용자들이 도난당한 디지털 프로필을 자신들의 브라우저에 설치하여 ‘단 한 번의 마우스 클릭’으로 ‘피해자의 도플갱어’가 될 수 있도록 해주는 플러그인(크롬 브라우저에서 구동됨)도 제공하고 있다.
제네시스 스토어의 소유자들은 자신들이 만든 악성코드를 통해서만이 아니라 봇넷 소유자들에게 누락된 정보를 요청함으로써 상당량의 카드 세부정보를 모았다고 로즈킨은 덧붙였다.
“그들은 정보를 사기도 하고 되팔기도 한다. 그들은 리셀러인 셈이다”라고 로즈킨은 말했다.
제네시스 스토어는 카드 정보를 번들로 구입하고 싶어 하지 않는 구매자들을 위해 자체 지문 생성기도 제공한다. 지문생성기를 사용하면 사기방지 시스템에 완전히 걸리지 않는 것은 아니더라도 하나의 기기에서 여러 개의 신분을 가지고 여러 장의 카드로 구매하는 것보다는 의심받을 가능성이 작다.
로즈킨은 유사한 방법으로 운영되는 ‘더욱 은밀한’ 마켓플레이스들이 훨씬 많을 것이라고 설명했다.
“이러한 마켓은 반쯤은 공개된 상태라고 보면 된다. 판매하는 정보가 아주 많기 때문이다. 그러므로 악당들은 더 많은 사람이 그러한 마켓의 존재를 알게 되기를 바란다. 전체 마켓플레이스를 놓고 보자면 빙산의 일각에 불과하다”라고 그는 말했다.
대부분의 전자상거래 사이트들과 은행들이 온라인 구매 시 이중인증절차를 요구한다는 점에서 그나마 호주 소비자들은 다행인 셈이며, 온라인 쇼핑 시 이중인증절차가 표준이지 않은 미국과 캐나다의 소비자들이 가장 위험하다고 로즈킨은 덧붙였다.
“미국의 많은 스토어는 아무것도 요구하지 않는다. 하지만 은행에 의존하고는 있다. 악당들은 은행들이 [이중인증] 시스템을 사용하지 않는다는 것을 알고 있다. 그래서 정확한 신용카드 정보 하나만을 구매하려고 노력한다”고 그는 말했다.
그 자신이 카드도용의 피해자이기도 했던 로즈킨은 은행카드를 사용하는 거래 시 이중인증절차는 “절대적으로 필요”하며 “최상의 해결책”이라고 말했다.
그는 “온라인으로 노트북을 살 때 이중인증절차가 구비되어 있어야 한다. 그 다음 노트북용 가방을 다시 온라인으로 살 때에도 이중인증절차를 이용해야만 한다”고 강조했다.
러시아 내무부의 요청으로 온라인 카드 사기를 조사한 적이 있었던 로즈킨은 일부 은행들이 이중인증절차를 의무적으로 도입하지 않는 궁극적인 이유는 고객을 잃을 수 있다는 우려 때문이라고 밝혔다.
“신용카드로 온라인 쇼핑을 하는 사람들은 아주 많다. 은행이 이들에게 이중인증을 사용하라고 강제하고 사용법을 교육하는 것은 어려운 일이다. 소비자들은 그냥 자신들의 카드번호만을 입력하고 끝내기를 원하기 때문이다”라며 그는 다음과 같이 말을 이었다.
“은행들로서는 고객들을 교육하는 것보다 사기로 돈을 조금 잃는 것이 더 나을지 모른다. 고객을 잃고 싶어 하지 않기 때문이다.”
한편, 지난달 호주 연방경찰은 개인정보인 크리덴셜을 판매하는 웹사이트를 운영한 것으로 의심되는 한 시드니 남성을 체포해서 기소했다고 밝혔다. ciokr@idg.co.kr