수집 #1 데이터 유출 배후 위협 행위자 식별

수집 #1 데이터 유출 배후 위협 행위자 식별

Executive Summary

2019년 1월 17일, 보안 전문가 트로이 헌트(Troy Hunt)는 1,160,253,228개의 고유한 이메일 주소와 해당 비밀번호 조합을 포함한 데이터 유출 자료인 “Collection #1”을 공개했습니다 . 총 772,904,991개의 고유 이메일 주소와 21,222,975개의 고유 비밀번호가 발견되었습니다. 그 후, 1월 31일 PCWorld는 하소 플래트너 연구소(Hasso Plattner Institute)의 연구진이 Collection #1 데이터 유출 사건과 연관된 추가로 6억 1,100만 개의 자격 증명을 발견했다고 보도했습니다.

레코디드 퓨처는 2019년 1월 19일에 전체 덤프를 분석한 결과, 컬렉션 #1에 포함된 계정 인증정보 중 상당수가 이전에 발생한 다양한 데이터 유출 사고에서 비롯되었으며, 그 중 일부는 2~3년 전의 것으로 새로 유출된 계정은 포함되지 않았음을 확인했습니다.

여러 위협 행위자가 데이터의 출처라고 주장하며 다크 웹을 통해 이러한 데이터베이스를 배포하고 있었으며, 그 중에는 위협 행위자 "Clorox"도 포함되어 있습니다. 그러나 레코디드 퓨처는 컬렉션 #1의 최초 제작자이자 판매자가 "C0rpz"라는 배우라고 어느 정도 자신 있게 평가하고 있습니다. 러시아의 유명한 해킹 포럼의 또 다른 공격자는 1,000억 개의 사용자 계정으로 구성된 대규모 데이터베이스를 공유하는 것이 관찰되었는데, 이 데이터베이스에는 컬렉션 1에서 발견된 것과 동일한 데이터 세트가 있을 수 있습니다.

위협 분석

인식트 그룹은 2019년 1월 17일 Clorox가 파일 공유 서비스 MEGA에서 호스팅되는 별도의 데이터베이스에 7개의 URL을 게시한 포럼 게시물을 발견했습니다. 아래 나열된 7개 데이터베이스에는 이메일 주소와 비밀번호, 사용자 아이디와 비밀번호, 휴대폰 번호와 비밀번호 등 세 가지 사용자 인증 정보가 포함된 총 993.53GB의 데이터가 포함되어 있었습니다.

포럼 게시물에서 클로록스는 트로이 헌트의 기사"7억 7,300만 건의 'Collection #1' 데이터 유출"에 링크를 걸며, 트로이 헌트가 보유한 데이터베이스가 불완전하며, 다크 웹에서 Collection #1로 알려진 원본 데이터 덤프의 일부에 불과하다고 주장했습니다. 또한 클로록스는 원래 데이터 덤프가 다른 포럼에서 다른 당사자에 의해 판매되고 있었으며, 해당 당사자가 MEGA에 호스팅된 다른 URL에 저장된 원본 파일을 삭제했다고 밝혔습니다. 클로록스(Clorox)에 따르면, 트로이 헌트(Troy Hunt)는 해당 개인이 삭제하지 않은 데이터베이스 중 하나를 다운로드할 수 있었으며, 해당 개인은 그 후 곧바로 해당 데이터를 삭제했습니다.

추가 분석 결과, C0rpz라는 닉네임을 사용하는 또 다른 개인이 2019년 1월 7일 이미 Collection #1의 원본 창작자이자 판매자라고 주장한 것으로 확인되었습니다. C0rpz는 또한 다른 포럼 회원인 “Sanix”가 그들로부터 Collection #1을 구매한 후 다른 포럼 회원들에게 재판매하려고 시도했다고 밝혔습니다. Sanix는 브라이언 크레브스가 기사 "773M 비밀번호 '메가브레이크'는 수년 전 사건"에서 지목한 개인이며, 우리 분석 결과 이 개인이 C0rpz가 원래 생성한 데이터베이스를 판매하려 시도한 동일한 인물임이 확인되었습니다. Sanix는 이후 포럼에서 영구적으로 차단되었으며, C0rpz는 커뮤니티에 MEGA를 통해 Collection #1을 무료로 공유하는 링크를 게시했습니다.

레코디드 퓨처는 컬렉션 #1의 또 다른 소스를 발견했습니다. 2019년 1월 10일, 러시아어를 사용하는 유명 해커 포럼의 한 활동가가 개인 웹사이트에 호스팅된 1,000억 개의 사용자 계정이 포함된 데이터베이스에 대한 자석 링크와 직접 다운로드 링크를 모두 게시했습니다. 그 다음 주에는 트로이 헌트의 글에 언급된 데이터 덤프가 자신들의 덤프에도 포함되어 있음을 분명히 했습니다.

전망

레코디드 퓨처는 데이터베이스 컬렉션 #1과 그 변종이 다크 웹 커뮤니티에서 계속 공유되고 다양한 위협 행위자의 크리덴셜 스터핑 공격에 사용될 것이라고 높은 확신을 가지고 평가합니다. 그러나 컬렉션 #1에 포함된 계정 인증정보 중 상당수는 이전에 발생한 다양한 데이터 유출 사고에서 나온 것이며, 그중 일부는 2~3년 전에 유출된 것입니다. 이번 유출로 인해 피해를 입은 많은 사람들이 이미 비밀번호 변경을 요구받았을 가능성이 높습니다.

개인은 노출된 이메일 주소나 휴대폰 번호를 노리는 피싱 공격에 대비해야 합니다. 기존 고객은 자세한 내용을 알아보려면 레코딩된 미래 인텔리전스 서비스 컨설턴트에게 문의할 수 있습니다.