이랜드에서 해킹당한 카드 정보 200만개 다크웹에서 뿌리는 중
3일부터 순차적으로 10만개씩 올라 올 것으로 예상돼
이랜드그룹이 해결할 선 넘어…금융기관의 빠른 대처 필요해
NSHC “최초 탐지해 카드사별 분류…금융기관 요청시 적극 협력”
랜섬웨어 공격 갱단 클롭(Clop)조직이 드디어 오늘3일 부터 자신들이 약속한대로 이랜드그룹에서 탈취한 것으로 보이는 카드정보 10만개를 자신들이 운영하는 다크웹 사이트에 공개하기 시작했다. 이제는 이랜드그룹 보다는 국내 카드사에서 고객들의 2차 피해가 발생하지 않도록 신속한 조치를 취해야 할 타이밍이다.
토르 브라우저로 접속해 클롭 갱단의 사이트를 확인한 결과 ‘FIRST 100k TRACK2 CREDIT CARD RECORDS DOWNLOAD’라는 문구와 함께 다운로드를 클릭하면 10만개의 카드정보가 평문으로 보여진다.
클롭 랜섬웨어 갱단은 3일 브리핑컴퓨터와 인터뷰에서 “이미 1년 전에 이랜드 네트워크를 침해했다. POC 악성코드를 설치하고 1년간 그대로 두면서 조용히 신용카드 정보를 훔쳐왔다. 물론 해독된 정보들이다. 그 결과 200만개 한국인 신용카드 정보에 대한 트랙2 데이터를 훔칠 수 있었다”고 밝혔다.
POS 악성코드는 신용카드 거래가 발생할 때 POS 단말기의 메모리를 스캔하는 데 사용된다. 신용카드 데이터가 탐지되면 악성코드는 신용카드 정보를 트랙1 또는 트랙2 데이터로 복사해 공격자 서버로 다시 전송한다.
클롭 갱들이 훔쳤다고 주장하는 신용카드는 신용카드 번호, 만료 날짜 및 기타 정보를 포함하는 트랙2 데이터 형식이다. 하지만 신용카드 CVV 코드가 포함되어 있지 않다. 이들은 매장 내 구매를 위해 가짜 신용 카드를 만드는 데만 사용할 수 있을 것으로 보인다.
한편 클롭 갱단은 오늘부터 지속적으로 매일 10만개씩 훔친 카드정보를 공개할 것으로 보여 심각한 상황이다. 이 정보는 인텔리전스 전문기업 NSHC가 최초 탐지했다.