라쿤, 비다, 레드라인 등 악명 높은 정보 탈취 멀웨어들이 챗GPT 크리덴셜을 물어다 다크웹으로 나르고 있다. 이미 요 몇 개월 동안 10만 개 이상이 탈취됐다. 정보 탈취형 멀웨어들의 은밀한 활동에 속수무책으로 당하고 있다.
[보안뉴스 문가용 기자] 다양한 정보 탈취형 멀웨어가 지난 한 해 동안 활발히 활동했고, 그 결과물들인 각종 정보들이 다크웹에 끊임없이 유통되고 있다. 그런데 어느 순간부터 그 정보들 속에 챗GPT 계정의 크리덴셜이 섞이기 시작했다. 약 10만 대의 장비에서 정보 탈취형 멀웨어들을 통해 챗GPT 계정 정보가 유출되었다는 조사 결과가 발표됐다.
![[보안뉴스 / 6.21.] 어느 새 다크웹의 인기 아이템이 된 챗GPT 크리덴셜, 정보 탈취 멀웨어가 문제](http://www.boannews.com/media/upFiles2/2023/06/192749410_3913.jpg)
[이미지 = gettyimagesbank]
정보 탈취형 멀웨어는 이름 그대로 기기 정보, 쿠키, 브라우저 히스토리, 문건 등 거의 모든 유형의 정보를 훔치는 기능을 가지고 있다. 해커들은 이런 정보들을 탈취한 후 그 정보를 활용해 추가 범죄를 저지르기도 하지만 다크웹에 있는 그대로 판매해 수익을 거두기도 한다. 다크웹에는 이런 식의 거래를 활성화시키는 온라인 시장들이 여럿 존재한다.
2022년 6월부터 지난 달까지 보안 업체 그룹IB(Group-IB)는 다크웹에서 판매되고 각종 정보들 중 챗GPT 크리덴셜을 솎아내기 시작했고, 총 101,134개를 발견할 수 있었다고 한다. 대부분(78,348개) 라쿤(Raccoon)이라는 악명 높은 정보 탈취 멀웨어로부터 추출된 것으로 분석됐다. 라쿤은 2019년 처음 발견됐으며, 작년 초까지 전성기를 누렸다. 개발자가 사망하면서 주춤했다가 3개월 후 더 강력한 성능을 가지고 부활했다.
비다(Vidar)라는 또 다른 정보 탈취 멀웨어로부터 추출된 챗GPT 크리덴셜은 12,984개, 레드라인(Redline)이라는 정보 탈취 멀웨어로부터 추출된 건 6,773개였다. 비다와 레드라인 모두 다크웹에서 인기가 매우 높은 멀웨어들이다.
챗GPT 크리덴셜을 유출시키고 있던 10만개 장비들을 위치별로 구분했을 때 다음과 같은 결과가 나왔다.
1) 북미 : 5,000개 미만
2) 인도 : 12,632개
3) 파키스탄 : 9,217개
4) 브라질 : 6,531개
5) 베트남 : 4,771개
6) 이집트 : 4,558개
지금의 발견, 빙산의 일각일 뿐
지난 12월 챗GPT라는 것이 처음 대중에게 알려졌을 때 다크웹에 등장한 챗GPT 크리덴셜은 2,766개였다. 그러더니 1월에는 11,000개를 넘어섰고, 2월에는 1월의 2배를 넘어섰다. 5월이 되면서 챗GPT 크리덴셜은 26,802개가 됐다. 챗GPT 크리덴셜에 대한 수요와 공급이 다크웹에서 꾸준히 높아지고 있다는 뜻이다.
그러나 보안 업체 벌칸사이버(Vulcan Cyber)의 기술 엔지니어 마이크 파킨(Mike Parkin)은 “우리의 시선이 챗GPT 크리덴셜에 머물러 있으면 안 된다”고 말한다. “그 크리덴셜이 외부로 새나오게 한 근본 이유인 정보 탈취형 멀웨어에 집중해야지요. 이 멀웨어들은 공격자들 사이에서는 매우 유명하지만 사용자들이나 정보 보안 전문가들 사이에서는 그렇지 않습니다. 랜섬웨어 같이 이목을 끌지 않기 때문입니다. 하지만 핵심 자산이 될 만한 것은 정보 탈취 멀웨어들이 빼갑니다. 무슨 말입니까? 우리는 공격자들이 시끄럽게 소리를 내는 쪽에 지나치게 집중하고, 물밑에서 벌어지는 일은 잘 알아채지 못하거나, 알아채도 별 다른 관심을 갖지 않는다는 겁니다. 이런 현상이 고쳐지지 않는다면 우리는 계속 정보를 빼앗길 수밖에 없습니다.”
파킨의 지적은 뼈아프다. “정보 탈취형 멀웨어에 대한 탐지 능력을 강화하지 않는다면 보안은 항상 뒷북을 칠 수밖에 없습니다. 이미 중요한 파일들을 다 빼앗기고, 그 파일이 다크웹에 유통되고 나서야 알아챈다는 것이지요. 중요한 문서든, 개인정보든, 시스템 설정 파일이든, 지적재산이든 할 것 없이 말입니다. 정보 탈취형 멀웨어에 대한 탐지 능력이 좀 더 키워져야 합니다. 물밑에서 정말 큰 피해를 일으키는 건 바로 이런 멀웨어들이니까요.”
3줄 요약
1. 정보 탈취형 멀웨어들, 활발히 활동하며 챗GPT 크리덴셜도 상당 수 유출시킴.
2. 다크웹에서 거래되는 챗GPT 크리덴셜만 현재 10만 개가 넘음.
3. 은밀한 멀웨들의 움직임을 탐지하는 능력이 좀 더 강화되어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.21.] 어느 새 다크웹의 인기 아이템이 된 챗GPT 크리덴셜, 정보 탈취 멀웨어가 문제](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
