한국인 신용카드 상세 정보
20弗이면 구입…범죄 악용
다크웹 전용 브라우저인 토르를 분석하는 업체인 토르메트릭스는 29일 한국에서 다크웹에 접속하는 이용자가 2016년 말 하루평균 5156명에서 이달 11일 1만5951명으로 세 배 이상으로 급증했다고 밝혔다. 같은 기간 글로벌 접속자도 151만794명에서 290만955명으로 늘었다.
다크웹은 일반적인 인터넷 브라우저로는 접속할 수 없는 암호화된 인터넷망이다. 최근 국내에서 일어난 범죄 중 상당수가 다크웹을 범죄 도구로 활용했다는 분석이 나온다. 검찰과 경찰도 다크웹을 기반으로 마약을 거래하거나 불법 동영상을 유통한 범죄자를 잇달아 검거했다.
금융 관련 개인정보 유출도 심각하다. 한국경제신문은 국내 다크웹 분석 업체인 에스투더블유랩(S2WLab)의 도움을 받아 국내 언론 중 처음으로 한국인 신용카드 불법 정보 거래 정황을 포착했다. 20달러(약 2만3700원)면 신용카드 번호, 유효기간, 카드 고유번호(CVC), 카드 명의자 이름과 주소 등을 구입할 수 있었다. 곧바로 인터넷 해외 결제가 가능한 정보들이다. 한국 위조지폐, 신용카드 불법 복제 기계, 각종 해킹 프로그램 등도 쉽게 구할 수 있었다.
손영동 한양대 융합국방학과 교수는 “다크웹이 한국 사회에 큰 위협이 되고 있다”며 “국내 수사기관의 다크웹 대응 능력을 높여야 한다”고 지적했다.
20달러 주면 한국인 신용카드 정보 구입…원화 위조지폐까지 거래
다크웹이 금융결제시장을 위협하고 있다. 한국인의 신용카드 정보가 무더기로 팔리고 있고, 위조지폐도 거래되고 있다. 불법 정보가 판을 치고 있지만 대응책이 마땅찮다. 전문가들은 금융결제 피해 사례가 점점 더 늘어날 것으로 전망하고 있다.
대놓고 신용카드 정보 판매
다크웹 전문 분석업체인 에스투더블유랩(S2WLab)이 지난 1년간 자체 수집한 4000만 페이지 분량의 다크웹 사이트 정보를 분석한 결과 10곳 이상의 판매자가 한국인의 신용카드 정보를 판매하고 있는 것으로 나타났다. 이른바 신용카드 덤프(credit card dump) 사이트다.
신용카드 발급 국가, 신용카드 종류(비자, 마스터카드 등) 등 다양한 옵션을 선택해 구매가 가능하다. 일부 사이트에서는 신용카드 앞자리 몇 개, 신용카드 회사 등을 제공하면서 고객을 유인하고 있다. ‘신한카드, 532379(앞번호), 마스터카드, 판매 가격 40달러’, ‘KB카드, 540947(앞번호), 마스터카드, 가격 28달러’ 등의 방식으로 관련 정보를 미리 보여준다.
건당 20~50달러면 신용카드 정보를 얻을 수 있다. 결제는 추적이 어려운 비트코인 등 가상화폐로만 가능하다. 구입하면 온라인에서 바로 사용할 수 있다. 복제 신용카드를 만들 수 있는 불법 정보도 제공한다. 카드 사용 인증 절차가 국내보다 까다롭지 않은 해외에서 악용될 수 있는 정보들이다.
서상덕 S2WLab 대표는 “‘credit card dump’ 등 일반적인 검색어만 집어넣어도 수십 개의 불법 거래 사이트가 나온다”며 “은밀하게 이뤄지는 거래까지 합하면 신용카드 정보 거래 규모가 상당할 것”이라고 설명했다.
스웨덴어로 만들어진 다크웹 사이트에선 한국 위조지폐를 팔고 있었다. 이름, 주민등록번호 등 한국인의 개인 정보도 단골 거래 품목이다. 개인 정보는 한 명이 아니라 수백 명 단위로 묶어서 판매하는 게 일반적이다. 현금자동입출금기(ATM)에서 사용할 수 있는 신용카드 불법 복제 기계, 무선 방식으로 신용카드 정보를 탈취하는 복제기, 금융정보 해킹용 악성코드 등도 어렵지 않게 검색이 가능했다.
해외에서도 다크웹 범죄 비상
다크웹 피해 사례는 이미 상당하다. 신용카드 부정사용이 제일 흔하다. 금융감독원에 따르면 2016년부터 지난해까지 3년 동안 신용카드의 해외 부정사용 민원 접수 건수는 7만1310건에 달했다. 피해 규모는 568억8400만원이었다. 이 중 상당수가 다크웹과 관련된 것으로 업계는 추정하고 있다. 최근에는 국내 구형 카드 결제 단말기(POS)가 해킹돼 57만 건에 달하는 신용카드 정보가 유출된 사실을 금융당국이 적발했다.
카드업계 관계자는 “다크웹을 통해 발생한 신용카드 해외 부정 사용 규모만 정확하게 구별해낼 수는 없다”며 “결제 단말기(포스 단말기)를 해킹하거나 신용카드 결제 시 복제한 정보를 불법으로 유통한 것으로 의심하고 있다”고 설명했다.
해외에서도 피해 사례가 꾸준히 보고되고 있다. 러시아의 유명 온라인 보안업체인 그룹아이비(Group-IB)에 따르면 지난해 다크웹에서 판매된 싱가포르 발급의 신용카드 관련 정보는 1만9928건에 달했다. 1년 전보다 56% 증가한 수치다.
미국에서도 신용카드 불법 정보를 악용한 범죄가 증가하고 있다. 지난해 미국 중앙은행(Fed)이 내놓은 보고서에 따르면 온라인 무단 카드 결제(비대면 카드 사용) 사기 규모가 2015년 34억달러(약 4조79억원)에서 2016년 45억7000만달러(약 5조3871억원)로 급증했다.
글로벌 시장조사업체 닐슨은 세계 신용카드 사기 범죄 피해액이 2017년 242억달러(약 28조5221억원)에서 2022년 346억6000만달러(약 41조478억원)로 커질 것으로 우려했다.
김주완/김대훈 기자 kjwan@hankyung.com