Offcanvas
다크 웹에서 팔리는 골드 마크 X(트위터) 계정 1개당 가격
2000
달러
자료 제목 :
다크 웹 골드 러시 : X(트위터) 계정이 위험하다
Gold Rush on the Dark Web: Threat Actors Target X (Twitter) Gold Accounts
자료 출처 :
CloudSEK
원본자료 다운로드
발행 날짜 :
2024년 01월 03일

악성코드

“기업 X 공식 계정 다크웹 판매 늘어··· 계정당 200만원 넘기도” 클라우드섹 연구조사

2024.01.08 Shweta Sharma  |  CSO
금색 체크 마크를 받은 공식 인증된 X 계정이 브랜드 가치와 영향력에 따라 1,200달러~2,000달러(약 158만원~263만원) 가격으로 다크웹에서 판매되는 것으로 나타났다.
 
ⓒ Peter Sayer/Foundry

보안 기업 클라우드섹(CloudSEK)이 3일 발표한 보고서에 따르면, 다크웹 및 소셜 계정 판매 사이트에서 금색 체크 마크를 받은 인증된 X(구 트위터) 계정 판매가 최근 더 늘고 있다.

과거 트위터는 ‘트위터 블루’라는 유료 서비스를 내놓고 광고 노출 제한, 고화질 영상 업로드 같은 혜택을 주는 기능을 제공한 바 있다. 트위터 블루를 구독하는 사용자는 계정 옆에 파란색 체크 마크를 표시할 수 있었다. 개편된 X에서도 비슷한 인증제도를 볼 수 있다. 사용자 주체에 따라 파란색, 금색, 회색 체크마크를 지원하는 것이다.

먼저 월 8달러 지불하는 개인 사용자는 별도의 신원 확인 과정을 거치지 않고 계정 옆에 파란색 체크 마크를 표시할 수 있다. 개인이 아닌 조직이 운영하는 계정의 경우, 월 200달러를 지불하면 인증을 받고 금색 체크 마크를 표시할 수 있다. 정부, 비영리기관, 정치인 등은 계정 옆에 회식 체크를 표시할 수 있다. 이때 별도의 인증 과정을 거치나 비용은 내지 않아도 된다.

현재 다크웹에서 판매가 증가하는 것은 기업 및 조직의 인증 받은 금색 체크 마크가 표시된 ‘골드 계정’이다. 클라우드섹은 다크웹 외에도 텔레그램에서 X 골드 계정을 판매하는 광고가 발견되고 있다고 지적했다. 다시 말해 악성 캠페인이 특정 계정을 대규모로 사용하고 있다는 것이다.

클라우드섹에 따르면, 구매자는 구매한 골드 계정을 활용해 허위 정보, 취업 사기, 암호화폐 사기를 퍼뜨리거나 피싱 웹사이트로 사람들을 유도하여 자격 증명과 PII(개인 식별 정보)를 수집하고 있었다. 클라우드섹의 연구팀은 실제로 금색 체크 마크가 표시된 특정 기업의 X 계정이 회사의 실제 도메인 이름과 유사하지만 웹 주소의 최상위 도메인(TLD)을 바꾸는 식으로 악성 사이트를 만들어 홍보하는 것을 확인했다고 한다.

클라우드섹은 보고서를 통해 “다크웹의 광고를 살펴보니 여러 계정 구매처와 관련 마케팅 파트너(예:페이스북, 텔레그램 등)가 연결된 상태였다”라며 “일부 X 계정 제공업체는 4년 넘게 성공적으로 계정 판매 사이트를 운영하면서 트위터 골드 계정 판매를 홍보했다”라고 밝혔다.

클라우드섹은 구글, 페이스북, 텔레그램에서 기본적인 검색을 통해 이러한 광고를 쉽게 찾아냈다고 밝혔다. ‘트위터 골드 구매(Twitter Gold buy)’라는 키워드를 검색하는 것만으로도 페이스북을 통해 판매되는 다크웹 광고를 볼 수 있었다고 한다.

클라우드섹이 접한 광고에서 X 골드 계정 가격은 계정의 유명도와 영향력에 따라 다르게 책정됐다. 클라우드섹은 보고서에서 “몇몇 광고는 판매하려는 계정의 회사를 공개적으로 언급했으며, 이 계정의 브랜드 영향력과 팔로워 수에 따라 골드 배지가 붙은 계정의 가격은 1,200달러에서 2,000달러까지 다양했다”라고 밝혔다.

인증 계정 외에도 비활성 계정도 다크웹에서 판매되고 있었다. 클라우드섹이 확인한 정보에 따르면, 계정 하나당 35달러로 비활성화된 X 계정 15개를 구매할 수 있었다. 판매자는 매주 15개씩, 연간 720개의 계정을 서로 다른 계정을 제공할 수 있는 수준이었다. 다만 해당 계정은 금색 마크를 받기 위해 구매가 직접 인증 과정을 거쳐야 했다.

탈취 계정 상당수가 ‘휴면’ 계정
불법적으로 판매되는 골드 계정은 2가지 방식으로 탈취되고 있었다. 일단 현재 판매되는 골드 계정 상당수는 휴면 계정이다. 보통 2022년부터 사용되지 않고 버려진 조직 계정이었다. 판매자는 보통 오픈불렛(OpenBullet), 실버불렛(SilverBullet), 센트리MBA(SentryMBA)와 같은 크리덴셜 스터핑 도구를 사용하여 휴면 계정의 아이디와 비밀번호를 무차별로 대입하여 계정을 탈취하고 있었다. 이때 복구 이메일과 연락처 정보를 변경하여 계정을 완전히 탈취한 후, 직접 유료 구독료를 지불하고 계정을 골드 상태로 전환한 후 판매하고 있었다.

탈취 멀웨어를 활용하여 로그인 정보를 알아내는 수법도 많이 사용되고 있었다. 탈취한 로그인 정보를 기반으로 무차별 대입 방법을 사용하여 로그인에 성공하는 것이다. 이렇게 해킹된 계정은 매물로 올라오며 필요에 따라 골드 계정으로 전환된다.

보고서에 따르면, 휴면 계정을 활용하는 첫 번째 방식은 어느 정도 기술적 정교함이 필요하다. 두 번째 방식은 널리 사용되는 멀웨어의 로그가 많기에 구현하기가 더 쉽다. 구매자 입장에서는 첫번째 방식으로 얻은 계정을 더 선호했다. 멀웨어로 감염된 계정은 다크웹에서 계속 판매될 수 있지만, 첫 번째 방식으로 얻은 계정은 어느 정도 관리의 독점권을 얻을 수 있기 때문이다.  

클라우드섹은 조직의 X 계정이 함부로 도용되는 것을 방지하기 위해 장기간 휴면 상태인 기업 계정을 없애고 외부 해킹이 의심되는 경우 높은 보안성을 가진 비밀번호로 바꿔 적용하라고 조언했다.
ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.