“실시간 위협 인텔리전스 통해 유출 징후를 조기에 식별하고, 이를 바탕으로 계정 폐기, MFA 적용, 교육 등의 후속 조치를 신속히 취해야"
데일리시큐 주최 국내 최대 사이버위협 인텔리전스 컨퍼런스 ‘K-CTI 2025’가 4월 15일 화요일 서울 한국과학기술회관에서 성황리에 개최됐다. 이번 행사에는 700여 명 이상의 공공, 금융, 기업 정보보호 담당자들이 참석해 최신 사이버 위협 인텔리전스 동향과 대응 전략을 공유했다.
이날 레코디드퓨쳐(Recorded Future) 윤광택 상무는 ‘다크웹 계정 유출, 무엇이 중요한가?’를 주제로 발표를 진행하며 다크웹에서 유통되는 유출 계정의 실태와 위협 요소, 그리고 인텔리전스를 활용한 대응 방안을 상세히 소개했다.
◆계정 유출이 침해사고의 핵심…“신원 기반 보안 강화 필요”
윤 상무는 먼저 “Verizon의 2024년 침해사고 조사 보고서에 따르면, 전체 침해사고 중 자격 증명(Credentials) 탈취가 가장 많은 비중을 차지하고 있다”며, 기존의 다단계 보안 모델(Layered Security Model)에서 제로트러스트(Zero Trust) 모델로의 전환이 필수적임을 강조했다. 특히 이 모델에서 가장 핵심이 되는 것이 ‘신원(Identity)’이며, 계정 보안이야말로 사이버 공격의 첫 방어선이라는 점을 강조했다.
◆다크웹 속 계정 거래 실태…“5달러에 도메인 로그인 정보까지 거래”
다크웹에서는 'Crasty_bro' 같은 공급자가 인포스틸러 악성코드를 통해 탈취한 VPN, RDP, 시트릭스 계정 정보를 게시하고 판매하고 있다. 발표에서는 실제 다크웹 포럼 ‘XSS’에 올라온 게시글, ‘849,960명의 고객정보를 2,000달러에 판매’, ‘도메인 로그인 정보 975건을 10달러에 판매’한 사례가 공개됐다.
판매되는 계정 정보는 단순 ID/PWD 쌍을 넘어, 도메인 정보, 쿠키, 세션 정보, 브라우저 지문 등도 포함되어 있어 쿠키 인증 기반의 시스템도 쉽게 우회가 가능하다. 특히 유출된 계정의 약 40%는 쿠키 인증 정보까지 포함되어 있는 것으로 나타났다.
◆인포스틸러 감염 통해 기업 내부로 침투…“악성코드 유입 경로 차단 시급”
윤 상무는 스틸러 악성코드가 감염되면 피해자의 시스템에서 로그인 계정, 쿠키, 저장된 로그인 정보, 브라우저 지문까지 모두 유출된다고 설명했다. 대표적인 악성코드인 Meta Stealer와 RedLine Stealer의 감염 사례도 소개됐으며, 이들 정보는 Combo Dump 형태로 다크웹에 유포되거나 판매된다.
실제 레코디드퓨쳐(Recorded Future) 조사에 따르면, 2022년 RedLine Stealer 감염 후 이틀 만에 유출 계정을 탐지한 사례도 있었다. 유출 계정은 domain.com과 같은 기업 도메인을 포함하고 있었으며, 피해자 IP 조회 결과 157개 이상의 도메인 계정이 유출된 것이 확인됐다고 전했다.
◆보안 인텔리전스 통한 선제 대응 강조…“감염 후 48시간 내 탐지가 핵심”
윤 상무는 다크웹에서의 유출 정보를 조기에 탐지하고 경고하는 것이 피해 확산을 막는 핵심이라고 강조했다. 특히 레코디드퓨쳐는 ‘Stealer > Malware Combo > Dump’ 순서로 유출되는 계정을 사전 탐지하고 기업에 통지하는 시스템을 운영 중이며, 보통 다크웹 유포 5개월 전에 탐지되는 경우도 있다고 밝혔다.
이어 “이제는 단순한 보안 솔루션만으로는 부족하다. 실시간 위협 인텔리전스를 통해 유출 징후를 조기에 식별하고, 이를 바탕으로 계정 폐기, MFA 적용, 교육 등의 후속 조치를 신속히 취해야 한다”고 강조했다.
◆“우리 회사 계정도 다크웹에 유출됐을 수 있다”…무료 탐지 서비스 제공
강연에서는 실제 레코디드퓨쳐의 계정 유출 확인 서비스를 무료로 이용할 수 있는 링크도 공유됐다. 윤 상무는 “지금 이 순간에도 누군가의 계정이 다크웹에서 거래되고 있다. 우리 조직의 계정도 예외는 아닐 수 있다”며 모든 보안 실무자들이 다크웹 위협에 대한 경각심을 가져야 한다고 강조했다.
좀더 상세한 윤광택 본부장의 K-CTI 2025 강연은 아래 영상을 참고하면 되고 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
![[K-CTI 2025] 시놀로지, 기업 데이터 생명주기 전반 아우르는 보안 전략 제시(영상)](https://www.dailysecu.com/news/photo/202504/165468_193869_824.jpg)
![[K-CTI 2025] 넷위트니스 박지원 부장 “위협 헌팅, 조직의 보안 역량 향상 위한 강력한 도구”](https://www.dailysecu.com/news/photo/202504/165467_193867_4159.jpg)
![[북스&]CIA도 투자한 '제2 테슬라'…팔란티어 혁신 전략을 보다](https://newsimg.sedaily.com/2025/04/18/2GRKJPW2RZ_1.jpg)