다크웹에서 거래되고 있는 말레이시아 신용카드 데이터 분석 보고서
알림
“다크웹에서 거래되고 있는 말레이시아 신용카드 데이터 분석 보고서”는 서론, 다크웹에서 거래되고 있는 말레이시아 신용카드 데이터에 대한 개요, 말레이시아 신용카드 BIN 분석 그리고 제언 및 결론으로 구성되어 있다. 내용 중 일부는 사실 관계를 확인할 수 없는 것도 있음을 미리 밝힌다.
1) 서론
(1) Carding 이란?
Carding이란 신용카드의 거래 및 무단 사용을 일컫는 용어다. 사이버 범죄자들이 획득한 신용카드 정보와 개인 데이터는 주로 다크웹에 있는 카딩(Carding) 포럼과 마켓에서 거래된다. 주로 거래되는 품목은 전자상거래 사이트 해킹, 피싱, 스키밍 등으로 절취한 신용/직불카드 데이터이다. 이러한 포럼과 마켓은 암호화 메신저인 텔레그램과 다크웹 포럼 등 다양한 경로에 위치하고 있으며, 신규 회원 가입 시 검증 과정과 추천인 제도를 운영한다. 일부 마켓은 다크웹과 텔레그램에서 무료 카드 정보를 공개하는 프로모션을 진행해 악명을 높이고 새로운 회원의 가입을 끌어들이기도 한다.
(2) 신용카드 데이터 유출의 문제점 및 그로 인한 영향
Carding 포럼과 마켓에서 거래 시에는 주로 비트코인 (BTC), 모네로(XMR) 등 프라이버시 기능이 강화된 암호화폐가 결제 수단으로 이용된다. 유출된 신용카드 정보는 “카드번호|유효기간|CVV” 형태가 일반적이며, 개인정보(이름, 주소, 전화번호, 이메일 주소 등)가 포함된 경우도 있다. 이로 인해, 금융사기, 부정거래, 자금세탁 등 다양한 경제 범죄에 악용될 수 있으며, 개인정보 유출로 인한 신원도용 등 2차 피해도 발생할 수 있다. 따라서, 이렇게 불법적으로 거래되고 있는 신용카드 정보는 선제적으로 확보해 카드 정지 또는 모니터링 강화 등의 방법으로 대응이 필요하다.
2) 다크웹에 유출된 말레이시아 신용카드 데이터에 대한 개요
(1) 데이터 수집 방법 및 분석 방법 설명
앞서 언급한 것처럼 특정 카딩 마켓(BidenCash)은 다크웹과 텔레그램에서 무료로 카드 정보를 공개하는 프로모션을 진행하였는데 2022년 6월부터 ~ 2023년 12월까지 4차례 진행하였고, 이후에는 텔레그램을 이용하여 지속적으로 마켓 홍보를 위하여 카드 정보를 공개하고 있다. 다크웹의 특성 상 유출된 카드 정보는 삭제되지 않고 또 다른 카딩 포럼이나 마켓에서 재사용될 확률이 높으며, 4차례 진행된 무료 프로모션 카드 정보의 데이터 중 일부는 텔레그램에 카딩 채널에서 일부 확인되기도 했다.
안랩에서는 2024년 5월 10일, 5차 공개된 신용 카드 데이터 400백만건도 수집하여 데이터를 분석하였다. 지금까지 다섯 차례 확보된 신용카드 번호의 전체 개수(Total)는 [표1]과 같다. 다만 아래 전체 개수는 여러 차례 공개된 데이터의 중복된 개수를 포함하며, 또한 정보를 공개한 카딩 마켓의 일방적인 주장임을 감안해야 한다. 또한 일부 사이버 범죄자들은 BIN(Bank Identification Number)을 악용하여 임의의 카드 번호를 생성하기도 한다. 따라서 다음 [표1]의 개수는 정상 카드번호, 사용이 정지된 카드번호, 임의로 생성된 카드번호, 카드번호 생성 규칙이 맞지 않는 번호 등이 모두 포함될 수 있으며 이러한 카드번호의 유효성 여부는 카드 발급사에서만 확인이 가능하다.
다음 [표1]에서 말레이시아 신용카드 확인 여부는 신용카드 BIN (Bank Identification Number) Table 데이터 를 이용하여 확인하였다. 해당 웹사이트에서는 2024년 7월 23일 기준, 524건의 말레이시아 BIN 데이터를 제공하고 있다. 따라서 이곳에서 제공되지 않은 말레이시아 BIN 데이터는 개수에 포함되지 않았음을 밝힌다.
|
구분 |
말레이시아 |
그 외 나라 |
Total |
|
개수 |
97,583 |
17,405,272 |
17,502,855 |
[표1] 수집된 전체 신용 카드 개수와 말레이시아 신용카드 개수 (중복 카드 번호 제외 후)
(2) 유출된 말레이시아 신용카드 데이터의 특징 및 통계
유출된 말레이시아 신용카드의 전체 개수는 [표1]에서 언급한 것처럼 97,583건으로 확인되었다. 이는 중복카드 번호를 제외한 개수이다. bincheck.org에서 제공하는 말레이시아 BIN 데이터와 유출된 카드번호를 대조한 결과 발급사를 알 수 없는 경우도 존재하였으며 (Unknown으로 표기함) 그 개수는 1,434건에 이른다. 또한 카드 유효기간 (EXP)이 문서를 작성하는 2024년 07월 기준
만료되었거나, 필드값이 없는 경우, 월/년도 형식이 아닌 경우, CVV (Card Verification Value) 번호가 정상적이지 않는 형태도 (rnd 라고 명시되거나 통상 3자리 또는 4자리 번호 체계가 아닌 것과 필드값이 없는 경우, xxx 등 의미를 알 수 없는 경우 등)있었으며 이러한 데이터도 제외하지 않고 모두 개수에 포함시켰다.
