'매그보', 출시 2년만에 최대 해킹 포럼으로 급부상

총 15만개 웹사이트 정보 판매…신규 정보 유입도 활발

컴퓨팅입력 :2020/05/15 23:23

사이트 개설 2년만에 최대 규모로 성장한 해킹 포럼이 등장했다.

위협 인텔리전스 기업 KELA는 지난 13일 매그보에 대한 보고서를 공개했다. 이에 미국지디넷은 KELA의 지원을 받아 매그보를 살펴본 현황을 14일(현지시간) 보도했다.

■2년간 총 15만개 사이트 정보 판매…"매출 75만 달러 추정"

KELA 보고서에 따르면 매그보는 지난 2018년 여름에 등장했다. 이후 약 2년이 지난 현재 14배 가량 성장했다. 2018년 9월 기준 해킹된 웹사이트 3천여개를 취급하던 데 비해 현재는 4만3천개 이상의 사이트 정보를 판매하고 있다는 것. 누적된 수치로는 15만개 이상의 사이트 정보를 판매한 것으로 조사됐다.

'매그보' 첫 화면(출처=미국지디넷)

매그보의 경우 누구나 접근할 수 있는 표층 웹 상에서 운영되고 있다. 다만 승인을 받은 회원만 접근할 수 있으며, 가입을 위해서는 기존 사이트 회원의 추천이 필요하다.

사이트 개설 초기 매그보는 웹쉘을 통해 얻은 웹 서버 접근 권한을 판매하는 포털로 홍보했다. 웹쉘은 웹페이지에서 대상 웹서버가 다양한 명령을 수행하도록 작성된 웹스크립트 파일이다. 매그보는 1천500개 이상의 웹쉘을 모아 사이트를 개설했다.

이후 해커 이용자들이 몰리면서 2018년 9월 매그보에서 판매되는 웹쉘 개수가 3천여개까지 늘어났다. KELA에 따르면 현재 매그보에서 판매하는 정보 중 웹쉘이 차지하는 비중은 90%다.

출처=KELA

KELA 제품 매니저인 래이브드 랩은 이 사이트에서 해킹된 서버를 판매하는 190명의 위협 행위자를 확인했다고 밝혔다. 또 판매된 서버 목록과 책정된 가격을 고려할 때 매그보 운영자들이 75만 달러(약 9억2천만원) 가량의 매출을 올렸을 것으로 추정했다.

■매그보, 자세한 판매 정보·사이트 활성화로 인기 끌어

래이브드 랩은 매그보가 인기를 끈 이유로 타 사이트와 달리, 판매하는 정보의 세부사항을 공개하도록 하기 때문이라고 분석했다. 타 사이트의 경우 다른 해커가 동일한 서버나 시스템을 노리지 않도록 도메인 이름을 숨기는 반면, 매그보는 사이트 제목과 URL을 공개하고 있다는 것.

판매하는 웹쉘이 지닌 접근 권한의 수준도 상세히 알렸다. 예를 들어 서버의 메일 기능에 접근할 수 있는지를 알려줌으로서 구매자가 스팸 유포에 이를 활용할 수 있는지 알려준다는 것이다.

검색결과에서 노출되는 우선순위를 높이기 위해 부정한 방법을 사용하는 '블랙햇 SEO', 전자상거래몰 등에서 결제 정보를 탈취하기 위해 악성코드를 심는 '웹스키밍' 등을 노리는 해커에게 필요한 파일 편집 기능도 활용 여부를 알 수 있게 했다.

출처=KELA

매일 새로운 정보가 활발히 추가되고 있다는 점도 인기를 끈 요인으로 꼽았다. KELA에 따르면 매그보에는 일 200~400개의 사이트 정보가 추가되고, 약 200개의 정보가 판매되고 있다.

미국지디넷은 매그보를 검토한 결과, 게재된 대부분이 워드프레스 사이트라고 밝혔다. 또 정보가 등록된 사이트 중 정부 홈페이지, 교육기관 포털 사이트, 중소기업과 보험·금융기관 사이트도 포함돼 있었다고 덧붙였다. 정보 판매 가격은 사이트의 가치에 따라 천차만별이었다.

관련기사

매그보에서 웹사이트 정보를 대량으로 구매하는 사용자는 주로 검색결과에서 노출되는 우선순위를 높이기 위해 부정한 방법을 사용하는 '블랙햇 SEO' 또는 맬웨어 유포를 목적으로 하는 경우로 분석됐다. 사이트 정보를 선별해 구매하는 경우는 전자상거래몰 등에서 결제 정보를 탈취하기 위해 악성코드를 심는 '웹스키밍'이나 랜섬웨어 공격을 위해 인트라넷을 노리는 것으로 분석됐다.

미국지디넷은 해커들이 초기에는 인터넷 채팅 서비스 IRC 채널과 인스턴트 메세지 클라이언트를 이용해 해킹 정보를 판매했다고 설명했다. 그러면서 지난 10년 동안 사이버범죄자들이 인터넷 포럼에 광고를 게재하고, 해킹 정보를 거래하기 위한 온라인몰을 구축하는 형태로 변화해왔다고 언급했다.