美·英·獨 정부 이메일이 5만 원에 팔렸다… ‘디지털 신분증 도둑’의 역습

악성 해커들이 미국, 영국, 독일, 인도, 브라질 등 각국의 경찰과 정부 기관 이메일 계정을 다크웹에 내다팔고 있다. 사이버 보안 기업 애브노멀 시큐리티에 따르면 이들 계정은 단돈 40달러(약 5만 7,000원)부터 거래되고 있으며, 최근 몇 주 동안 실제 사용 중인 정부 이메일 수십 개가 불법 암시장에서 발견됐다.

문제는 해당 계정들이 단순히 도용된 것이 아니라 진짜 이메일 발신 이력과 접근 권한을 갖춘 ‘정상 작동 중인 계정’이라는 점이다. 이는 기존 보안 시스템으로는 걸러내기 쉽지 않다. 공격자들은 이 계정을 통해 위조된 영장이나 데이터 요청서를 발송해 기업으로부터 민감한 정보를 받아내고, 정부 포털이나 수사 도구에 접근하는 등 권한을 넘는 행위를 벌일 수 있다.

애브노멀 시큐리티는 세 가지 주요 침해 방식도 동일하게 작동하고 있다고 밝혔다. 재사용된 약한 비밀번호를 노리는 자격 증명 탈취, 브라우저에 저장된 로그인 정보를 수확하는 인포스틸러 악성코드, 그리고 정교한 피싱 및 소셜 엔지니어링 기법이 핵심 경로다. 일단 손에 넣은 계정은 암호화된 텔레그램 채널을 중심으로 SMTP, POP3, IMAP 등 이메일 프로토콜 정보까지 포함된 형태로 거래되고 있다.

특히 주목할 사례 중 하나는 공격자가 미국 X(구 트위터)의 법적 요청 시스템에 직접 접근해 계정 강제 삭제와 민감 정보 열람을 수행한 사안이다. FBI 역시 경찰 이메일을 낚아채 허위 정보 요청을 보내는 시도가 급증하고 있다고 경고한 바 있다.

공격자들은 자동차 번호판 조회 시스템, SNS 상의 수사 요청 포털, 수사 기밀 데이터베이스 등 고도로 민감한 내부 시스템에까지 침투한 흔적도 남겼다. 이는 단순한 신분 위장이 아닌, 실제 정부 권한을 활용한 범죄 활동으로 이어지고 있다는 것을 뜻한다. 갈수록 지능화되는 위협에 기존 이메일 보안 게이트웨이들이 제대로 대응하지 못하는 이유는, 공격이 SPF(보낸 사람 정책 프레임워크)·DKIM(도메인 기반 전자메일 인증) 같은 인증 필터를 우회할 만큼 정교해지고 있기 때문이다.

애브노멀 시큐리티는 최소한의 대응으로 ▲강력한 비밀번호 관리 ▲다단계 인증의 전면적 도입 ▲비정상 행위 탐지의 고도화를 촉구했다. 이제는 단순한 보안 사고를 넘어, 사법 질서를 악용한 디지털 범죄라는 새로운 경계가 드러나고 있다. 이 같은 정체불명 침입에 대해 정부 기관과 IT 기업 모두 더욱 엄중한 대응이 필요한 시점이다.