회원가입을 하면 원하는 문장을
저장할 수 있어요!
다음
다음 사건들의 공통점은 무엇일까?
회원가입을 하면 원하는 문장을
저장할 수 있어요!
다음
다음 사건들의 공통점은 무엇일까?
정답은 ‘블랙 트라이앵글(Black Triangle)’을 이용해 수사망과 법망을 피한 불법행위 사건이라는 점이다. 블랙 트라이앵글은 마약 유통, 아동 성 착취 영상, 자금 세탁, 총기 거래 등 범죄행위를 위해 다크웹이나 텔레그램, 암호화폐를 이용한 불법 카르텔을 의미한다. 최근 국내에서도 관련 범죄가 증가하고 있다. 이번 글에서는 블랙 트라이앵글 요소 중 하나인 다크웹의 피해 현황과 대응 방안에 대해 살펴보고자 한다.
일반 검색엔진으로 검색이 가능한 표면웹(Surface Web)과 상반되는 개념으로, 특정 웹 브라우저를 통해 암호화되고 익명화된 네트워크 환경으로 접근하는 웹 환경을 다크웹(Dark Web)이라 한다. 웹 환경은 크게 표면웹(Surface Web), 딥웹(Deep Web), 다크웹(Dark Web)의 3가지로 분류한다. 그중 다크웹은 암호화 기반의 은닉성을 제공한다. 은밀하고 복잡한 인증 과정을 거치고, 특정 프로그램으로 접근하기 때문에 가장 좁은 범위의 서비스와 사용자를 위한 환경이다.
표면웹(Surface Web)
- 일반적인 검색엔진으로 검색이 가능한 콘텐츠를 제공하는 환경
- 구글, 네이버 등 검색엔진을 통해 인덱싱되고 접근할 수 있는 환경
- 인덱싱 웹(Indexable Web), 웹(Visible Web), 라이트넷(Lightnet) 등으로 명명
딥웹(Deep Web)
- 인덱싱되지 않아 검색엔진을 통해 접근이 불가능한 환경
- 숨겨진 웹(Hidden Web) 보이지 않는 웹(Invisible Web) 등으로 명명
다크웹(Dark Werb)
- 비표준 통신 프로토콜과 특정 소프트웨어로 탈중앙화된 네트워크 구성을 위한 가상화 네트워크 사용
- 암호화된 네트워크와 특수 경로를 통해 의도적으로 숨겨진 콘텐츠를 제공하는 환경
다크웹을 이해하기 위해 보통 위와 같은 빙하 이미지로 설명한다. 빙하의 수면 윗부분이 일반적인 검색엔진으로 콘텐츠 검색이 가능한 표면웹을 의미하고, 빙하의 수면 아랫부분이 딥웹과 다크웹을 의미한다. 수면 위에 드러난 표면웹에 비해 딥웹과 다크웹의 규모가 크게 표현되는데, 실제 규모가 크다는 것을 의미하기보다는 검색엔진으로 검색이 제한적인 상황을 나타낸 것이다. 따라서 다크웹이 불법적으로 사용되고 접근이 제약된다는 점에 미리 두려움을 가질 필요는 없다.
다크웹 생태계는 2000년대 에든버러 대학교의 이안 클라크라는 학생이 온라인에서 익명으로 자유로운 의사소통을 위해 만든 ‘프리넷(Freenet)’을 통해 확대되기 시작했다. 여기에 미국 해군 연구소의 어니언 라우팅(Onion Routing) 기술과 비트코인의 출현이 촉매제로 작용한 것이다.
프라이버시나 표현의 자유를 위한 본래 취지와는 달리, 익명성에 기대어 마약 거래, 사기, 해킹, 살인 청부 등 범죄 활동에 악용되면서 문제가 발생했다. 이처럼 다크웹을 통한 범죄시장이 확산하면서 2012년까지 다크웹 이용자 수는 62만 명이었으나, 2013년 이후 200만 명에 육박하여 2022년에는 일일 평균 접속자 수가 250만 명에 달했다.
암호화된 네트워크를 통해 익명성을 제공하는 다크웹을 구성하기 위해서는 기본적으로 토르 네트워크(Tor Networking), 어니언 라우팅(Onion Routing)이 필요하다.
토르 네트워크는 IP 주소를 위조한 여러 중계 서버(라우터)에 암호화된 데이터를 전송하는 익명화된 네트워크를 의미한다. 양파(Onion) 껍질처럼 속을 까도 계속해서 나오는 모습에서 착안해, ‘The Onion Routing’의 약자로 토르(Tor)라고 불리게 되었다. 다크웹은 이러한 토르나 I2P 등의 탈중앙화 구조로 익명화할 수 있게 되면서 데이터 전송자의 신원확인이 어려운 구조를 갖게 되었다.
토르 네트워크는 사용자인 토르 클라이언트(Tor Client)가 접근하는 입구 노드(Entry Node), 이후 중간 노드(Middle Node)를 거쳐 출구 노드(Exit Node)로 구성된다.
다음으로 어니언 라우팅은 토르 네트워크에서 익명성을 보장하는 라우팅 프로토콜이다. 어니언 라우팅의 동작 원리는 간단하다. 출발지(Source)에서 목적지(Destination)까지 중간 서버를 거쳐 데이터를 전송할 때, 어니언 라우터를 거치면서 메시지가 겹층으로 암호화되어 전달된다.
어니언 라우팅 구성도를 자세하게 살펴보면, 출발지인 클라이언트(Client)에서 목적지인 도착지 서버(Destination Server)까지 메시지를 전송할 때, 어니언 네트워크에서 전송되는 메시지는 여러 층의 메시지 암호화(Encryption)를 수행하게 된다. 암호화된 데이터는 어니언 라우터를 의미하는 여러 서버(노드)들을 통해 전송된다. 서버인 노드들을 지날 때마다 암호화된 데이터 캡슐이 한 겹씩 벗겨지면서 다음 전송지로 전달되고, 마지막에 수신 받는 도착지에서 메시지를 복호화(Decryption)하여 메시지가 수신되는 구조다.
결론적으로 출발지에서도 어떤 경로를 거쳐 도착지까지 전달되는지 알 수 없는 상태고, 도착지에서도 어떤 경로를 거쳐 수신되었는지 알 수 없기 때문에 익명성을 보장받을 수 있는 구조를 갖게 된다.
결국 다크웹은 토르 네트워크나 어니언 라우팅 등의 기술을 제공하는 토르 브라우저(Tor Browser)를 통해 접속이 가능하다. 토르 브라우저에서는 일반적인 도메인 주소가 아닌 어니언 도메인(Onion Domain)을 최상위 도메인 주소로 사용하므로, 도메인 주소 끝이 ‘.onion’으로 끝난다.
다음으로 다크웹의 시장구조와 범죄행위 거래 방식에 대해 알아보자. 다크웹에서 범죄행위가 거래되기 위해서는 먼저 판매자가 다크웹에 광고를 게시해야 한다. 마약, 무기, 불법 콘텐츠 등을 판매하는 광고글을 보고 구매를 희망하면 거래를 위한 협상 단계로 넘어간다. 협상을 위해 텔레그램이나 디스코드, 위커 등 메시지 암호화 기능을 제공하는 익명의 메신저를 사용한다.
판매자가 제시하는 조건을 구매자가 승인하면, 판매자는 금액을 받을 수 있는 암호화폐 지갑 주소를 전달한다. 구매자가 지갑 주소에 암호화폐를 전달하면 판매자는 구매자에게 상품을 전달하는 방식이다.
판매자와 구매자의 상품과 재화(암호화폐)가 정상적으로 거래를 마치기 위해 에스크로 방식을 사용한다. 에스크로는 전자상거래상에서 상품 구매자와 판매자의 중립적인 입장에서 결제 대금을 잠시 보관하여 안전한 거래를 제공하는 서비스다. 온라인 쇼핑몰 등에서 일반적으로 사용되는 결제 서비스로, 다크웹에서도 에스크로를 통해 거래 과정의 안전성과 신뢰성을 확보해 범죄 생태계를 유지하고 있다.
현재는 폐쇄된 다크웹 실크로드(Silkload)는 다음과 같은 방법을 이용했다. 우선 구매자가 암호화폐를 통해 다크웹 계정으로 상품을 구매한다. 이후 상품 수령이 완료될 때까지 에스크로에 암호화폐를 보관하고, 상품 수령이 완료된 이후 판매자에게 암호화폐를 송부한다. 이때 중계자는 일정액 수수료를 받는다.
보안업체 S2W랩에 따르면, 다크웹 내 한국 커뮤니티는 매년 성장세를 보이고 있다. 2020년 상반기 다크웹 커뮤니티 내 한국 게시글 규모는 8만 5,906건으로 2019년에 비해 94.5%에 달하는 수치다. 2019년 한국 게시글 규모 역시 전년 대비 4.5배 증가한 수치인 것으로 볼 때, 다크웹 커뮤니티가 암호화폐, 텔레그램 등과 결합하면서 불법 범죄 생태계가 확산된 것으로 볼 수 있다.
국내에서는 다크웹을 통해 마약에 가장 많은 관심을 보였고, 뒤를 이어 성 착취물, 해킹, 도박, 금융정보사기 순으로 관심이 높았다. 또한 다크웹에 대한 사회적인 이해도가 높아지고, 토르 브라우저를 통한 기술적 접근성이 낮아지면서 국내 다크웹 사용자도 증가하고 있다.
더불어 해킹이나 개인정보, 기밀정보 등의 거래도 심각한 문제다. 2022년 3월 폐쇄된 해킹 포럼인 레이드 포럼(Raid Forums)에서는 2021년 11월, 국내 아파트 월패드 해킹으로 촬영된 이미지와 영상이 다크웹을 통해 유출됐다. 또한 2022년 발생한 국내 데이터 유출 사고의 상당수 역시 다크웹을 통해 공개되었으며, 기업 기밀정보 및 개인정보, 소프트웨어 소스코드, 도면 정보 등이 이에 해당한다. 여기에 연쇄적인 해킹 공격으로 협력사나 자회사 정보가 유출되기도 했다.
다크웹을 통한 범죄행위나 피해에 대응하기 위해서는 국가 측면의 대응이 무엇보다 중요하다. 미국은 연방수사국(FBI)에서 다크웹을 전담할 수 있는 ‘J-Code’를 운영해, 2022년 4월 다크웹 중에서 규모가 큰 히드라마켓(Hydra Market)을 폐쇄시켰다. 또한 마약단속국(DEA) 등 미국 내 유관기관 및 유로폴 등과 협력관계를 확대하고, 사이버 범죄 협약에 가입해 국제 협력 대응체계를 강화하고 있다.
한편 유로폴에서는 유럽 사이버범죄센터(EC3)에서 다크웹 범죄 시장 조사를 수행하며, 다크웹으로 인한 범죄 규모를 파악하고 있다. 또한 다크웹팀 EU 파트너 및 법 집행기관과 협력하고, 미국 연방수사국(FBI) 등과 합동작전으로 다크웹 폐쇄를 위해 힘쓰고 있다.
우리나라의 대응은 어떨까? 국가정보원과 경찰청에서 기관별로 다크웹 전담수사팀을 운영하고 있으며, 경찰청 사이버안전국 내에서는 다크웹 불법 정보 추적 시스템을 가동하고 있다. 또한 한국인터넷진흥원(KISA)에서 ‘가상 자산(암호화폐) 및 다크웹을 활용한 사이버 범죄 관련 활동 정보 추적 기술 연구 개발’사업을 추진하며, 가상 자산의 부정 거래 탐지 및 사이버 범죄활동 정보 수집 기술을 개발했다.
그렇다면 개인 측면에선 어떻게 대응해야 할까? 다크웹을 통해 법으로 제한된 거래가 성행하기도 하지만, 개인 측면에서는 개인정보 거래가 문제를 야기할 수 있다. 공격자들은 개인정보, 의료 정보, 금융 정보 등의 판매를 통해 새로운 공격 접점을 확보하고 있다.
따라서 다크웹 개인정보 유출로 인한 크리덴셜 스터핑(다른 곳에서 유출된 로그인 정보를 다른 웹사이트나 앱에 무작위로 대입해 타인의 정보를 유출시키는 수법)이나, 2차 공격으로 인한 피해를 최소화하기 위해서는 기본적인 보안 수칙을 꼼꼼히 준수해야 한다. 주기적인 암호 변경, 미사용 홈페이지 탈퇴, 개인정보 수집 동의 시 수집 정보 확인하기, 꾸준한 보안 업데이트를 통해 추가적인 피해를 예방하는 것이 중요하다.
요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
좋아요
댓글
공유
공유
지금 회원가입하고,
요즘IT가 PICK한 뉴스레터를 받아보세요!
6.9K
