㈜소프트이천

어느 날 갑자기 해외 결제 문자를 받은 적이 한 번쯤 있을 것이다. 해외 직구를 한 적도 없는데 말이다. 이는 해외 결제를 사칭한 사기 문자이다. 포털이나 카드사가 해킹을 당해 개인 및 금융정보가 유출된 것이다. 더욱 충격적인 사실은 이들 정보가 ‘다크 웹(Dark Web)’이라는 곳에서 은밀하게 거래된다는 점이다. 다크 웹은 검색 엔진이 아닌 특정 프로그램을 통해서만 접속할 수 있다. 이번 글에서는 다크 웹이 무엇이며, 이곳에서 어떤 일들이 일어나는지 자세히 알아본다.

​다크 웹은 심해와도 같다. 심해는 수심이 1,000미터 이상으로, 햇빛이 닿지 않아 완벽한 암흑에 가깝다. 잠수정 조명으로 비춰봐도 극히 일부만 보일 뿐이다. 이곳에는 인간이 알지 못하는 무수한 생명체와 자원이 존재할 것으로 추정된다.

다크 웹도 마찬가지이다. 기존에 우리가 알고 있는 웹은 빙산의 일각에 불과하다. 인터넷에 떠도는 정보의 4%만이 월드와이드웹(World Wide Web, WWW)이라는 말도 있다. 월드와이드웹은 구글, 네이버와 같은 포털 사이트 검색을 통해 접속할 수 있는 웹사이트로, 마치 수면 위로 떠오른 빙산과 같다고 하여 서피스 웹(Surface Web)이라고도 한다.

그 아래에는 딥 웹(Deep Web)이 존재한다. 인터넷 정보의 90%는 딥 웹 영역에 속한다. 딥 웹은 일반 검색 엔진에 의해 색인되지 않는 웹사이트로, 사용자 데이터베이스, 웹 메일 페이지, 등록이 필요한 웹 포럼, 지불 장벽(Paywall) 등을 포함한다.

딥 웹보다 더 깊숙한 곳에 다크 웹이 있다. 다크 웹은 암호화된 네트워크에 존재하기 때문에 일반적인 검색 엔진이나 브라우저로는 방문할 수 없다. 다크 웹으로 통하는 대표적인 방법은 토르(The Onion Router, Tor) 브라우저를 이용하는 것이다.

다크 웹이란 무엇인가?

다크 웹은 인터넷을 사용하지만 특정 소프트웨어를 통해서만 접속할 수 있는 웹이다. 일반적인 방법으로는 접속자나 서버를 확인할 수 없어 사이버 범죄의 수단으로 많이 악용된다.

2015년 런던 킹스 대학(King's College)의 연구원 다니엘 무어와 토마스 리드가 5주 동안 2,723개의 라이브 다크 웹 사이트 콘텐츠를 분류한 결과, 57%가 불법 자료를 호스팅하는 것으로 나타났다. 2019년 서레이(Surrey) 대학의 마이클 맥과이어 박사가 실시한 연구에서는 이런 상황이 더 악화됐음을 보여줬다. 기업에 피해를 줄 수 있는 다크 웹 목록의 수는 2016년 이후 20% 증가했으며, 이 중 60%가 잠재적으로 기업에 해를 끼칠 수 있다.

다크 웹에서 사용자는 신용카드 정보부터 마약과 총기, 위조 화폐, 탈취한 구독 아이디, 해킹된 넷플릭스 계정, 다른 사용자 PC에 침입하는 데 사용되는 소프트웨어를 구입할 수 있다.

다크 웹은 언뜻 보면 다른 사이트와 유사하지만, 한 가지 큰 차이점이 있다. 도메인 확장자가 ‘.com’ 또는 ‘.co.xx’가 아닌 ‘.onion’으로 끝난다는 것이다. 프록시가 있는 브라우저 외에는 다크 웹에 접속할 수 없다.

다크 웹에서는 어떤 것들이 거래되고 있을까? 다크 웹에서 거래되는 비밀번호의 수는 전 세계 인구의 4배 정도인 245억 개에 달하며, 한국인 신용카드 1만2500개의 계정 정보가 카드 당 약 8천원에 판매되고 있다는 조사 결과도 있다. 최근 해킹을 당한 국내 모 통신사의 고객 정보 18만 개도 다크 웹에서 거래되고 있는 것으로 확인됐다.

다크 웹 전용 브라우저 토르 분석 업체 토르 메트릭스(Tor Metrix)는 한국에서 다크 웹에 접속하는 사용자가 2016년 말 하루 평균 5,156명에서 2019년 1만5,951명으로 3배 이상 급증했다고 밝혔다. 글로벌 접속자도 151만794명에서 290만955명으로 늘었다. 프라이버시 어페어즈(Privacy Affairs)의 다크 웹 프라이스 인덱스 2021(Dark Web Price Index 2021)에 따르면, 최근 다크 웹에서 거래되고 있는 일부 데이터 및 서비스의 가격은 아래와 같다.

- PIN이 있는 복제 신용 카드: $25~$35

- 계좌 잔액이 최대 $5,000인 신용 카드 정보: $240

- 계정에 최소 $2,000가 있는 온라인 뱅킹 로그인: $120

- 도난당한 계정에서 페이팔(PayPal) 이체: $50 ~ $340

- 해킹된 코인베이스(Coinbase) 확인 계정: $610

- 해킹된 소셜 미디어 계정: $1 ~ $60

- 해킹된 지메일(Gmail) 계정: $80

- 평판이 좋은 이베이(eBay) 계정 해킹: $1,000

이처럼 다크 웹은 일반 웹 브라우저로 접속할 수 없는 특수한 영역이다. IP 추적이 불가능하도록 설계돼 있어 주로 불법 거래 사이트 운영자나 해커들이 이용한다. 이곳에서는 마약 밀매 및 무기 판매뿐만 아니라 각종 음란물 유통 경로로도 활용되고 있다. 익명성도 보장되기 때문에 신분 노출을 꺼리는 범죄자들에게는 최적의 공간이다.

일부 국가에서는 정부 차원에서 다크 웹을 적극 장려하기도 한다. 현재 약 1만 여 개의 다크 웹 사이트가 존재하는 것으로 알려져 있는데, 향후 더 늘어날 가능성도 무시할 수 없다. 위험 요소가 더 증가하는 만큼, 각별히 주의해야 할 것이다.

이와 관련해, 안랩은 자사 위협 인텔리전스 플랫폼 ‘AhnLab TIP’을 통해 딥 웹 및 다크 웹의 최신 동향에 관한 정보를 제공한다. AhnLab TIP은 작년 8월, 딥 웹과 다크 웹의 데이터를 수집, 처리, 분석해 연계 정보를 제공하는 기능도 추가됐다. 위협 대상으로 분류된 다크 웹 상의 도메인을 수집한 다음, 대상 네트워크에 접속해 자체 개발한 스크래핑(Scraping) 기술로 데이터를 수집, 항목별로 저장한다. 이를 AhnLab TIP 내 보안 이슈, 침해 지표와 연계해 정보를 제공하고, 국내외 다양한 보안 업체와의 협업을 통해 확장된 다크 웹 정보를 제공한다.

뿐만 아니라, AhnLab TIP는 안랩의 전문 분석가가 다양한 기법으로 위협 그룹을 식별하고 분석해 분석 데이터와 각종 위협 피드, 게시물 등 최신 보안 위협 정보를 지속적으로 업데이트한다. 또, 악성코드에 남은 흔적을 이용해 악성코드 연관성 분석을 수행한다.

이들 기능을 바탕으로, AhnLab TIP은 새로운 침해사고와 악성코드를 분석할 때 공격 예상 시나리오, 은닉 기법 등을 파악하고 공격 대상을 예측해 선제적으로 대응한다.

출처 : AhnLab