범죄의 온상 다크웹에서, 총기류·마약과 더불어 사이버 범죄 정보와 도구 판매
유출 사고 발생 시 비밀번호 변경·다크웹 사용 주의와 유출 정보에 대한 가시성 확보 중요해
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 박은주 기자] 다크웹(Dark Web)은 본래 미 해군 연구소에서 익명성을 목적으로 만들어진 기술이다. 정부의 검열이나 내부고발자, 인터넷 이용이 자유롭지 않은 국가의 인권 운동가들이 정보를 공유하기 위한 비밀스러운 공간이었다. 그러나 다크웹은 보안을 유지하기 위해 사용하던 본래의 목적을 잃고 범죄의 온상으로 전락했다.
[이미지=gettyimagesbank]
△이 주의 보안 용어
다크웹은 검색 엔진으로는 검색이 불가하며, Tor 브라우저 등 특정 소프트웨어를 사용해야만 접속할 수 있다. 암호화된 네트워크에 존재하기 때문에 IP 주소가 외부로 공개되지 않고, 익명으로 활동할 수 있다. 구글이나, 네이버 등 검색엔진 통해 검색할 수 있는 ‘표면 웹(Surface Web)’이나, 사내망 등의 ‘딥웹(Deep Web)’과 달리, 폐쇄적이고 활동 위치를 추적하기 어렵다는 특징을 가진다. 때문에 이를 악용한 범죄자들이 다크웹상에서 온갖 불법적인 행위를 벌이고 있다.
다크웹은 사이버 범죄자의 시장이다. 범죄에 필요한 정보나 도구를 사고 팔 수 있으며, 범죄로 얻은 정보나 상품들도 판매된다. 실제로 다크웹에서는 개인정보 유출 사고나 해킹으로 노출된 이메일 주소, 전화번호, 이름, 계좌번호 등 개인정보, 악성코드 따위의 해킹 도구가 판매되고 있다.
최근에는 지난 몇 년간 클라우드 서비스가 널리 사용되면서 RaaS(Ransomeware as a Service)라고 불리는 구독형 랜섬웨어 서비스도 등장했다. 더불어 인프라서비스(IaaS), 플랫폼 서비스(PaaS) 등도 대여하기 시작했다. 값은 가상화폐를 통해 지불되고, 이 또한 자금 세탁 과정을 거치면 추적이 더욱 어려워진다. 더군다나 총기, 마약, 의약품이 거래되고, 포르노나 음란물도 유포되고 있다.
△이런 일이 있었다
사이버 공격자는 다크웹을 통해 얻은 정보나 도구를 통해 사이버 공격을 감행한다. S2W의 다크웹 관련 조사 결과 2023년 다크웹 기반으로 이어진 공격으로 인해 1,846곳이 랜섬웨어 피해를 본 것으로 드러났다.
심지어, 다크웹 내에서 구인 시장이 열리기도 한다. 사이버 범죄 조직에 가담할 개발자, 해킹 공격자, 가짜 웹 사이트 제작자, 최초 접근 브로커인 IAB 등 다양한 IT 분야 인재 모집을 위한 영입 전쟁이 벌어진다. 코로나19를 겪으며 시장 규모가 커졌다. 다크웹 구인 시장을 살펴보면 사이버 범죄자들이 점점 조직적이고 체계화되는 것을 알 수 있었다. 분야별로 다양한 인재를 채용하고, 범죄 조직별 인재상을 제시하는 경우도 생겼다.
이와 관련해 S2W 곽경주 이사는 “다크웹 시장은 Enabler(조력자), Offender(공격자), Monetization(재정관리) 총 3개의 축으로 이뤄져 있다”고 다크웹 시장의 구조를 설명했다. 또한, 활발한 다크웹 활동에 대해 소개하며 “다크웹 내 범죄자은 평판 관리까지 하고 있다”고 예를 들었다. 한 범죄자가 국내 모 기업의 유출된 데이터를 다크웹에서 판매하는 일이 있었다. 자료는 올린 즉시 빠르게 판매됐다. 그런데, 얼마 뒤 해당 자료를 재판매한다는 글이 올라왔다. 글에는 ‘싫어요’가 달리고 재판매자는 해당 웹에서 평판이 깎이게 됐다. 곽 이사는 “평판이 추후 거래에 영향을 끼칠 수 있어 다크웹 내에서는 평판 관리가 중요시된다”고 설명했다.
한편, 2022년 초 다크웹 시장에서 손꼽히는 ‘히드라마켓플레이스(Hydra Marketplace, 이하 히드라)’가 있었다. 여느 다크웹과 마찬가지로 사이버범죄가 거래되고, 다양한 불법행위가 자행됐다. 히드라는 2022년 4월 사법기관의 공조로 문을 닫게 됐다. 블록체인 분석 전문 업체 체이널리시스의 발표에 따르면 다크웹에서 하루 평균 420만 달러의 거래가 이뤄졌는데, 히드라가 사라지자, 거래량이 44만 달러로 급감했다고 말했다. 실크로드(Silk Road)라고 불리는 다크웹 또한 2013년 미국연방수사국(FBI)에 적발돼 최초의 운영자가 체포되고, 사이트는 폐쇄됐다.
△피해는 이렇게 막을 수 있다
일반적으로 다크웹에는 다량의 데이터를 거래하게 된다. 대량 데이터를 일괄적으로 구매하고, 실제 공격이 가능한 사용자를 걸러내는 과정을 거친다. 이때, 공격자가 보낸 해킹 메일·메시지에 답장하게 될 경우 공격이 가능한 연락처로 인식될 수 있다. 공격 가능 연락처는 더 비싸게 거래되고, 공격 대상이 될 확률이 높다. 따라서 피싱메일 등에는 답변하지 말고 받는 즉시 삭제해야 한다. 최초로 유출된 데이터 중에서 아이디와 비밀번호가 가장 많다. 유출된 사이트에서는 법률에 따라 의무적으로 유출 정보를 알릴 필요가 있으니, 가입한 사이트에서 유출 사고가 일어났을 경우 신속하게 비밀번호를 변경해야 한다.
다크웹은 그 자체만으로 문제가 있다고 보긴 어렵다. 그러나, 범죄를 종용하고 불법적인 거래가 다량으로 이뤄지기 때문에, 접속 및 가입, 결제할 경우 범죄행위로 분류될 수 있어 주의해야 한다. 기업의 경우 다크웹 유출에 대한 전반적인 가시성 확보가 중요하다. 사내 정보와 고객의 데이터가 외부로 유출되는지 주기적인 체크가 필요하다. 더불어 히드라마켓플레이스와 실크로드처럼 사법기관의 공조를 통해 다크웹을 적발하는 사례가 있는 만큼 유관기관과 국가 간의 공조를 통한 다크웹 소탕이 필요할 것으로 보인다.
[도움말=보안 119]
[박은주 기자(boan5@boannews.com)]
유출 사고 발생 시 비밀번호 변경·다크웹 사용 주의와 유출 정보에 대한 가시성 확보 중요해
알쓸보안사전은 보안뉴스 기자들이 ‘알아두면 쓸모있는’ 보안 용어들을 보다 쉽게 정리해 독자의 이해를 돕고 보안 지식을 넓혀줄 수 있는 코너입니다[편집자주]
[보안뉴스 박은주 기자] 다크웹(Dark Web)은 본래 미 해군 연구소에서 익명성을 목적으로 만들어진 기술이다. 정부의 검열이나 내부고발자, 인터넷 이용이 자유롭지 않은 국가의 인권 운동가들이 정보를 공유하기 위한 비밀스러운 공간이었다. 그러나 다크웹은 보안을 유지하기 위해 사용하던 본래의 목적을 잃고 범죄의 온상으로 전락했다.
[이미지=gettyimagesbank]
△이 주의 보안 용어
다크웹은 검색 엔진으로는 검색이 불가하며, Tor 브라우저 등 특정 소프트웨어를 사용해야만 접속할 수 있다. 암호화된 네트워크에 존재하기 때문에 IP 주소가 외부로 공개되지 않고, 익명으로 활동할 수 있다. 구글이나, 네이버 등 검색엔진 통해 검색할 수 있는 ‘표면 웹(Surface Web)’이나, 사내망 등의 ‘딥웹(Deep Web)’과 달리, 폐쇄적이고 활동 위치를 추적하기 어렵다는 특징을 가진다. 때문에 이를 악용한 범죄자들이 다크웹상에서 온갖 불법적인 행위를 벌이고 있다.
다크웹은 사이버 범죄자의 시장이다. 범죄에 필요한 정보나 도구를 사고 팔 수 있으며, 범죄로 얻은 정보나 상품들도 판매된다. 실제로 다크웹에서는 개인정보 유출 사고나 해킹으로 노출된 이메일 주소, 전화번호, 이름, 계좌번호 등 개인정보, 악성코드 따위의 해킹 도구가 판매되고 있다.
최근에는 지난 몇 년간 클라우드 서비스가 널리 사용되면서 RaaS(Ransomeware as a Service)라고 불리는 구독형 랜섬웨어 서비스도 등장했다. 더불어 인프라서비스(IaaS), 플랫폼 서비스(PaaS) 등도 대여하기 시작했다. 값은 가상화폐를 통해 지불되고, 이 또한 자금 세탁 과정을 거치면 추적이 더욱 어려워진다. 더군다나 총기, 마약, 의약품이 거래되고, 포르노나 음란물도 유포되고 있다.
△이런 일이 있었다
사이버 공격자는 다크웹을 통해 얻은 정보나 도구를 통해 사이버 공격을 감행한다. S2W의 다크웹 관련 조사 결과 2023년 다크웹 기반으로 이어진 공격으로 인해 1,846곳이 랜섬웨어 피해를 본 것으로 드러났다.
심지어, 다크웹 내에서 구인 시장이 열리기도 한다. 사이버 범죄 조직에 가담할 개발자, 해킹 공격자, 가짜 웹 사이트 제작자, 최초 접근 브로커인 IAB 등 다양한 IT 분야 인재 모집을 위한 영입 전쟁이 벌어진다. 코로나19를 겪으며 시장 규모가 커졌다. 다크웹 구인 시장을 살펴보면 사이버 범죄자들이 점점 조직적이고 체계화되는 것을 알 수 있었다. 분야별로 다양한 인재를 채용하고, 범죄 조직별 인재상을 제시하는 경우도 생겼다.
이와 관련해 S2W 곽경주 이사는 “다크웹 시장은 Enabler(조력자), Offender(공격자), Monetization(재정관리) 총 3개의 축으로 이뤄져 있다”고 다크웹 시장의 구조를 설명했다. 또한, 활발한 다크웹 활동에 대해 소개하며 “다크웹 내 범죄자은 평판 관리까지 하고 있다”고 예를 들었다. 한 범죄자가 국내 모 기업의 유출된 데이터를 다크웹에서 판매하는 일이 있었다. 자료는 올린 즉시 빠르게 판매됐다. 그런데, 얼마 뒤 해당 자료를 재판매한다는 글이 올라왔다. 글에는 ‘싫어요’가 달리고 재판매자는 해당 웹에서 평판이 깎이게 됐다. 곽 이사는 “평판이 추후 거래에 영향을 끼칠 수 있어 다크웹 내에서는 평판 관리가 중요시된다”고 설명했다.
한편, 2022년 초 다크웹 시장에서 손꼽히는 ‘히드라마켓플레이스(Hydra Marketplace, 이하 히드라)’가 있었다. 여느 다크웹과 마찬가지로 사이버범죄가 거래되고, 다양한 불법행위가 자행됐다. 히드라는 2022년 4월 사법기관의 공조로 문을 닫게 됐다. 블록체인 분석 전문 업체 체이널리시스의 발표에 따르면 다크웹에서 하루 평균 420만 달러의 거래가 이뤄졌는데, 히드라가 사라지자, 거래량이 44만 달러로 급감했다고 말했다. 실크로드(Silk Road)라고 불리는 다크웹 또한 2013년 미국연방수사국(FBI)에 적발돼 최초의 운영자가 체포되고, 사이트는 폐쇄됐다.
△피해는 이렇게 막을 수 있다
일반적으로 다크웹에는 다량의 데이터를 거래하게 된다. 대량 데이터를 일괄적으로 구매하고, 실제 공격이 가능한 사용자를 걸러내는 과정을 거친다. 이때, 공격자가 보낸 해킹 메일·메시지에 답장하게 될 경우 공격이 가능한 연락처로 인식될 수 있다. 공격 가능 연락처는 더 비싸게 거래되고, 공격 대상이 될 확률이 높다. 따라서 피싱메일 등에는 답변하지 말고 받는 즉시 삭제해야 한다. 최초로 유출된 데이터 중에서 아이디와 비밀번호가 가장 많다. 유출된 사이트에서는 법률에 따라 의무적으로 유출 정보를 알릴 필요가 있으니, 가입한 사이트에서 유출 사고가 일어났을 경우 신속하게 비밀번호를 변경해야 한다.
다크웹은 그 자체만으로 문제가 있다고 보긴 어렵다. 그러나, 범죄를 종용하고 불법적인 거래가 다량으로 이뤄지기 때문에, 접속 및 가입, 결제할 경우 범죄행위로 분류될 수 있어 주의해야 한다. 기업의 경우 다크웹 유출에 대한 전반적인 가시성 확보가 중요하다. 사내 정보와 고객의 데이터가 외부로 유출되는지 주기적인 체크가 필요하다. 더불어 히드라마켓플레이스와 실크로드처럼 사법기관의 공조를 통해 다크웹을 적발하는 사례가 있는 만큼 유관기관과 국가 간의 공조를 통한 다크웹 소탕이 필요할 것으로 보인다.
[도움말=보안 119]
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
