카이스트 사이버보안연구센터(CSRC), 도박 사이트 운영방식 및 특징 분석
메신저 추적 피하기 위해 텔레그램이나 카카오톡 오픈 채팅 등 휘발성 소통 창구만 활용
계좌번호 추적 피하기 위해 가상계좌나 암호화폐 사용도 두드러져
[보안뉴스 김영명 기자] IT 기술과 인터넷의 발전은 우리에게 편의성과 함께 사이버범죄로 인한 피해의 증가도 동반되는 동전의 양면성과도 같다. 경찰청 통계자료에 따르면 살인, 강도, 절도 등 5대 범죄 발생 건수는 점차 줄어들고 있지만, 각종 사이버범죄는 꾸준히 증가하고 있다. 특히, 사이버범죄 중 불법 사이트로 인한 피해가 급증하고 있다.
지난해 12월에는 성인 웹사이트 운영자가 검거됐는데, 이들은 도박사이트 운영으로 약 3억7,000여만원의 부당이익을 챙긴 것으로 드러났다. 이러한 가운데 한국과학기술원(KAIST) 사이버보안연구센터(CSRC)는 성인 사이트와 불법도박 사이트의 이상한 연결고리와 함께 도박사이트의 특별한 운영 방식에 따른 조직적인 특징을 분석했다.
▲도박사이트 6종 메인페이지(왼쪽 위부터 시계방향으로 A~F)[자료=카이스트 CSRC]
거미줄 같은 사이버범죄 네트워크, 주인은 누구?
방송통신심의위원회 등 여러 사정기관의 감시와 차단 조치로 불법 사이트가 많이 차단 조치되고 있지만, 이들은 다양한 방법으로 불법을 이어가고 있다. 따라서 사이버범죄 네트워크는 영역이 점점 더 확대되고 완벽히 차단하기는 더욱 쉽지 않게 됐다.
이러한 사이트들은 직접적인 검색으로는 접근이 어려우며, 비정상적으로 광고하고 그 비용을 지불하며 홍보를 이어가고 있다. 각종 불법저작물(웹툰, 영화, 토렌트 등) 사이트에서도 여러 불법사이트 광고를 게시하고 공생하면서 거미줄처럼 복잡한 범죄 네트워크를 형성하고 있다. CRSC는 광고사이트에서 수집한 수많은 URL을 OSINT(Open Source Intelligence) 방식으로 정보를 수집하고 분석한 결과, 동일한 IP에서 많은 사이트가 서비스되고 있음을 확인했다고 밝혔다.
▲유해사이트 공개 정보 및 분석 정보[자료=카이스트 CSRC]
‘유해사이트 공개 정보 및 분석 정보’를 확인했을 때 실제 단일 IP에서 서비스되고 있는 사이트의 주제는 ‘도박광고’, ‘성인’, ‘자동게임봇판매’ 등 다양한 것을 알 수 있다. 또한, 불법사이트의 OSINT를 이용해 조사한 결과, 대다수 불법사이트는 클라우드 서버를 통해 서비스를 제공하는 것도 확인됐다. 이와 같은 형태를 보이는 이유는 클라우드 특성상 사이트를 쉽게 개설하고 닫을 수 있으며 , 국내 수사망을 회피하거나 추적을 피하기 위해 주기적으로 서버를 옮겨야 하는 특성상 물리적인 서버보다는 클라우드가 기회비용을 획기적으로 낮출 수 있기 때문으로 보인다. 또한, 사정기관의 관련 전문가에 따르면 이들 사이트는 웹사이트 개발 및 호스팅, 관리 업체가 별도로 존재해 단일 IP에서 여러 가지 서비스를 제공하는 것으로 알려졌다.
CSRC 연구팀이 수많은 도박사이트의 소스코드와 첫 페이지 이미지를 분석 및 연구한 결과 서로 다른 사이트에서도 구조, 색상 배열, 이미지 및 텍스트 배치 등 유사한 형태가 많았다.
A, B 사이트는 서로 다른 주소와 사이트명, IP를 갖고 있지만, 내용을 자세히 보면 다수의 키워드가 유사했다. 특히, 사이트 로그인 기능 위에 ‘★MEMBER’라는 키워드와 ‘스포츠’, ‘인플레이’, ‘라이브카지노’ 등 상단의 메뉴 구성은 동일한 키워드로 이뤄졌으며, 좌우로 배치된 구성도 매우 흡사했다. CSRC 연구팀은 ‘HTML 태그 순서를 이용한 불법 사이트 탐지 자동화 기술’ 논문을 토대로 HTML 태그 구조를 비교해 해당 도박사이트의 유사성을 판단하는 실험을 진행했다.
▲HTML 태그 유사도 산출 아키텍처 및 HTML 태그 구조도(A, B)[자료=카이스트 CSRC]
도박사이트 6종은 최종 리다이렉트된 URL 주소 규칙과 메인 화면 이미지의 유사성을 수기로 분석해 선별기준으로 정했다. 먼저 해당 사이트의 HTML을 수집하고 태그를 이용한 구조를 만든 후, LCS 알고리즘을 이용해 유사도를 산출하는 방법으로 실험을 진행했다.
6개의 사이트 유사도를 판단한 결과, A와 B, C와 D 사이트는 90% 이상이 유사했고, E 사이트의 경우 C, D, F 사이트와 70% 이상 비슷했다. 유사도가 높은 사이트는 같은 개발자가 만들었거나 다른 사이트 소스를 일부 수정한 것으로 판단된다.
끊임없이 새로운 도박사이트가 개설되고 있지만 수많은 신생 도박사이트는 기존 사이트가 복제되거나 사라진 사이트를 조금 수정해 다시 개설하는 형태로 반복되고 있다. 특히, ‘도박사이트 6종 기본 정보’를 보면, A~D는 최종 URL이 매우 유사하며, E~F는 동일한 IP에서 서비스되고 있다. 이는 매우 조직적이고 복잡한 형태로 운영되고 있다는 걸 추정할 수 있다.
▲도박사이트 6종 유사도 실험 및 기본 정보[자료=카이스트 CSRC]
점점 지능화되는 사이버범죄 기술의 진화
카이스트 CSRC는 지난 2년여간 500여개의 각각 다른 이름을 사용하고 있는 도박사이트를 관찰하며 메인화면과 회원가입 페이지를 분석해 사이트가 조금씩 변화되는 것을 파악했다. 예를 들어, 캡차(CAPTCHA)가 회원가입 과정에서 추가되거나, 기존에 사용하던 가입코드가 막히는 등 기술적 절차가 추가되는 경향을 보였다. 이처럼 일부분만 수정하거나 큰 변화가 필요할 때는 사이트 자체를 폐쇄하고 새롭게 개설하거나 새로운 사이트로 변경하는 방법을 사용하고 있다.
▲시간 흐름에 따른 주요 적용 기술 및 변화[자료=카이스트 CSRC]
검색엔진에 노출되는 사이트로 ‘관문사이트’가 있다. 도박사이트와 사정기관의 끊임없이 되풀이되는 싸움 중 하나가 URL 기반 차단이다. 도박 및 유해사이트는 URL과 IP를 계속 변경, 우회 경로를 확보하며 회원의 새로운 접속경로를 확보하고 있다. 불법 도박사이트 운영자는 우회 경로를 알리기 위해 별도의 주소 안내 사이트를 통해 검색엔진에 노출시킨다.
CSRC 연구팀은 주소 안내 사이트를 ‘관문사이트(gateway)’라고 정의했다. 관문사이트는 단순한 웹페이지 형태로 구성됐으며, 기본 URL만을 제공해 기계적인 모니터링으로 탐지하거나 차단하기 어렵다. 연구팀이 특정 관문사이트를 지속적으로 관찰한 결과, 해당 도박사이트가 없어지기 전까지 내부의 URL만 지속해서 변경되고 있었다. 이러한 관문사이트는 사람들이 기억하고 접근하고 쉽도록 대부분 ‘OO평생주소.com’, ‘OO주소.com’ 명칭으로 개설되고 있다.
▲관문사이트 스크린 캡처[자료=카이스트 CSRC]
‘안티 크롤링(Anti-Crawling)’ 기술은 웹사이트의 무분별한 접근과 데이터를 보호하기 위한 기술로서 사람이 아닌 봇(Bot) 프로그램의 접근을 제한하고자 개발된 기술이다. 대표적인 안티 크롤링 기술 중 하나인 캡차(CAPTCHA)는 수사 회피를 목적으로 선별적 회원모집과 로그인 없이는 접근 불가능한 폐쇄적인 도박사이트가 활용하기에 적합하다. 또한, 매크로 프로그램을 통해 게임 이용 회원을 제한하며 서버 과부하도 방지한다. 캡차는 텍스트, 오디오, 이미지, 슬라이드 등 다양한 종류로 발전하고 있는데, 실제 도박사이트에서는 ‘숫자 연산하기’, ‘그림 보고 맞추기’ 등 어렵고 복잡한 캡차를 적용해 기계적 접근을 방지하고 있다.
▲슬라이딩 캡차 방식의 도박사이트 및 슬라이딩과 계산 문제 캡차 방식의 도박사이트[자료=카이스트 CSRC]
또한, 가입코드는 회원가입을 위해 반드시 필요한 정보다. 광고사이트는 도박사이트 광고 이미지를 클릭할 경우 도박사이트로 연결되는 URL과 함께 회원의 접근에 필요한 정보와 홍보 문구를 담았다. 광고사이트는 도박사이트 이용자들만 이해하는 은어를 사용해 공지하고 있다.
도박사이트 운영자는 가입코드를 활용해 가입자의 출처 및 유입 경로를 확인할 수 있고, 도박사이트 홍보담당자, 운영자를 통했는지 확인하는 것으로 알려졌다. 광고사이트는 도박사이트 운영자가 직접 개설하거나, 홍보 게시물을 대신 작성하는 업자에게 광고비를 지불해 운영된다.
▲가상화폐, 암호화폐 도입 홍보 팝업[자료=카이스트 CSRC]
도박사이트는 모바일 메신저를 주요 소통 수단으로 삼으며, 특히 회원들과의 직접 소통을 위해 텔레그램이나 카카오톡 오픈채팅 등 휘발성 채팅 기능을 택하고 있다.
모바일 메신저는 쉽고 빠르게 계정 생성과 삭제를 할 수 있으며, 주인을 추적하기 어려워 수사 회피 수단으로 이점이 있다. 이는 n번방사건 등이 이슈가 되면서 나타나는 현상으로 예상된다. 또한, 도박사이트 운영자의 경우에는 금전 탈취가 목적이기에 회원들의 불만 접수보다는 일방적인 소통 방식으로 별도의 대화 창구를 없애고 있는 것으로 추측하고 있다.
이들의 거래는 추적 불가능한 가상 계좌 또는 암호화폐를 사용한다. 도박사이트에서 사용되는 대표적 거래방식은 계좌 이체다. 도박사이트 운영자는 추적을 어렵게 만들기 위해 다수의 대포 통장을 확보해 범죄수익을 현금화한다. 일정한 패턴 없이 수많은 이체과정을 거쳐 용의자와 범죄 수익금을 특정하기 어렵게 만들지만, 그럼에도 계좌번호는 수사의 주요한 단서가 되기 때문에 도박사이트는 최대한 계좌번호의 노출을 삼가고, 폐쇄적인 운영을 지향한다.
최근에는 계좌번호를 이용해 수사기관에 신고하겠다고 도박사이트 운영자를 협박하는 역범죄 현상도 일어나기도 한다. 따라서 실제 통장 없이 계좌번호만 받는 가상계좌나 블록체인 기반의 암호화 기술로 만든 암호화폐를 이용할 수 있도록 변화하고 있다. 특히, 암호화폐의 경우 익명성 보장이라는 장점으로 인해 도박사이트에서 점차 적용이 확대되고 있다.
[김영명 기자(boan@boannews.com)]
메신저 추적 피하기 위해 텔레그램이나 카카오톡 오픈 채팅 등 휘발성 소통 창구만 활용
계좌번호 추적 피하기 위해 가상계좌나 암호화폐 사용도 두드러져
[보안뉴스 김영명 기자] IT 기술과 인터넷의 발전은 우리에게 편의성과 함께 사이버범죄로 인한 피해의 증가도 동반되는 동전의 양면성과도 같다. 경찰청 통계자료에 따르면 살인, 강도, 절도 등 5대 범죄 발생 건수는 점차 줄어들고 있지만, 각종 사이버범죄는 꾸준히 증가하고 있다. 특히, 사이버범죄 중 불법 사이트로 인한 피해가 급증하고 있다.
지난해 12월에는 성인 웹사이트 운영자가 검거됐는데, 이들은 도박사이트 운영으로 약 3억7,000여만원의 부당이익을 챙긴 것으로 드러났다. 이러한 가운데 한국과학기술원(KAIST) 사이버보안연구센터(CSRC)는 성인 사이트와 불법도박 사이트의 이상한 연결고리와 함께 도박사이트의 특별한 운영 방식에 따른 조직적인 특징을 분석했다.
▲도박사이트 6종 메인페이지(왼쪽 위부터 시계방향으로 A~F)[자료=카이스트 CSRC]
거미줄 같은 사이버범죄 네트워크, 주인은 누구?
방송통신심의위원회 등 여러 사정기관의 감시와 차단 조치로 불법 사이트가 많이 차단 조치되고 있지만, 이들은 다양한 방법으로 불법을 이어가고 있다. 따라서 사이버범죄 네트워크는 영역이 점점 더 확대되고 완벽히 차단하기는 더욱 쉽지 않게 됐다.
이러한 사이트들은 직접적인 검색으로는 접근이 어려우며, 비정상적으로 광고하고 그 비용을 지불하며 홍보를 이어가고 있다. 각종 불법저작물(웹툰, 영화, 토렌트 등) 사이트에서도 여러 불법사이트 광고를 게시하고 공생하면서 거미줄처럼 복잡한 범죄 네트워크를 형성하고 있다. CRSC는 광고사이트에서 수집한 수많은 URL을 OSINT(Open Source Intelligence) 방식으로 정보를 수집하고 분석한 결과, 동일한 IP에서 많은 사이트가 서비스되고 있음을 확인했다고 밝혔다.
▲유해사이트 공개 정보 및 분석 정보[자료=카이스트 CSRC]
‘유해사이트 공개 정보 및 분석 정보’를 확인했을 때 실제 단일 IP에서 서비스되고 있는 사이트의 주제는 ‘도박광고’, ‘성인’, ‘자동게임봇판매’ 등 다양한 것을 알 수 있다. 또한, 불법사이트의 OSINT를 이용해 조사한 결과, 대다수 불법사이트는 클라우드 서버를 통해 서비스를 제공하는 것도 확인됐다. 이와 같은 형태를 보이는 이유는 클라우드 특성상 사이트를 쉽게 개설하고 닫을 수 있으며 , 국내 수사망을 회피하거나 추적을 피하기 위해 주기적으로 서버를 옮겨야 하는 특성상 물리적인 서버보다는 클라우드가 기회비용을 획기적으로 낮출 수 있기 때문으로 보인다. 또한, 사정기관의 관련 전문가에 따르면 이들 사이트는 웹사이트 개발 및 호스팅, 관리 업체가 별도로 존재해 단일 IP에서 여러 가지 서비스를 제공하는 것으로 알려졌다.
CSRC 연구팀이 수많은 도박사이트의 소스코드와 첫 페이지 이미지를 분석 및 연구한 결과 서로 다른 사이트에서도 구조, 색상 배열, 이미지 및 텍스트 배치 등 유사한 형태가 많았다.
A, B 사이트는 서로 다른 주소와 사이트명, IP를 갖고 있지만, 내용을 자세히 보면 다수의 키워드가 유사했다. 특히, 사이트 로그인 기능 위에 ‘★MEMBER’라는 키워드와 ‘스포츠’, ‘인플레이’, ‘라이브카지노’ 등 상단의 메뉴 구성은 동일한 키워드로 이뤄졌으며, 좌우로 배치된 구성도 매우 흡사했다. CSRC 연구팀은 ‘HTML 태그 순서를 이용한 불법 사이트 탐지 자동화 기술’ 논문을 토대로 HTML 태그 구조를 비교해 해당 도박사이트의 유사성을 판단하는 실험을 진행했다.
▲HTML 태그 유사도 산출 아키텍처 및 HTML 태그 구조도(A, B)[자료=카이스트 CSRC]
도박사이트 6종은 최종 리다이렉트된 URL 주소 규칙과 메인 화면 이미지의 유사성을 수기로 분석해 선별기준으로 정했다. 먼저 해당 사이트의 HTML을 수집하고 태그를 이용한 구조를 만든 후, LCS 알고리즘을 이용해 유사도를 산출하는 방법으로 실험을 진행했다.
6개의 사이트 유사도를 판단한 결과, A와 B, C와 D 사이트는 90% 이상이 유사했고, E 사이트의 경우 C, D, F 사이트와 70% 이상 비슷했다. 유사도가 높은 사이트는 같은 개발자가 만들었거나 다른 사이트 소스를 일부 수정한 것으로 판단된다.
끊임없이 새로운 도박사이트가 개설되고 있지만 수많은 신생 도박사이트는 기존 사이트가 복제되거나 사라진 사이트를 조금 수정해 다시 개설하는 형태로 반복되고 있다. 특히, ‘도박사이트 6종 기본 정보’를 보면, A~D는 최종 URL이 매우 유사하며, E~F는 동일한 IP에서 서비스되고 있다. 이는 매우 조직적이고 복잡한 형태로 운영되고 있다는 걸 추정할 수 있다.
▲도박사이트 6종 유사도 실험 및 기본 정보[자료=카이스트 CSRC]
점점 지능화되는 사이버범죄 기술의 진화
카이스트 CSRC는 지난 2년여간 500여개의 각각 다른 이름을 사용하고 있는 도박사이트를 관찰하며 메인화면과 회원가입 페이지를 분석해 사이트가 조금씩 변화되는 것을 파악했다. 예를 들어, 캡차(CAPTCHA)가 회원가입 과정에서 추가되거나, 기존에 사용하던 가입코드가 막히는 등 기술적 절차가 추가되는 경향을 보였다. 이처럼 일부분만 수정하거나 큰 변화가 필요할 때는 사이트 자체를 폐쇄하고 새롭게 개설하거나 새로운 사이트로 변경하는 방법을 사용하고 있다.
▲시간 흐름에 따른 주요 적용 기술 및 변화[자료=카이스트 CSRC]
검색엔진에 노출되는 사이트로 ‘관문사이트’가 있다. 도박사이트와 사정기관의 끊임없이 되풀이되는 싸움 중 하나가 URL 기반 차단이다. 도박 및 유해사이트는 URL과 IP를 계속 변경, 우회 경로를 확보하며 회원의 새로운 접속경로를 확보하고 있다. 불법 도박사이트 운영자는 우회 경로를 알리기 위해 별도의 주소 안내 사이트를 통해 검색엔진에 노출시킨다.
CSRC 연구팀은 주소 안내 사이트를 ‘관문사이트(gateway)’라고 정의했다. 관문사이트는 단순한 웹페이지 형태로 구성됐으며, 기본 URL만을 제공해 기계적인 모니터링으로 탐지하거나 차단하기 어렵다. 연구팀이 특정 관문사이트를 지속적으로 관찰한 결과, 해당 도박사이트가 없어지기 전까지 내부의 URL만 지속해서 변경되고 있었다. 이러한 관문사이트는 사람들이 기억하고 접근하고 쉽도록 대부분 ‘OO평생주소.com’, ‘OO주소.com’ 명칭으로 개설되고 있다.
▲관문사이트 스크린 캡처[자료=카이스트 CSRC]
‘안티 크롤링(Anti-Crawling)’ 기술은 웹사이트의 무분별한 접근과 데이터를 보호하기 위한 기술로서 사람이 아닌 봇(Bot) 프로그램의 접근을 제한하고자 개발된 기술이다. 대표적인 안티 크롤링 기술 중 하나인 캡차(CAPTCHA)는 수사 회피를 목적으로 선별적 회원모집과 로그인 없이는 접근 불가능한 폐쇄적인 도박사이트가 활용하기에 적합하다. 또한, 매크로 프로그램을 통해 게임 이용 회원을 제한하며 서버 과부하도 방지한다. 캡차는 텍스트, 오디오, 이미지, 슬라이드 등 다양한 종류로 발전하고 있는데, 실제 도박사이트에서는 ‘숫자 연산하기’, ‘그림 보고 맞추기’ 등 어렵고 복잡한 캡차를 적용해 기계적 접근을 방지하고 있다.
▲슬라이딩 캡차 방식의 도박사이트 및 슬라이딩과 계산 문제 캡차 방식의 도박사이트[자료=카이스트 CSRC]
또한, 가입코드는 회원가입을 위해 반드시 필요한 정보다. 광고사이트는 도박사이트 광고 이미지를 클릭할 경우 도박사이트로 연결되는 URL과 함께 회원의 접근에 필요한 정보와 홍보 문구를 담았다. 광고사이트는 도박사이트 이용자들만 이해하는 은어를 사용해 공지하고 있다.
도박사이트 운영자는 가입코드를 활용해 가입자의 출처 및 유입 경로를 확인할 수 있고, 도박사이트 홍보담당자, 운영자를 통했는지 확인하는 것으로 알려졌다. 광고사이트는 도박사이트 운영자가 직접 개설하거나, 홍보 게시물을 대신 작성하는 업자에게 광고비를 지불해 운영된다.
▲가상화폐, 암호화폐 도입 홍보 팝업[자료=카이스트 CSRC]
도박사이트는 모바일 메신저를 주요 소통 수단으로 삼으며, 특히 회원들과의 직접 소통을 위해 텔레그램이나 카카오톡 오픈채팅 등 휘발성 채팅 기능을 택하고 있다.
모바일 메신저는 쉽고 빠르게 계정 생성과 삭제를 할 수 있으며, 주인을 추적하기 어려워 수사 회피 수단으로 이점이 있다. 이는 n번방사건 등이 이슈가 되면서 나타나는 현상으로 예상된다. 또한, 도박사이트 운영자의 경우에는 금전 탈취가 목적이기에 회원들의 불만 접수보다는 일방적인 소통 방식으로 별도의 대화 창구를 없애고 있는 것으로 추측하고 있다.
이들의 거래는 추적 불가능한 가상 계좌 또는 암호화폐를 사용한다. 도박사이트에서 사용되는 대표적 거래방식은 계좌 이체다. 도박사이트 운영자는 추적을 어렵게 만들기 위해 다수의 대포 통장을 확보해 범죄수익을 현금화한다. 일정한 패턴 없이 수많은 이체과정을 거쳐 용의자와 범죄 수익금을 특정하기 어렵게 만들지만, 그럼에도 계좌번호는 수사의 주요한 단서가 되기 때문에 도박사이트는 최대한 계좌번호의 노출을 삼가고, 폐쇄적인 운영을 지향한다.
최근에는 계좌번호를 이용해 수사기관에 신고하겠다고 도박사이트 운영자를 협박하는 역범죄 현상도 일어나기도 한다. 따라서 실제 통장 없이 계좌번호만 받는 가상계좌나 블록체인 기반의 암호화 기술로 만든 암호화폐를 이용할 수 있도록 변화하고 있다. 특히, 암호화폐의 경우 익명성 보장이라는 장점으로 인해 도박사이트에서 점차 적용이 확대되고 있다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
