누구나 비싼 장비에 비싼 인재로 보안을 꾀할 수는 없어
다크웹의 알짜배기 정보 파악하면 보안 효율 높일 수 있으나

[보안뉴스 문가용] 확실히 보안은 진화한다. 하지만 그만큼 해커들도 진화한다. 이것은 선순환이기도 하고 악순환이기도 하다. 진화하는 모든 가능성을 미리 알고 한 번에 대처가 가능하게 해주는 방법이란 아직 존재하지 않는다. 그렇기에 정보보안은 끊임없이 움직이는 목표물을 겨냥하는 것과 비슷한 느낌이다. 게다가 주위가 온갖 알 수 없는 ‘노이즈’로 부옇기까지 하다.
 


이런 때 많은 기업 및 조직들은 돈의 투자로 문제를 해결하려고 한다. 더 많은 정보를 사고, 보다 최신식의 무기를 사들인다. 유능한 인재를 모셔오고, 유능한 업체에 분석을 의뢰한다. 정확히 어느 부분에 투자했을 때 어느 정도의 효과가 있었는지 분석할 정도로 산업이 무르익지 않긴 했지만 아무튼 투자를 하면 미약하나마 효과가 있었다. 그래서 더 많은 돈을 들이고 더 최신 장비를 탐하고 더 비싼 인재와 손을 잡았다.

그러나 누구나 이런 비싼 과정을 감당할 만큼 넉넉한 형편은 아니다. 그런 사람들도 쓸 만한 방법이 분명히 존재하는데, 그 중 하나가 다크웹(Dark Web) 혹은 심층 웹(Deep Web)을 관찰하는 것이다.

다크웹은 우리가 흔히 접속해서 사용하고 있는 대중 웹보다 무척이나 작고 협소한 공간이다. 검색 엔진으로 검색해서 도달하는 게 불가능한 심층 웹은 다크웹보다 크다. 보통 다크웹이라고 하면 마약 밀매 등의 범죄를 떠올리는데, 이게 전혀 틀린 생각은 아니지만 다크웹에서 형성된 생태계를 무척이나 무시하는 정서가 깔린 것이라고 볼 수도 있다. 왜냐하면 다크웹에서는 다음과 같이 다양한 거래가 계속해서 이루어지고 있기 때문이다.

- 해커 고용(해킹 이력을 요구하기도 함)
- 사이버 익스플로잇 판매(불특정다수 및 표적형 공격, 멀웨어 동반하기도)
- 취약점 정보 거래(해킹된 계정, 백도어 등)
- 훔친 지적정보, 디자인, 위조된 지적정보 및 디자인
- 스팸 및 피싱 공격 의뢰(트위터, 멀버타이징 등)
- 경쟁회사의 스파이 행위를 대비한 수사 및 검사
- 특정 포럼을 노린 핵티비스트(다크웹에서는 소문이 빨리 퍼진다)
- 내부 위협 서비스 의뢰

규모가 작을지는 몰라도 나름 풍요로운 장소인 이 다크웹을 살펴보다보면 굉장히 유용하고 치명적일 수 있는 정보들을 어렵지 않게 얻어낼 수 있다. 그런 다크웹에 어떻게 들어가 볼 수 있을까? 다크웹은 사실 심층 웹의 하위 개념에 있는 것으로서 도달하기 위해서는 이 심층 웹에 먼저 도달해야 한다. 심층 웹은 검색 엔진을 통해서는 절대 다다를 수 없고, 토르, 프리넷(Freenet), 인비저블 인터넷 프로젝트(Invisible Internet Project) 등을 통한 ‘그들만의 신뢰 네트워크’로 편입되어야 한다. 적절한 장비도 필요하다.

하지만 이미 우리가 사용하는 대중 웹에는 다크웹 인덱스나 목록이 돌아다니고 있다. 그런 목록을 구해 실제로 다크웹에 발을 살짝 걸치게 되면 더 깊은 곳으로 안내할 정보들을 보다 쉽게 구할 수 있을 것이다. 처음이 좀 까다로울 수 있는데 한번 성공하면 그 다음부터는 꽤나 간단해진다는 것. 또한 다크웹이라고 하지만 경제적인 목적을 가지고 있기 때문에 분명히 어느 시점에는 잠정 소비자들의 눈에 띄어야 하고, 그렇기 때문에 기본적으로 누구나가 여기에 접속할 수 있게 되어 있다.

그리고 보통 업체나 개인들이 필사적으로 숨기려 했던 ‘알짜배기’ 정보들만 거래되고 있기 때문에 조금만 검색해도 양질의 정보에 근접할 수 있게 된다. 그렇기 때문에 보안을 위해 다크웹에 접속했을 때 가장 주의해야 할 것은 이런 양질의 정보에 접하고 그것을 사들이거나 악용하고 싶은 마음의 유혹이다. 경쟁사의 고객 정보, 자금 상태에 관한 정보, 지적재산, 개발과정 중에 있는 경쟁 상품, 판매 계획, 소프트웨어와 하드웨어 상태, 영업 비밀, M&A 전략 등의 정보에서 발을 돌리기란 쉽지 않을 것이다.

그런 유혹을 이길 자신이 있다면, 사실 다크웹 자체에 침투한다는 건 생각보다 간단하고 저렴하며 쉬운 일이다. 아마 대부분 보안팀이 갖추고 있는 기본 장비만으로도 충분히 가능할 것이다. 물론 인터넷 서핑 하듯이 평범한 사무환경에서 할 수는 없다. 토르 서버는 물론 에어갭 네트워크에 가상화는 기본이다. 그런 후에 다크웹에 접속해 기존에 하던 대로 정보를 모으고 분석하면 된다. 보안 담당자로서 첩보를 수집하고 분석하던 것과 똑같은 방식으로 말이다.

하지만 이를 꼭 권장하는 건 아니다. 암시장은 암시장이다. 가짜 시민권이 거래되고, 랜섬웨어로 올린 수익금을 배분하고, 비트코인이 세탁된다. 심지어 살인청부도 심심찮게 볼 수 있다. 이런 곳에서 수년 간 전문적으로 조사활동을 벌이는 연구원들조차 ‘역겨움’을 느낄 때가 많다고 한다. 성폭행을 의뢰하고 받고, 폭발물 설치에, 불구로 만들어달라는 의뢰가 오고가는 현장이며, 개인적인 원한관계에 대한 이야기에서부터 거대 정치권력을 둘러싼 암투가 민낯을 드러낸다. 특히 요즘엔 아동 성폭력 및 착취와 관련된 일들이 많이 발생하고 있다고 한다.

기분 좋게 드나들 수 있는 곳은 아니며 위에 말했듯 너무나 매력적인 정보들이 있기 때문에 유혹을 떨치려면 거의 수도승 수준의 정신력을 갖추고 있어야 한다. 보안 담당자로서 할 일을 하기 위해 들어갔다가 자기도 모르게 범죄자가 될 가능성이 다분하다. 어쩌면 보안 담당자로서 다크웹 혹은 심층 웹을 주시할 수 있는 가장 현실적이고 안전한 방법은 이미 여기서 조사활동을 벌이고 있는 트렌드 마이크로와 같은 큰 조직이 발간하는 보고서를 빠짐없이 읽어보는 것일 수도 있겠다. 선택은 당신의 몫이다.

글 : 제이슨 폴란시크(Jason Polancich)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>