텔레그램, 디스코드, 위커, 와이어 등 종단간 암호화로 보안 강화한 메신저들 범죄에 활용돼
[보안뉴스 원병철 기자] 텔레그램 N번방 사건으로 전국이 들썩이는 가운데, ‘박사’ 조주빈을 비롯해 다른 공범들이 또 다른 암호화 메신저에도 N번방을 만들어 사용했다는 조사결과가 나오면서 이들이 사용한 것으로 알려진 ‘텔레그램’은 물론 ‘디스코드’나 ‘위커’, ‘와이어’ 등에 대한 관심이 높아지고 있다.
[이미지=iclickart]
특히 N번방 사건을 수사중인 경찰청은 각 지방청별로 메신저를 지정, 전담 수사할 수 있도록 수사를 지시한 상태다. 경찰청은 본청은 위커(Wickr), 서울지방경찰청은 텔레그램(Telegram), 경기남부경찰청은 와이어(Wire), 경기북부경찰청은 디스코드(Discord) 등을 전담 수사하도록 했다고 밝혔다.
[이미지=텔레그램]
다크웹 사이버 범죄자들이 선택한 ‘텔레그램(Telegram)’
사실 범죄자들이 이러한 암호화 메신저, 혹은 ‘채팅 앱(Chatting Application)’을 사용한 것은 꽤 오래된 일이다. 네트워크가 발전하면서 만들어진 채팅 어플리케이션을 기업들이 업무에 활용하자, 멀웨어를 활용하는 해커들도 채팅 앱에 관심을 갖기 시작했기 때문이다.
특히 초반에는 이 채팅 앱을 이용해 멀웨어 공격이 시도됐었다. 2017년 보안기업 트렌드마이크로는 “범죄자들이 합법적인 서비스를 활용해 나쁜 짓을 벌이기 시작했다”며 채팅 앱으로 C&C 서버를 구축해 멀웨어를 배포한 공격자들은 지속적으로 멀웨어 업데이트를 하고 명령을 추가하고 데이터를 빼낼 수 있다고 경고했다.
유로폴과 각국의 경찰들이 다크웹에 집중하고 대규모 다크웹 시장을 폐쇄시키면서 다크웹 회원들은 온라인으로 옮겨가기 시작했다. 특히 대규모 시장이 경찰의 집중 타깃이 되자 개인간 거래인 P2P 방식의 암시장이 다시 인기를 끌었으며, 그 핵심에 바로 모바일 기술이 자리 잡고 있다. 즉, 텔레그램과 같은 채팅 앱이 범죄에 사용되기 시작한 것이다.
채팅 앱은 비밀을 나누기에 가장 좋은 플랫폼 중 하나로 다크웹 사용자들은 이 채팅앱을 통해 온갖 불법 물건 및 서비스를 주문하고 받기 시작했다. 또한 마약이나 신용카드 정보, 해킹 툴 등 거래되는 물건들도 예전과 다를 바가 없었다.
여러 채팅 앱 중에서도 초반에는 강력한 암호화를 무기로 한 텔레그램이 인기를 끌었다. 텔레그램은 원래 러시아의 정치적 압박을 버티기 위해 만들어진 메신저로 핵심 팀원들이 세계 여러 곳을 오가며 텔레그램을 운영할 정도로 국가에 소속되지 않고 사용자 정보 및 대화내용을 지키는 데 초점을 맞췄다. 텔레그램의 강력한 사용자보호는 아이러니하게도 다크웹을 떠난 사이버 범죄자들을 불러왔다. 다크웹의 블랙마켓이 연이어 폐쇄되자 종단간 암호화 기술로 무장한 텔레그램을 선택한 것이다. 우리나라에서도 2014년 카카오톡 감청 논란이후 텔레그램 돌풍이 불었는데, 특히 정치권에서도 텔레그램 사용 붐이 불정도로 큰 인기를 끌었다.
[이미지=디스코드]
게임채팅에서 시작된 ‘디스코드(Discord)’
디스코드(Discord)는 원래 게임에 사용하기 위해 만들어진 메신저로 보이스 채팅 중심이었지만 텍스트 채팅과 정보 공유, 관리 기능 등을 통해 점차 게이머들 사이에 자리 잡았다. 특히 인기를 끌었던 ‘배틀 그라운드나 ‘오버워치’ 등 게임 유저들을 중심으로 대중화됐으며, 이제는 스카이프를 넘어설 것으로 기대받고 있다.
게임에 특화된 메신저답게 처음 채팅방에서는 게임핵이나 해킹툴이 거래됐다. 문제는 이렇게 음성화된 채팅방에서 점차 음란물이 거래되기 시작하고, 이번 n번방 사건처럼 청소년 성착취 영상까지 유포하게 됐다. 디스코드를 맡았던 경기북부지방경찰청은 지난 4월 7일 ‘아동·청소년의 성보호에 관한 법률위반 및 성폭력범죄의 처벌 등에 관한 특례법’과 ‘도박개장’ 등의 위반 혐의로 20세 대학생 등 10명을 검거했다고 밝혔다. 특히 이번에 검거된 피의자는 대부분 청소년으로 만 12살의 촉법소년도 포함되어 있었다.
디스코드의 인기는 해외의 사이버 범죄자들에게도 불고 있다. 보안기업 인사이츠(IntSights)는 최근 사이버 범죄자들에게 가장 인기를 얻고 있는 앱은 디스코드라면서, 특히 텔레그램이나 왓츠앱에 배해 9배나 빠르게 다크웹 사용자들이 가입하고 있다고 밝혔다.
[이미지=위커]
오픈 보안 접근 기능으로 ‘검열’ 피하는 ‘위커(Wickr)’
조주빈 일당이 ‘박사VIP’를 또 다른 메신저 ‘위커(Wickr)’에서 운영했다는 소식이 알려졌다. 미국 샌프란시스코 위커 사에서 만든 이 메신저는 오픈 보안 접근(Open Secure Access, OSA)이라는 기능을 통해 인터넷 트래픽 차단이나 검열로부터 안전하게 메시지를 보호할 수 있는 것으로 알려졌다.
위커는 OSA를 2018년 초 아마존과 구글이 도메인 프런팅을 지원하지 않기로 하면서 갑자기 만들어진 빈틈을 메우는 도구라고 설명한다. 도메인 프런팅이란 구글과 아마존, 기타 인터넷 서비스 공급 업자나 콘텐츠 배포 네트워크에 속한 프록시 도메인으로 트래픽을 통과시킴으로써 특정 호스트 서버와 서비스로 향하는 트래픽을 숨기는 기술이다. 시그널(Signal)과 텔레그램(Telegram)과 같은 암호화 메신저 앱, 혹은 몇몇 국가에서 금지된 TOR 기술 역시 Google.com을 도메인 프런팅에 활용하고 있다. 예를 들어 시그널을 통해 메시지를 보내면 구글로 가는 보통의 HTTPS 트래픽으로 보인다. 그러나 이 메시지가 향하는 실제 도메인은 HTTP 호스트 헤더에 암호화되어 있다. 그러므로 검열 시스템에는 보이지 않는다. 검열자가 이를 막으려면 Google.com으로 가는 모든 트래픽을 검열하거나 막아야 한다.
또한 위커는 서버와 사용자의 휴대폰에 저장되는 데이터, 그것이 원 데이터건 메타데이터건 모두 암호화되어 저장하는 것으로 알려졌다. 고려대학교 사이버국방학과 김승주 교수는 “메타데이타 관리 측면에서는 위커가 텔레그램 보다 보안성이 더 높다”면서, “특히 정부 및 군용으로 개발된 ‘위커 프로(Wickr Pro)’의 경우 미국 정부로부터 ‘FIPS 140-2 암호제품 인증’을 받았다”고 설명했다. 아울러 “보통 해킹이란 것은 제품의 설계나 구현상의 오류(취약점)를 이용하니까, ‘정부의 제품 인증’을 공식적으로 받았다함은 이러한 오류가 발견될 확률이 매우 낮다는 의미이기도 하다”고 덧붙였다.
[이미지=와이어]
아직은 덜 알려진 ‘와이어(Wire)’
스카이프의 창업자 중 한명인 야누스 프리스가 만든 것으로 알려진 커뮤니케이션 앱 ‘와이어(Wire)’는 2014년 등장했다. ‘가장 안전한 협업 플랫폼’이란 슬로건을 사용하는 와이어는 메신저와 음성, 비디오, 전화회의, 파일공유 및 외부 협력까지 포괄적으로 지원하며, 모두 엔드 투 엔드 암호화로 보호된다.
2016년 7월 와이어 클라이언트 앱의 소스코드를 공개해 현재 100% 오픈소스이며, 깃허브에 아직도 코드가 남아있다. 2018년부터 협업을 위한 ‘암호화 채팅’과 ‘컨퍼런싱’, 그리고 ‘파일 공유’ 기능이 탑재됐다. 다만 와이어 고객들이 와이어를 통해 연락한 사람들의 목록을 서버에 저장한다는 사실과 꽤 많은 취약점들로 아쉬움을 남겼다. 텔레그램과 디스코드, 위커보다는 인지도가 떨어지며, 특별한 이슈가 없었던 탓인지 세간에 그리 알려지지 않았다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 텔레그램 N번방 사건으로 전국이 들썩이는 가운데, ‘박사’ 조주빈을 비롯해 다른 공범들이 또 다른 암호화 메신저에도 N번방을 만들어 사용했다는 조사결과가 나오면서 이들이 사용한 것으로 알려진 ‘텔레그램’은 물론 ‘디스코드’나 ‘위커’, ‘와이어’ 등에 대한 관심이 높아지고 있다.
[이미지=iclickart]
특히 N번방 사건을 수사중인 경찰청은 각 지방청별로 메신저를 지정, 전담 수사할 수 있도록 수사를 지시한 상태다. 경찰청은 본청은 위커(Wickr), 서울지방경찰청은 텔레그램(Telegram), 경기남부경찰청은 와이어(Wire), 경기북부경찰청은 디스코드(Discord) 등을 전담 수사하도록 했다고 밝혔다.
[이미지=텔레그램]
다크웹 사이버 범죄자들이 선택한 ‘텔레그램(Telegram)’
사실 범죄자들이 이러한 암호화 메신저, 혹은 ‘채팅 앱(Chatting Application)’을 사용한 것은 꽤 오래된 일이다. 네트워크가 발전하면서 만들어진 채팅 어플리케이션을 기업들이 업무에 활용하자, 멀웨어를 활용하는 해커들도 채팅 앱에 관심을 갖기 시작했기 때문이다.
특히 초반에는 이 채팅 앱을 이용해 멀웨어 공격이 시도됐었다. 2017년 보안기업 트렌드마이크로는 “범죄자들이 합법적인 서비스를 활용해 나쁜 짓을 벌이기 시작했다”며 채팅 앱으로 C&C 서버를 구축해 멀웨어를 배포한 공격자들은 지속적으로 멀웨어 업데이트를 하고 명령을 추가하고 데이터를 빼낼 수 있다고 경고했다.
유로폴과 각국의 경찰들이 다크웹에 집중하고 대규모 다크웹 시장을 폐쇄시키면서 다크웹 회원들은 온라인으로 옮겨가기 시작했다. 특히 대규모 시장이 경찰의 집중 타깃이 되자 개인간 거래인 P2P 방식의 암시장이 다시 인기를 끌었으며, 그 핵심에 바로 모바일 기술이 자리 잡고 있다. 즉, 텔레그램과 같은 채팅 앱이 범죄에 사용되기 시작한 것이다.
채팅 앱은 비밀을 나누기에 가장 좋은 플랫폼 중 하나로 다크웹 사용자들은 이 채팅앱을 통해 온갖 불법 물건 및 서비스를 주문하고 받기 시작했다. 또한 마약이나 신용카드 정보, 해킹 툴 등 거래되는 물건들도 예전과 다를 바가 없었다.
여러 채팅 앱 중에서도 초반에는 강력한 암호화를 무기로 한 텔레그램이 인기를 끌었다. 텔레그램은 원래 러시아의 정치적 압박을 버티기 위해 만들어진 메신저로 핵심 팀원들이 세계 여러 곳을 오가며 텔레그램을 운영할 정도로 국가에 소속되지 않고 사용자 정보 및 대화내용을 지키는 데 초점을 맞췄다. 텔레그램의 강력한 사용자보호는 아이러니하게도 다크웹을 떠난 사이버 범죄자들을 불러왔다. 다크웹의 블랙마켓이 연이어 폐쇄되자 종단간 암호화 기술로 무장한 텔레그램을 선택한 것이다. 우리나라에서도 2014년 카카오톡 감청 논란이후 텔레그램 돌풍이 불었는데, 특히 정치권에서도 텔레그램 사용 붐이 불정도로 큰 인기를 끌었다.
[이미지=디스코드]
게임채팅에서 시작된 ‘디스코드(Discord)’
디스코드(Discord)는 원래 게임에 사용하기 위해 만들어진 메신저로 보이스 채팅 중심이었지만 텍스트 채팅과 정보 공유, 관리 기능 등을 통해 점차 게이머들 사이에 자리 잡았다. 특히 인기를 끌었던 ‘배틀 그라운드나 ‘오버워치’ 등 게임 유저들을 중심으로 대중화됐으며, 이제는 스카이프를 넘어설 것으로 기대받고 있다.
게임에 특화된 메신저답게 처음 채팅방에서는 게임핵이나 해킹툴이 거래됐다. 문제는 이렇게 음성화된 채팅방에서 점차 음란물이 거래되기 시작하고, 이번 n번방 사건처럼 청소년 성착취 영상까지 유포하게 됐다. 디스코드를 맡았던 경기북부지방경찰청은 지난 4월 7일 ‘아동·청소년의 성보호에 관한 법률위반 및 성폭력범죄의 처벌 등에 관한 특례법’과 ‘도박개장’ 등의 위반 혐의로 20세 대학생 등 10명을 검거했다고 밝혔다. 특히 이번에 검거된 피의자는 대부분 청소년으로 만 12살의 촉법소년도 포함되어 있었다.
디스코드의 인기는 해외의 사이버 범죄자들에게도 불고 있다. 보안기업 인사이츠(IntSights)는 최근 사이버 범죄자들에게 가장 인기를 얻고 있는 앱은 디스코드라면서, 특히 텔레그램이나 왓츠앱에 배해 9배나 빠르게 다크웹 사용자들이 가입하고 있다고 밝혔다.
[이미지=위커]
오픈 보안 접근 기능으로 ‘검열’ 피하는 ‘위커(Wickr)’
조주빈 일당이 ‘박사VIP’를 또 다른 메신저 ‘위커(Wickr)’에서 운영했다는 소식이 알려졌다. 미국 샌프란시스코 위커 사에서 만든 이 메신저는 오픈 보안 접근(Open Secure Access, OSA)이라는 기능을 통해 인터넷 트래픽 차단이나 검열로부터 안전하게 메시지를 보호할 수 있는 것으로 알려졌다.
위커는 OSA를 2018년 초 아마존과 구글이 도메인 프런팅을 지원하지 않기로 하면서 갑자기 만들어진 빈틈을 메우는 도구라고 설명한다. 도메인 프런팅이란 구글과 아마존, 기타 인터넷 서비스 공급 업자나 콘텐츠 배포 네트워크에 속한 프록시 도메인으로 트래픽을 통과시킴으로써 특정 호스트 서버와 서비스로 향하는 트래픽을 숨기는 기술이다. 시그널(Signal)과 텔레그램(Telegram)과 같은 암호화 메신저 앱, 혹은 몇몇 국가에서 금지된 TOR 기술 역시 Google.com을 도메인 프런팅에 활용하고 있다. 예를 들어 시그널을 통해 메시지를 보내면 구글로 가는 보통의 HTTPS 트래픽으로 보인다. 그러나 이 메시지가 향하는 실제 도메인은 HTTP 호스트 헤더에 암호화되어 있다. 그러므로 검열 시스템에는 보이지 않는다. 검열자가 이를 막으려면 Google.com으로 가는 모든 트래픽을 검열하거나 막아야 한다.
또한 위커는 서버와 사용자의 휴대폰에 저장되는 데이터, 그것이 원 데이터건 메타데이터건 모두 암호화되어 저장하는 것으로 알려졌다. 고려대학교 사이버국방학과 김승주 교수는 “메타데이타 관리 측면에서는 위커가 텔레그램 보다 보안성이 더 높다”면서, “특히 정부 및 군용으로 개발된 ‘위커 프로(Wickr Pro)’의 경우 미국 정부로부터 ‘FIPS 140-2 암호제품 인증’을 받았다”고 설명했다. 아울러 “보통 해킹이란 것은 제품의 설계나 구현상의 오류(취약점)를 이용하니까, ‘정부의 제품 인증’을 공식적으로 받았다함은 이러한 오류가 발견될 확률이 매우 낮다는 의미이기도 하다”고 덧붙였다.
[이미지=와이어]
아직은 덜 알려진 ‘와이어(Wire)’
스카이프의 창업자 중 한명인 야누스 프리스가 만든 것으로 알려진 커뮤니케이션 앱 ‘와이어(Wire)’는 2014년 등장했다. ‘가장 안전한 협업 플랫폼’이란 슬로건을 사용하는 와이어는 메신저와 음성, 비디오, 전화회의, 파일공유 및 외부 협력까지 포괄적으로 지원하며, 모두 엔드 투 엔드 암호화로 보호된다.
2016년 7월 와이어 클라이언트 앱의 소스코드를 공개해 현재 100% 오픈소스이며, 깃허브에 아직도 코드가 남아있다. 2018년부터 협업을 위한 ‘암호화 채팅’과 ‘컨퍼런싱’, 그리고 ‘파일 공유’ 기능이 탑재됐다. 다만 와이어 고객들이 와이어를 통해 연락한 사람들의 목록을 서버에 저장한다는 사실과 꽤 많은 취약점들로 아쉬움을 남겼다. 텔레그램과 디스코드, 위커보다는 인지도가 떨어지며, 특별한 이슈가 없었던 탓인지 세간에 그리 알려지지 않았다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
