본문 바로가기

다크웹 검은 거래 年10조···"n번방 영상 구해요" 글 쏟아진다

중앙일보 2020.04.14 05:00
다크웹은 암호화된 3중 경로를 통해 접속되기 때문에 사용자를 식별할 수 없어 익명성과 보안성이 보장되는 것으로 알려졌다. [픽사베이 제공]

다크웹은 암호화된 3중 경로를 통해 접속되기 때문에 사용자를 식별할 수 없어 익명성과 보안성이 보장되는 것으로 알려졌다. [픽사베이 제공]

 

인터넷 뒤의 또 다른 어둠의 공간 - 다크웹.

 
익스플로어나 크롬같은 웹브라우저로는 접속이 아예 불가능해 보안성과 익명성 뒤에 숨으려는 사람들이 찾아드는 곳, 바로 다크웹이다. 특히 최근 n번방 사건에서 보듯 불법 음란물 거래나 마약 밀매 같은 은밀한 범죄자들은 텔레그램과 암호화폐 그리고 다크웹을 주로 이용하는 것으로 드러나고 있다. 다크웹은 TOR(the onion rauter·토어)같은 특정 프로그램을 통해서만 접근 가능하고, 일단 그 안에 들어가면 접속자의 IP주소 등을 감춘채 활동할 수 있다.  
 

"인터폴에서 먼저 다크웹 추적 의뢰해 와"   

최근 다크웹 사이트를 전문적으로 분석하는 국내 스타트업이 국제형사경찰기구(인터폴)과 협력협정을 맺어 화제를 모았다. 2018년 설립된 에스투더블유랩은 다크웹 상에 개설된 웹페이지를 수집해 이를 본떠 쌍둥이 사이트(미러 사이트)를 만든 뒤 실시간 모니터링하며 인공지능(AI)으로 교차분석해 범죄 관련성을 찾고 사용자를 추적·탐지한다. 경기 성남 판교테크노밸리의 에스투더블유랩 사무실에서 지난 6일 서상덕 대표를 만났다. 
 
에스투더블유랩 서상덕 대표가 다크웹의 페이지를 분석해 사용자를 식별하는 방법에 대해 설명하고 있다. [중앙포토]

에스투더블유랩 서상덕 대표가 다크웹의 페이지를 분석해 사용자를 식별하는 방법에 대해 설명하고 있다. [중앙포토]

 
n번방 사건으로 다크웹에 관심이 커졌다. 다크웹이 뭔가  
"3중 암호화를 통해 만난 인터넷 공간서 교류하기 때문에 사용자를 특정할 수 없다는 게 특징이다. 내가 다크웹 상에 웹사이트 만들고 서비스를 한다고 치자. 내 사이트에 접속한 사람은 물론, 사이트 개설자인 나도 각각 3중으로 암호화된 경로를 거쳐 만난다. 최종적으로는 6단계를 거치는 거다. 서로가 누군지 식별할 수 없는 구조다. 이런 곳의 게시판이나 마켓에는 자신을 감추고 싶은 사람들 즉 범죄 의도가 있는 사람들이 주로 모인다고 보면 된다."  
 
접속 경로가 쉽게 이해되지 않는데    
"일례로 토어를 통해 국내 포털사이트에 접속하면, 자신의 IP가 아닌 말레이시아-오스트리아-이탈리아와 같은 3중 우회 경로를 통해 접속하게 된다. 이 우회 경로는 사용자가 내키는 대로 변경할 수 있다. 다크웹에서 나쁜 짓을 했을 경우 나의 IP를 추적하는 게 쉽지 않다."
 
에스투더블유랩은 다크웹 사용자를 어떻게 추적·탐지하나
"우리도 개별 게시물을 보고 누가 남긴 건지 IP를 쫓아가며 역추적하는 건 불가능하다. 대신 다크웹의 모든 자료를 모아 연관분석하는 방식을 사용한다. 게시물에 암호화폐 계좌라든지 특정 링크에 대한 언급이 있으면 이를 토대로 교집합이 되는 글을 모아 대조해보는 식으로 좁혀간다. 다크웹에 만들어진 웹페이지를 실시간으로 본떠서 미러 사이트를 만들어놓고 AI 엔진으로 분석한다. 현재 우리 회사가 수집한 다크웹 미러 사이트는 2억개가 넘고 매일 100만개의 신규 페이지를 수집한다. 암호화폐 주소도 1000만개 이상 확보했다."
다크웹 내 한국어 사이트, 1년에 4배 늘어. 그래픽=김영옥 기자 yesok@joongang.co.kr

다크웹 내 한국어 사이트, 1년에 4배 늘어. 그래픽=김영옥 기자 yesok@joongang.co.kr

 
 

한국어 페이지에는 '마약' '음란물' 게시물 가장 많아 

n번방 사건 이후 다크웹 내의 분위기에 변화가 있나.
"n번방 사건 이후 다크웹 상의 한국어 페이지를 살펴봤다. 최근에는 '어디 가면 n번방 자료 볼 수 있냐'는 글들이 많이 올라온다. 특히 다크웹상에 한국어로 개설된 페이지가 최근 1년간 6개월에 2배씩, 전년 대비 4배 늘었다. 2018년 상반기에 7620개였는데, 지난해 상반기에는 3만3465개로, 하반기에는 5만7052개로 증가했다. 이 게시판에서 가장 많이 언급되는 건 마약이다. 지난해 마약 거래·복용법 등을 다룬 게시글이 4만건이 넘었다. 그 다음이 음란물로 2만건에 달했다."
 
n번방 같은 범죄행위가 다크웹에서도 발생하나
"다크웹은 여러 우회경로를 통해 접속하는 특성상 굉장히 속도가 느린 망이다. 여기서는 '내가 n번방 자료를 갖고 있다' '한국에서 구할 수 없는 수위의 포르노 사이트를 알려주겠다'는 식의 글이 올라온다. 다크웹이 워낙 느려 자료를 주고받는 일은 별로 없다. 하지만 이런 정보의 구매를 원하는 사람이 접촉하면 암호화폐 주소를 불러주고, 해당 정보가 담긴 아웃링크를 보내주는 식으로 거래가 이뤄진다. 다크웹이 불법의 악성 정보를 교환하고 거래 의사를 타진하는 공간으로 악용되고 있는 것이다."
한국어 유저, ‘마약’에 가장 관심 높고 ‘음란물’ 언급 빠르게 증가. 그래픽=김영옥 기자 yesok@joongang.co.kr

한국어 유저, ‘마약’에 가장 관심 높고 ‘음란물’ 언급 빠르게 증가. 그래픽=김영옥 기자 yesok@joongang.co.kr

 
해킹된 개인정보나 금융정보도 거래되나
"굉장히 많다. 다크웹 페이지 4000만개를 분석했는데, 국내 개인정보 300만건 이상을 확인했다. 유명한 포털사이트는 물론 go.kr로 끝나는 기관·협회의 회원 정보 등이 '아이디+패스워드' 조합으로 돌아다닌다. 해커들이 특정 사이트 회원 정보를 털면 이를 판매하기도 하지만 실력 과시용으로 다크웹에 그냥 풀어버리기도 한다. 실제 유출 규모는 훨씬 더 클 거다."  
 

다크웹에 국내 개인정보 300만건 이상 유출

개인정보가 유출된 당사자가 그 사실을 확인할 방법은 없나 
"우리도 당사자에게 그 사실을 알리고 패스워드를 변경하게 돕고 싶어 방법을 찾고 있다. 자신의 정보가 다크웹에 유출됐는지 확인하는 유료 사이트를 만들라는 제의도 있었지만 이를 사업화할 생각은 없다. 대신 회원 정보가 유출된 포털이든 기관에 그 사실을 알려 주려고 한다. 그러면 해당 기관이 자사 회원에게 '다크웹에 정보가 유출된 것이 확인됐으니 변경하라'고 안내할 수 있을 것이다." 
 
개인이 다크웹에 접속해 개인정보 유출 여부를 확인할 수도 있나
"다크웹에 접속하는 건 우범지대에 일부러 찾아가는 것과 같은 행동이다. 스스로 범죄에 노출되는 것을 선택하지 않기 바란다. 미국에서는 다크웹 브라우저에 접속했다는 사실만으로 FBI나 미국 정보부의 추적을 받을 수 있다고 명시하고 있다. 다크웹은 전혀 통제되지 않는 무법천지다." 
 
웹 내 전체 도메인 중 포르노 비중 가장 높고. 그래픽=김영옥 기자 yesok@joongang.co.kr

웹 내 전체 도메인 중 포르노 비중 가장 높고. 그래픽=김영옥 기자 yesok@joongang.co.kr

다크웹 내 범죄 막으려면…암호화폐 거래 시스템 정비해야

인터폴이 에스투더블유랩에 협업을 제안했다고 들었다.
"다크웹에서 벌어지는 범죄는 국경이 없다. 접속자가 사용하는 언어도 영어가 70%, 러시아어가 30%다. 인터폴은 국제범죄 소탕을 위해 다크웹 상의 자료를 테마별로 통계로 분석하길 원했다. 일례로 아프리카의 인신매매, 야생동물 암거래 등에 대한 언급을 찾고 역추적하는 거다. 이를 우리 기술로 분석해 자료를 제공하고 있다."  
 
다크웹이 범죄에 이용되지 않게 하려면 어떤 조치가 필요한가
"암호화폐의 불법 거래를 막는 게 가장 시급하다. 암호화폐도 거래소에서 금융실명제처럼 가입자를 등록하게 하면 누군지 추적이 가능한 시스템을 갖춰야 한다. 이런 시스템을 도입하지 않은 거래소는 퇴출하는 게 맞다. 다크웹에서 마약이나 음란물 동영상 불법 거래에 언급된 암호화폐 주소를 전부 추출해서 거래량을 열어봤다. 거래량이 연 평균 4조원이었다. 마약과 음란물 외의 불법 암호화폐 주소까지 합치면 연간 10조원이나 됐다. 암호화폐 거래를 투명하게 만드는 시스템을 도입해 범죄 자금 흐름을 차단하면 다크웹 내의 범죄 성사 건수도 줄어들 거다."
 
박형수 기자 hspark97@joongang.co.kr 
공유하기
광고 닫기