침해사고/위협동향

불법의 온상 ‘다크웹’··· 암호화폐 이용해 전성기

이종현
수면 위의 '표층웹'과 수면 아래 '딥웹'
수면 위의 '표층웹'과 수면 아래 '딥웹'
[디지털데일리 이종현기자] ‘다크웹(Dark Web)’으로 인한 피해가 급증하고 있다. 포털사이트의 아이디 등의 개인정보 유출이나 마약이나 불법 포르노 등의 거래에도 이용된다. 높아지는 위험성에 비해 이를 막을 뾰족한 수가 없다는 게 더 큰 문제다.

인터넷 공간은 크게 ‘표층웹(Surface Web)’과 ‘딥웹(Deep Web)’으로 구분할 수 있다. 네이버, 다음, 구글 등 일반 검색 엔진으로 검색 가능한 영역이 표층웹, 일반 검색 엔진을 통해 검색되지 않는 영역이 딥웹이다.

딥웹의 경우 종종 다크웹과 혼동해 같은 의미로 쓰이곤 하나, 일반인의 인식에 비해 무척 범위가 넓은 공간이다. 가령 검색에 제한이 돼 있는 기업 내부의 사설망이나 개인 이메일, 클라우드, 카페, 포럼, 개인 사이트 등도 딥웹이다. 이런 범주 안에 다크웹이 속해 있다.

다크웹은 그 명칭에서 알 수 있듯이 바깥에 드러나지 않도록 만들어진 네트워크다. 이용자의 익명성 보호가 최대 목적인 셈이다. 다중 우회 브라우저인 ’토르‘ 등의 브라우저를 통해 접속할 수 있으며 암호화된 ’어니언(.onion) 계열의 페이지가 대표적이다.

다크웹 사건사고의 추적이 어려운 근본적인 원인은 토르 브라우저의 익명성 때문이다. 토르 브라우저의 경우 3중 암호화를 거쳐 송수신되는 모든 패킷을 우회하기 때문에 추적이 어렵다.

A라는 이용자가 토르를 통해 특정 사이트에 접속한다면 A(출발지)부터 입구·중계·출구 3개의 중계지를 거쳐 사이트(도착지)에 접속하게 된다. 입구에서는 출구와 도착지를 모르고, 중계에서는 출발지와 도착지를 모르며, 출구에서는 출발지, 입구를 모른다. 가령 토르를 이용해 악플을 달아 추적이 필요할 경우 ‘출구’의 ip만 추적되기 때문에 A라는 이용자의 익명성은 보장되는 셈이다.

이런 토르 브라우저로 접속할 수 있는 다크웹에서는 익명성을 이용해 개인정보를 거래하거나 불법적인 마약, 포르노, 해킹툴 등을 거래하는 등의 일이 빈번하게 발생하고 있다. 폭발물이나 무기 등도 거래할 수 있다.

본디 수면 아래 감추어져 있던 다크웹이 대중이 알 수 있을 만큼 수면 위로 드러난 것은 암호화폐의 영향이 크다.

기존에는 다크웹을 통해 불법적인 거래를 하면 인터넷 공간에서 익명성을 철저히 유지하더라도 수사기관이 자금의 흐름을 추적해 수사망을 좁히는 것이 가능했다. 하지만 블록체인 기반 암호화폐의 등장으로 자금 유통에 대한 흐름을 추적하는 것이 어려워졌다.

수사기관이 손을 놓고 있는 것은 아니다. 액티브x, 플래시 등의 플러그인을 통해 중계지가 아니라 이용자를 직접 특정하거나 수사기관이 직접 토르의 입구·중계·출구 노드 제공자가 되는 등의 방법이 사용된다.

커지는 다크웹 위협에 검찰, 경찰 등에서는 다크웹 관련 범죄 수사를 위한 체계를 구축하고 있다. 국내 보안기업 NSHC는 지난 12일 다크웹 내 정보를 추적하는 ‘다크트레이서’를 개발해 일본에 서비스를 시작했다. 국내 서비스를 앞둔 상태다.

보안기업 관계자는 “다크웹에서는 마약, 총기 같은 위험물뿐만 아니라 포털의 아이디나 여권 정보 같은 개인정보도 활발히 거래되고 있다”며 “막연한 위협이 아니라 현실적인 위협이 되고 있는 상황”이라고 말했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널