침해사고/위협동향

n번방 같은 사이버 범죄··· 어떻게 추적하나?

이종현
[디지털데일리 이종현기자] 디지털 기술의 발달은 사회 전반을 보다 윤택하게 만들었다. 하지만 이로 인한 폐해도 있다. ‘n번방’과 같은 음성화된 범죄가 대표적인 예다.

n번방과 같은 사이버 범죄는 대부분 일반에는 공개되지 않은 폐쇄된 공간에서 발생한다. 범죄 장소에 접근하기 어렵다 보니 범죄 발생 사실을 인지하기 어려운 것이 대부분이다. ‘몰카’를 촬영해 공유하는 등의 디지털성범죄가 대표적인 예다.

일반적인 인터넷 공간이라면 인터넷 프로토콜(IP) 등을 통해 업로더를 추적할 수 있다. 하지만 ‘토르’ 브라우저로 접속하는 ‘다크웹’은 이조차도 어렵다. 토르는 사용자의 IP를 입구, 중계, 출구 등 3개 노드를 거쳐 목적지(사이트)에 도착하도록 한다. 서버 기업이나 수사기관이 확인할 수 있는 토르 사용자의 최종 IP는 출구 노드로 파악되기 때문에 실제 사용자 IP는 파악하지 못한다.

토르 같은 브라우저가 아니더라도 문제는 남는다. 범죄가 발생한 공간의 소유주가 해외 기업일 경우 국내법의 적용 대상이 아니기 때문에 수사협조를 받기 어렵다. 특히 n번방의 근원지인 텔레그램의 경우 현재까지 자사의 데이터를 어디에도 제공하지 않은 것으로 유명한 기업이다.

디지털성범죄물의 경우 완전히 새로운 범죄라고 말하기는 어렵다. 지금처럼 인터넷이 보급되기 전에도 비디오테이프, CD 등으로 불법성범죄물을 공유·거래하는 사례는 있었다.

하지만 오프라인 기반으로 확산에 제약이 있었던 과거 범죄와 근래 발생하는 디지털성범죄물의 유통은 피해 규모에서 비교할 수 없을 정도의 차이가 있다. 경찰에 따르면 n번방의 디지털성범죄물의 배포 및 소지자는 6만명가량이다. 적게는 수십만원에서 많게는 150만원상당의 입장비를 낸 인원이 6만명이라는 것.

n번방 사태 이후 텔레그램에 대한 수사가 진행되자 범죄 행각은 ‘디스코드’, ‘위커’ 등으로 분산되고 있다. 대부분 해외 기업의 앱인 만큼 규제하기 어렵다는 것은 텔레그램과 마찬가지다.

이런 사이버 범죄를 추적하기 위한 핵심 기술로 떠오르는 것은 가상자산 추적 기술이다. 토르나 텔레그램 상의 범죄자를 특정해 추적하기 어렵다면, 그들이 거래를 위해 사용하는 가상자산을 탐지·추적한다는 것.

박순태 한국인터넷진흥원(KISA) 연구개발(R&D) 연구팀장은 “2019년 국내 다크웹 접속자는 2016년 대비 3배 이상 급증했다. 특히 추적이 어려운 가상자산 악용으로 경제적/사회적 피해가 급증하고 있다”며 “익명성 기반 다크웹의 사이버 범죄 활동을 분석하는 기술이 부족한 상황에서 실제 환경에 적용 가능한 사이버 범죄 정보 추적, 탐지 기술을 개발하는 중”이라고 말했다.

KISA가 주관해 다수의 기업과 기관이 참여한 컨소시엄으로 ‘가상자산 부정거래 등 사이버범죄 활동 정보 추적 기술’에는 약 57억원이 투입됐다.

머신러닝을 바탕으로 범죄에 악용되는 가상자산의 부정거래를 추적하고 다크웹에서의 사이버 범죄활동 정보를 수집하는 실증 기술을 개발할 방침이다. 가상자산 거래소와 지갑, 개인간 거래소 등을 대상으로 범죄에 악용되는 가상자산을 식별하고 유통경로를 파악하는 것을 목표로 한다.

박순태 팀장은 “지난해부터 기획된 기술개발 사업이지만 최근 n번방 사태가 터지면서 관심받는 사업이 됐다”며 “사업에 참여 중인 기업·기관들도 시대에 부응하는 의지를 갖고 임하고 있다. 좋은 기술을 개발하는 데 힘 쏟을 것”이라고 전했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널