Home > 전체기사

[bnTV] 무수히 많은 해커가 활동하는 다크웹, 그 실체를 파헤치다

  |  입력 : 2022-05-27 18:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해킹 포럼, 유출 데이터와 악성코드 등 거래하고 정보 공유
랜섬웨어 릭 사이트, 등급 나눠 기업 탈취 데이터 공개 및 판매하고 협상 압박
CHAN 사이트, 다양한 주제로 참여해 자유롭게 댓글 다는 자유게시판 같은 곳



■ 방송 : 보안뉴스TV(bnTV) <곽경주의 다크웹 인사이드> 9화
■ 진행 : 권 준 보안뉴스 편집국장
■ 출연 : 곽경주 S2W 이사

□ 권준 국장 안녕하세요, 보안뉴스의 권 준 편집국장입니다.

■ 곽경주 이사 안녕하세요. S2W의 곽경주입니다.

□ 권준 국장 아시아 최대 규모 보안전시회인 제21회 세계보안엑스포 현장에서 이렇게 다크웹 인사이드를 진행하고 있습니다. 제가 아까 좀 둘러봤는데, 거리두기도 풀린 탓인지 보안 산업에 대한 관심과 열기가 대단한 것 같아요. 우리가 많이 언급했던 기업들이 대부분 참가를 해서 제품들도 소개하고 있고, 기관이나 기업의 보안담당자들 오셔서 보안 제품에 대해서 관심들이 많이 있는 것 같은데요. 저희가 이번에는 특별한 시간을 마련해 봤습니다. 다크웹의 실체에 대해서 정말 한 번 탐방을 해보는 시간입니다.

▲bmTV [곽경주의 다크웹 인사이드] 9화 시작 화면[자료=보안뉴스]


[다크웹 주요 사이트 탐방]
■ 곽경주 이사 저희가 오늘 보여드릴 다크웹내 사이트들은 여러 개 종류로 해봤는데요. 해커들이 모여서 탈취 데이터 팔고, 그 다음에 구인공고하고 이러한 해킹포럼을 먼저 찾아볼 겁니다. 그 다음에 데이터 릭(leak)만 전문적으로 하는 지난 번에 말씀드렸던 ‘인더스트리얼 스파이’라는 웹사이트 한 번 보여드릴 것이고요.

그 다음에 보여드릴 랜섬웨어 릭(leak) 사이트는 다크웹에서 운영되고 있는 기업들의 탈취 데이터를 올리는 사이트입니다. 그 다음에 CHAN이라는 사이트가 있어요, CHAN은 어떤 사람이 주제를 하나 올리면 글을 하나 쓰면 그 밑으로 이제 댓글처럼 쭉 달리는 게 있거든요. 그런 식의 CHAN 사이트인데, 여기 CHAN 사이트는 조금 중구난방이라 보실 때 이제 저도 막 정신이 혼미해요, 이런 사이트 볼 때는요(웃음). 그래서 거기는 좀 설명을 좀 드리면서 한번 보겠습니다.

□ 권준 국장 네, 알겠습니다. 그럼 해킹포럼부터 한번 시작을 해볼까요?

[레이드포럼 폐쇄]
■ 곽경주 이사 우선 제가 보여드릴 것은 그 얼마 전에 레이드포럼이 미국에 seize(압수)됐다고 했었잖아요, 레이드포럼이 압수가 됐는데 현재 상태입니다. 레이드포럼이라고 가장 유명했던 포럼이었는데, 거기가 지금 현재 들어가면 저런 상태로 보입니다. 미국 법무부, FBI, 영국 등 이런 식으로 다 나오고요.

[브리치포럼]
■ 곽경주 이사 이제 레이드포럼이 폐쇄가 되면서 그 안에서 공동 운영을 하고 있던 운영자들이 나와서 만든 그런 포럼들이 있어요. 그 중에 하나가 지금 보여드릴 ‘브리치포럼’ 이라는 곳이고, 여기는 운영자가 ‘폼폼 푸린’이라고 이름이 좀 어려워요. 그 사람이 운영하고 있는 것이고요. 딱 처음 들어가게 되면 이런 화면이 나오고요. Announcements를 한번 볼께요. 여기 여러 개의 카테고리가 있는데, 여기에 이제 운영자용으로 공지를 올리는 탭이 있어요. 여기 보시게 되면 폼폼 푸린이 이 사이트를 만들 때 공지를 한 것이 있는데요.

들어가서 보시면 Welcome이라고 나와 있죠. ‘브리치포럼에 온 걸 환영한다’라고 하면서 레이드포럼이 seize(압수)됐다는 얘기를 하죠. 원래는 약간 추정하는 어조였어요. 처음에 만들 때는 ‘seize(압수)된 것 같다.’ 근데 자기가 볼 때는 ‘(레이드포럼) 운영자가 다시는 못 돌아올 것 같다’는 이런 얘기를 하고 있는 거예요. 그래서 자기가 이걸 운영할 거라는 얘길 하죠.

폼폼 푸린은 일단 범죄자라고 보시면 됩니다. 예전에 해외 대기업 데이터 유출하고 해킹도 했었던 인물인데, 이런 포럼을 운영하면서 약간 비즈니스 마인드로 가는 것이고 광고 같은 것도 해줍니다. 그런 것으로 이제 수익을 내는 것으로 보이고요

그 다음에 밖에 나가서 몇 개 게시물을 보도록 할께요. ‘World News’라는 것도 있고 ‘The Lounge’라고 해서 아무 것이나 얘기할 수 있는 공간이에요. 어떤 주제로든 얘기할 수 있는 공간이고, 그 다음에 애니메이션이나 망가, 일본 말이죠. 이런 만화에 대한 얘기를 하는 곳도 있고요. 이런 곳은 오늘은 못 들어갈 것 같아요. 이런 데는 보통 이상한 애니메이션이 있어요.

그 다음에 여기가 이제 저희가 주로 많이 보는 곳인데, 유출 데이터들이 올라오는 곳이에요. 게임 관련된 것, 그 다음에 데이터베이스들이 올라오는 곳이고요. 또한, ‘Other Leaks’라고 해서 랜섬웨어 그룹들 중에서도 자기 사이트가 없는 그룹들이 있는데, 그런 그룹들은 여기 와서 자기네 홍보도 하고 거기에 대해서 판매도 하는 거고요

그리고 이제 ‘Stealer logs’라는 것이 있는데요. 계정 탈취하는 악성코드를 ‘Stealer’라고 부르는데요. 그 Stealer의 계정이 탈취되면 그 Stealer를 운영하는 서버에 계정 탈취된 목록들이 올라오겠죠. 그런 것들을 이제 이런 곳에 올려서 판매도 하고, 좀 오래된 것은 그냥 무료로 풀기도 하는 그런 식의 공간인 거고요. 그래서 ‘Other Leaks’ 같은 곳을 보시게 되면 이런 것도 올라오죠. 랩서스(Lapsus$)가 이미 유출시켰던 데이터를 여기다 또 올리는 거예요. 이런 것을 올리는 이유는 보통 돈을 벌려고 하는 건 아니고, 자기 평판을 올리는 겁니다. 여기가 일단 범죄자들의 정보 공유의 공간이기 때문에 정보 공유를 하면서 ‘좋아요’ 같은 게 있거든요. 그거 많이 받으면 크레딧이 올라가요. 그런 것을 받으려고 하는 겁니다.

그 다음에 여기 보면 만개짜리 ‘Stealer logs’가 있다고 나와 있죠. 히든 콘텐츠라고 되어 있는데요. 이런 것은 이 포럼에 돈을 내고 가입한 사용자들한테만 보여지는 프리미엄 콘텐츠일 때도 있고. 그냥 로그인만 해도 보여지는 경우도 있습니다. 게시자가 설정하기에 따라 다른데, 보통 이런 식으로 글을 올리고 있는 겁니다. 그래서 이러한 히든 컨텐츠가 이제 풀리고 나면 게시자가 얘기하는 Stealer logs라고 계정 탈취한 데이터들이 보이게 된 겁니다.

이런 사이트 보시면 주소를 보시면 breached.co라고 되어 있는데, 이것은 표면웹(인터넷) 주소에요. 여기에 보시게 되면 토르 통해 들어가게 되면 onion이 나오는데, 이것은 다크웹에 특화된 주소거든요. 이 표면웹 주소로 들어가기 싫은 사람은 다크웹 주소로 다시 변환해서 들어갈 수 있는 겁니다. 지금 다크웹 주소로 들어가고 있는 것인데요. 해커들은 표면웹의 도메인이 좀 불안하다는 생각 때문에 onion 주소로 들어갈 수 있게 해놓은 것이라고 할 수 있습니다.

[블랙햇파더]
□ 권준 국장 어떻게 또 다른 사이트 한번 봐주시겠어요?

■ 곽경주 이사 여기는 이제 ‘블랙햇파더’라는 사이트인데요. 그렇게 활성화된 사이트는 아니에요. 이런 데는 엄청 죽어있는 포럼이라고 할 수 있는데요. 여기도 공통적으로 'Backdoors(백도어) Botnets(봇넷) Stealers(스틸러)‘ 등 아까 계속 말씀드린 그런 악성코드들이 계속 존재하는 겁니다. 여기엔 달랑 하나 올라와 있죠. 여기를 보여드리는 이유는 ’Redline‘이라는 악성코드가 매우 유명하기 때문인데요. Stealer 악성코드 중에 가장 활발한 악성코드인데, 이에 대한 소스코드 같은 것을 올린 것 같은데요. 일단 포럼 자체가 너무 활성화가 안 돼 있어 여기는 데이터의 신뢰도와 관심도가 많이 떨어진다고 보시면 될 것 같습니다.

□ 권준 국장 결국은 다크웹 해킹 포럼 사이에서도 경쟁이 있고 많이 활동하는 곳이 있네요. 표면웹과 마찬가지로요.

■ 곽경주 이사 그렇죠. 일단 UI 자체가 좀 별로입니다.

□ 권준 국장 돈을 많이 안 썼네요.

[인더스트리얼 스파이]
□ 권준 국장 또 다른 사이트 살펴볼까요?

■ 곽경주 이사 다음은 이제 ‘인더스트리얼 스파이’라고 최근에 만들어진 사이트고요. 여기는 일단 계정을 만들어야 들어갈 수 있는 곳이에요. 오늘 소개해 드리는 곳은 대부분 계정이 없어도 많은 정보를 볼 수 있는 곳입니다. 그리고 유료 계정이 필요한 곳은 오늘 못 보여드리고요. 로그인을 해야 들어갈 수 있는 곳도 많아서 제가 임의로 계정을 만들었습니다.

이제 보시게 되면 여기에 올라오는 데이터의 등급은 프리미엄, 제너럴, 프리로 3가지로 나눠져 있는데요. 프리미엄을 보게 되면 데이터팩, 데이터 전체 세트를 얘기하는 것이겠죠? 대부분 leak 데이터고요, “leak 데이터를 7일 동안 유지하겠다”, “그 데이터는 한 사람에게만 팔겠다”, 그리고 나머지는 “여러 사람한테 팔고”, “절대 안 지워준다”, “삭제 안 된다”는 식의 요구로 판매를 유도하고 있다. 그래서 피해기업 같은 경우에 여기에 자기네 데이터가 올라왔을 때 일주일 동안 돈을 안 내면 제너럴이나 프리로 간다라고 하면서 절대 안 지워주는 거예요. 그래서 이제 ‘빨리 사라’라는 식으로 마케팅을 하고 있는 것이죠.

[락빗(LockBit) 랜섬웨어]
■ 곽경주 이사 다음으로 보여드릴 사이트는 지금 랜섬웨어 그룹 중에 가장 활발한 그룹 중에 하나인 락빗(LockBit)이라는 그룹입니다. 락빗 2.0으로 버전이 올라갔는데, 여기로 오면 엄청 많은 피해 기업들이 있습니다. 그래서 여기에 오시게 되면 엄청 많은 피해 기업들이 보이게 되는 겁니다.

□ 권준 국장 여기 보니까 빨간색도 있고, 녹색도 있네요?

■ 곽경주 이사 네, 빨간색도 있고 녹색도 있는데요. 빨간색은 협상 중인 겁니다. ‘4일 5시간 남았다’라는 식으로 협박해서 그간 협상을 유도하는 것이죠. 협상을 시도했는데, 피해기업들이 협상에 응하지 않으면 이런 식으로 공개를 해버립니다. 보시게 되면 이런 식으로 돼 있어요. Tax에 관련된 것도 있고, Criminal Case도 있는데, 이는 피해기업이 로펌이기 때문입니다. 피해기업들이 협상에 응하지 않은 이유는 여러 가지가 있을 텐데 범죄자와 협상을 하지 않겠다는 신념으로 그럴 수도 있겠지만, 빼내간 데이터가 그렇게 본인들한테 크리티컬하지 않을 자료일 수도 있습니다. 그래서 감수하고 가는 것일 수도 있고요. 실제로 이제 랜섬웨어에 감염돼서 피해를 입은 기업들은 처음에는 되게 당황하시는데요. 그 이유가 랜섬웨어 조직이 1,000만원 대, 2000만원 대는 없고 무조건 억 단위로 넘어가는데요. 코스닥 상장사라든가 어디에 좀 이름이 나있는 회사라면 거의 50억, 60억 이상 넘어가고 200억, 300억 부릅니다. 거기서 이제 할인(Discount)를 해주기도 하니까 그런 것을 협상을 하고, 그런 상황에 대비를 해야 하는 것입니다.

[콘티(Conti) 랜섬웨어]
■ 곽경주 이사 그리고 다음으로 보여드릴 곳은 콘티(Conti)입니다. 콘티는 국내 기업들중에서도 피해 기업들이 꽤 있었던 곳인데요. 여기 콘티 웹사이트를 보게 되면 이제 Published라고 되어 있죠. 여기서 말하는 9%는 지금 전체 데이터 중에 9% 정도만 다크웹에 올렸다라는 얘기인 것이고, 그 다음에 View 수, 데이터를 본 사람은 5,300명 정도 된다는 의미입니다. 아주 큰 기업이나 유명한 기업이 여기에 올라오게 되면 View 수가 천정부지로 뛸 수밖에 없습니다.

[쿠바(Cuba) 랜섬웨어]
■ 곽경주 이사 그 다음으로 이제 쿠바 랜섬웨어인데요. 쿠바도 아래로 내려가면 바로 국내 피해 기업이 있어가지고 내리지는 못 하겠고요. 쿠바는 사이트 이미지도 예술처럼 해놨는데요. 쿠바도 꾸준히 공격을 하고 있는 그런 랜섬웨어 중에 하나입니다. 이름을 어떻게 짓는지 모르겠는데요. 쿠바 같은 경우에는 지금 보시면 남미 배경으로 하고 있잖아요. 약간 핵티비스트 느낌도 나고요. 근데 실제로 공격하는 것을 보면 그런 소신이나 신념을 가지고 (행동을) 하는 애들은 아닌 것 같아요.

[BHF.IO]
■ 곽경주 이사 그리고 다음은 여기들도 이제 포럼인데요, 다 비슷합니다. 아까 말씀드렸던 브리치포럼이나 레이드포럼이나 형태는 비슷하고, 그 다음에 올라오는 글들도 비슷하고요. 여기 보면 프랑스, 이탈리아, 독일 등 각 나라와 관련된 게시물이 올라오면 해당 국가에 있는 보안 벤더들은 다 들어오겠죠. 어!? 여기 한국어 관련된 것이 올라왔군요. 일단 넘기겠습니다.

[CHAN]
□ 권준 국장 아까 처음에 말씀하신 CHAN이라는 사이트?

■ 곽경주 이사 네, 거기로 넘어가게 되면 여기가 이렇게 되어 있는데 일단 여기 하나 하나가 다 주제에요. 비디오 게임에 대한 것, 그 다음에 랜덤은 뭐 아무거나 얘기하는 곳이고요. 제가 아는 것만... 이런 건 빨리 넘어가야 되고요. 진짜 CHAN은 주제가 너무 다양하고 영양가가 별로 없는데요. 간혹 가다가 영양가 있는 것이 올라와요. ‘어디 사이트 해킹하자’라는 글이 올라온다든가요. 그래도 좀 모니터링하기가 까다로운 게 사실입니다. 여기도 이렇게 들어가게 되면 아까 테크놀로지를 들어간 겁니다. 기술에 관련된 얘기를 하는 곳이고요. 너의 하드웨어나 소프트웨어가 문제가 있으면 여기다 다 올려서 얘기하자 뭐 이런 거고요. 이걸 보다 보면 좀 지칩니다. ‘내가 지금 뭐하는 거지?’라는 생각도 들고요. 이런 식으로 서로 막 댓글을 달면서 얘기하고 있는 거예요.

□ 권준 국장 가급적이면 일반인들은 다크웹에 들어갈 이유가 없는 거죠?

■ 곽경주 이사 사실상 거의 없죠, 일반 기업 보안담당자들도 이런 CHAN 사이트 같은 것 보시려면 너무 힘드시고요.

□ 권준 국장 오늘 저희가 특집으로 다크웹의 실체를 탐방해보는 시간을 가졌고요. 다음 시간에는 다크웹 동향과 보안 이슈들을 중심으로 해서 여러분들을 만날 수 있도록 하겠습니다. 감사합니다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)