악명 높은 불법 웹툰 사이트 ‘뉴토끼’, 클라우드플레어로 감춰둔 실제 IP 추적해보니

입력 : 2024-07-30 23:07

성장하는 웹툰 시장, 불법 웹툰으로 인한 저작권 문제도 끊임없이 확산 중
뉴토끼, IP 찾아 차단해도 도메인 바꿔 불법 이어가...해외 서버로 수사망 피해 더 큰 문제

[보안뉴스 김영명 기자] 전 세계 웹툰(Webtoon) 시장은 한국 시장을 중심으로 놀라운 속도로 성장하고 있다. 하지만 규모가 커진 만큼 불법 웹툰 사이트로 인한 저작권 문제 또한 커지고 있다. 찾아낸 불법 웹툰 사이트가 폐쇄되어도 순식간에 새로운 도메인으로 바꾸어 운영되기 때문이다. 또한 불법 웹툰 사이트는 대부분 해외에 서버를 두며 수사망을 피하고 있어 쉽게 근절되지 않고 있다.


차단과 생성을 계속하면서 운영되는 불법 웹툰 사이트 ‘뉴토끼(newtoki9999)’는 그중에서도 가장 악명 높은 사이트다. 에이아이스페라는 OSINT(Open-source intelligence, 공개출처정보) 기반 위협헌팅 도구 크리미널 아이피(Criminal IP)를 활용해 뉴토끼 사이트의 실제 IP(Real IP) 주소를 찾아내고, 운영자 정보를 추적한 결과를 분석해 발표했다.

위협 헌팅 도구로 뉴토끼 실제 IP 주소 추적하기
가장 최근을 기준으로 운영되고 있는 뉴토끼 도메인의 IP 주소를 확인해 보니 서로 다른 두 개의 IP 주소가 도메인에 매핑돼 있었다. 하지만 발견된 IP 주소만으로 운영자 정보를 추적하기는 어렵다. 이 IP 주소는 뉴토끼 운영자가 실제 IP 주소를 감추고 수사망을 피하기 위해 사용된 클라우드플레어 IP 주소이기 때문이다.

이렇게 감춰진 IP 주소의 진짜 IP 주소를 찾을 수 있다면 뉴토끼 운영자에 대한 더 많은 정보를 확인할 수 있다. 크리미널 IP의 도메인 서치(Domain Search) 기능을 활용하면 클라우드플레어로 감춰진 실제 IP를 추적할 수 있다. 도메인 서치로 뉴토끼 사이트의 도메인 실시간 스캔해 나온 리포트에서 실제 IP 영역을 확인할 수 있다. 실제 IP 영역에서 이 불법 웹툰 사이트의 실제 IP 주소를 확인할 수 있다. 이 IP 주소가 뉴토끼 운영자의 실제 서버 IP 주소다.


뉴토끼 실제 IP로 확인한 불법 웹툰 사이트 위치 정보는
이 IP 주소를 크리미널 IP의 IP 주소 조회 기능인 에셋 서치(Asset Search)를 활용해 확인해보니 SIA VEESP라는 AS Name을 확인할 수 있었다. 이 AS Name은 Veesp라는 호스팅 업체에서 호스팅한 도메인에서 확인할 수 있는 ASN(Autonomous System Number)이다.

또한 확인된 실제 IP 위치 정보의 국가코드 ‘BZ’는 중앙아메리카의 벨리즈(Belize)다. 중앙아메리카는 범죄 조직의 영향력이 강한 국가가 다수인 것으로 알려져 있다. 이러한 환경에서는 불법 활동을 은밀하게 지원하거나 눈감아줄 가능성이 크다. 참고로 한국의 불법 영상 스트리밍으로 크게 악명을 떨쳤던 누누티비도 중앙아메리카에 위치한 도미니카공화국에 소재지가 있었다.


추가로 확인되는 정보로 해당 IP 주소에 MariaDB(3306 port)와 SSH(22 port)가 가동되고 있는 것도 확인할 수 있다. 크리미널 IP의 검색 필터를 사용하면 ‘SIA VEESP’에서 호스팅되는 다른 웹 서버도 탐지할 수 있다. 애셋 서치에서 as_name: ‘SIA VEESP’를 검색한 결과 약 2만 3,000대의 서버가 발견됐다. 이들 서버는 리트비아, 러시아, 벨리즈, 네덜란드 등 4개 국가에 있는 것으로 보인다.

에이아이스페라 관계자는 “이와 같은 불법 웹툰 사이트를 운영하는 사이버 범죄 조직은 폐쇄와 생성을 반복하며 끈질기게 이어가고 있다”며 “이러한 범죄 조직에서 실제 운영하고 있는 서버 위치를 파악하는 것이 수사의 가장 큰 어려움이지만 크리미널 IP와 같은 위협 헌팅 OSINT 도구를 사용하면 도움을 받을 수 있다”고 설명했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

김영명기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 2

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 3

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 4

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 5

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...