세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
[주말판] 유명하진 않지만 위협적인 아시아 다크웹 여행
  |  입력 : 2018-08-18 14:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
아시아 다크웹 탐방...가이드는 한국에서 제공하고
각 나라마다 독특한 차이점 있어...중국은 열린 공간에서 무섭게 성장 중


[보안뉴스 문가용 기자] 아시아 지역의 다크웹은 그리 유명하지 않다. 대부분 다크웹이라고 하면 러시아를 떠올린다. 하지만 세계에서 가장 사이버 해킹 공격을 가장 많이 저지르는 나라가 러시아, 중국, 이란, 북한이라고 할 때, 세 개가 아시아 국가다. 이에 보안 업체 인트사이츠(IntSights)가 6개월 동안 아시아의 다크웹을 조사해 분석했고, 그 결과를 올해 열린 블랙햇을 통해 공개했다.

[이미지 = iclickart]


먼저 인트사이츠는 히든 위키(Hidden Wiki)라는 웹사이트에서부터 조사를 시작했다. 한국 사이트로, 전 세계 다크웹에 등록된 사이트들을 북마크해주는 곳이었다. “몇 년째 지속되어온 서비스로, 업데이트도 정기적으로 진행되고 있습니다.” 게다가 다크웹의 사이트들을 항목별로 분류해주고, 편집자가 추천해주기까지 한다. 은행 계좌를 파는 곳, 카드 정보를 거래할 수 있는 곳, 해킹 관련 조언을 얻는 곳, 마약, 포르노, 가짜 여권과 신분증을 취할 수 있는 곳 등, 이미 해킹 활동을 해오거나 막 해킹을 시작해보려는 사람들이 원하는 것들이 들어있는 페이지라고 볼 수 있다.

“다크웹을 여행하려는 사람들에게 있어 굉장히 좋은 안내 책자 같은 곳입니다. 그런데 신기한 건 대한민국을 출처로 한 다크웹 관련 행위들은 현재까지 다크웹에서 나타나지 않고 있습니다. 오로지 이 히든 위키 하나뿐이에요. 다크웹 활동은 하지 않는 나라에서 인덱스 페이지만 제공한다는 것도 흥미로운 현상입니다.” 인트사이츠의 설명이다.

그 가이드 책자를 발판으로 인트사이츠는 다크웹에 한 발 더 깊게 들어갔다. 행선지는 중국의 암시장 사이트인 머쉬룸(Mushroom)이었다. 마약에 특화된 곳이었다. “머쉬룸의 독특한 점은 거래가 중국의 화폐인 위안화로 이뤄진다는 겁니다. 보통은 비트코인 등의 암호화폐가 주류 화폐인데 말이죠.”

왜 그럴까? “중국에서는 암호화폐 사용이 금지되어 있습니다. 게다가 머쉬룸은 중국 내 국민들만을 위한 사이트이기도 합니다. 물론 해외 암시장과의 교류도 시도하고는 있지만, 아직까지 머쉬룸은 대부분 중국인들을 위한, 중국인들의 암시장입니다. 여기서 팔리는 물건이나 서비스는 서양의 다크웹보다 30~40% 정도 쌉니다.”

그런 후 인트사이츠는 일본으로 옮겨갔다. 일본의 다크웹은 다른 지역의 다크웹에 비해 다른 점이 하나 있는데, 바로 참여자들이 놀라울 정도로 예의가 바르다는 것이다. “다크웹에 들어오는 일본인들은 다크웹을 인터넷의 평행 우주쯤으로 여기고 있습니다. 실제 웹 혹은 세상과 다르게 자신을 마음껏 표현하는 곳이 바로 다크웹이라고 생각하지만, 대부분 별로 해될 것이 없는 이야기를 나눕니다. 익명으로 여러 가지 주제를 이야기 하죠. 일본 다크웹에서는 일기와 블로그가 굉장히 흔합니다. 또한 마약과 포르노를 구하는 데에 더 특화되어 있지, 해킹과는 크게 상관이 없습니다.”

내친 김에 인트사이츠는 어나니머스(Anonymous)의 일본 지부를 방문했다. 우리가 알고 있는 어나니머스와 조금은 다른 모습이었다. “일본 어나니머스는 주로 환경 문제에 앞장서더군요. 일본 정부의 정책이 환경을 해친다고 생각하면 어나니머스가 싸우기 시작했어요. 현재는 호프 재팬(Hope Japan)과 호프 후쿠시마(Hope Fukushima)라는 작전을 수행 중에 있고요.”

어나니머스는 후쿠시마 원전에서 실제로 일어난 일을 아무도 모른다고 생각한다. 언론과 정부가 정보를 숨기고 있다고 믿기 때문이다. “원전 폭발 사고 때 무슨 일이 일어났는지, 또 그 피해 규모가 실제로 어떻게 되는지를 정부가 꽁꽁 감춰두고 있는 걸로 알고 그들은 굳게 믿고 있더군요.” 그래서 어나니머스들은 일본 정부 웹사이트들에 대한 공격을 독려하고 또 감행하고 있다. 어나니머스는 여기에 참가하려는 사람들에게 자원도 적극적으로 제공한다. 디도스, SQL 주입, XSS 등의 공격 방법이 주를 이룬다.

그리고는 일본 다크웹의 또 다른 페이지를 찾았다. 일본어로 되어 있었지만, 다른 사이트들과 조금 달랐다. 군사 첩보, 문건, 외교 관련 정보, 과학과 기술 데이터를 거래하는 곳이었다. “다크웹에서 발견되는 일본 사이트는 거의 대부분 마약과 포르노 거래에 집중합니다. 하지만 이곳은 달랐어요. 일본어로만 되어 있지 전혀 일본인 고객의 취향을 반영하지 않은 사이트였습니다.”

인트사이츠는 웹사이트의 스타일과 구성물을 면밀히 분석했고, “일본 사이트가 아니”라는 결론에 도달했다. “일본인들의 화법은 이 사이트에서 발견되는 것만큼 직접적이고 곧지 않습니다. 이 사이트의 배후에 있는 건 북한인일 가능성이 높아 보입니다. 애초에 일본의 군사나 외교, 과학 기술 정보를 노릴 동기도 북한이라면 충분하죠. 북한이 아니라면 중국이 의심되기도 합니다.”

어나니머스는 태국에도 있었다. 페이지에 들어갔더니 2016년에 도난당한 미국 FBI와 국토안보부 요원들 3만 명의 데이터베이스가 무료로 제공되고 있었다. 인도네시아의 해킹 포럼과 암시장에 접속했더니 각종 멀웨어와 익스플로잇이 무료로 제공되기도 했다.

아시아의 여러 다크웹을 돌아다녔지만 인트사이츠가 가장 깊은 관심을 가진 건 중국이었다. 놀라운 건 그 어떤 중국 다크웹 사이트들도 어니언(onion) 기술을 사용하지 않고 있었다. 그들이 ‘다크웹’처럼 보이는 건 중국의 국가적인 방화벽 때문이었다. 그 방화벽 때문에 바깥에서는 안이 보이지 않았고, 따라서 다크웹처럼 보였을 뿐이다. “즉 중국 국민이라면 다크웹과 같은 이런 사이트에 아무나 접속할 수 있다는 뜻입니다. 디도스 공격 패키지를 파는 사이트가 일반인들에게도 열려 있다는 건데, 중국 암시장만의 특징입니다.”

중국에는 QQ라는 해킹 포럼이 유명하다. QQ는 원래 그룹 채팅 및 소셜 네트워크 플랫폼으로, QQ 그룹 혹은 QQ 포럼과 같은 기능을 제공한다. 또한 비밀 방도 다수 개설되어 있는데, 이 대화 방들에서 다크웹과 같은 활동들이 펼쳐지고 있다.

그 다음으로 인트사이츠가 중국에서 방문한 곳은 핵80(Hack80)이라는 곳이다. 해킹 포럼으로, 주로 러시아 지하 조직들과 관련이 깊은 곳으로 알려져 있다. “전통적인 러시아 해킹 포럼들에서 찾을 수 있는 품목들이라면 핵80에서도 구할 수 있습니다. 비트코인 채굴 튜토리얼 및 장비, 해킹용 툴키트, 멀웨어 등이 여기에 포함됩니다. 여기에 없더라도 문의를 하면 대부분 구할 수 있습니다. 물론 중국인이어야 한다는 전제 조건이 붙습니다. 하지만 영어로도 소통이 됩니다.”

인트사이츠는 “중국 다크웹의 성장을 눈여겨봐야 한다”고 주장한다. “서방 세계에서는 중국의 해커들을 귀찮아하지만, 무서워하지는 않아요. 그러나 이제는 좀 더 진지하게 이들을 관찰하고, 대응책을 세워야 합니다. 북한과 러시아만큼 경계해야 할 곳이 바로 중국 지하 포럼입니다. 기술력 측면에서도 우리가 생각했던 것보다 훨씬 더 발전해 있습니다. 여기서 많은 차세대 해커들이 자라고 있기도 하고요. 중국의 대단위 공격이 곧 시작될 것으로 보입니다.”

또한 중국의 해킹 포럼 및 다크웹 활동이 일반 웹에서 벌어지고 있다는 것도 심상치 않다고 인트사이츠는 설명을 이어간다. “해킹 활동을 국가가 용인해주고 있다는 뜻으로 볼 수 있습니다. 물론 공식적으로 ‘해킹을 허락한다’는 뜻이 되는 건 아니겠죠. 중국의 모든 해커들이 정부를 위해 일하는 것도 아닐 테고요. 하지만 중국 인터넷 공간의 그 방대함을 생각했을 때 얼마든지 숨어들어갈 수 있는 이들이 열린 곳에 버젓이 존재한다는 건 뭔가 연관성이 있는 거라고밖에 볼 수 없습니다.”

인트사이츠는 “우리가 아직 알지 못하는 중국 사이버 단체가 많을 것 같다”고 분석한다. “개인적으로 아니면 소수로 움직이는 단체들이 중국 내 꽤나 존재할 것으로 보입니다. 그런 환경이에요. 사람도 많고, 해킹 포럼도 열려 있고, 중국 해커들은 이미 세계적으로 유명하기도 하고요. 하지만 서방 세계에서는 이미 알려진 중국 해킹 그룹들에만 손가락질을 합니다. 그게 더 편하니까요. 하지만 중국 인터넷 공간과 해킹 포럼을 들여다보면 그런 생각이 싹 가십니다. 해킹 포럼의 수 자체도 방대하고, 거기서 일어나는 모든 일들을 추적할 수가 없어요.”

인트사이츠는 “사건이 터지고, 중국과 연루되었다 싶으면 중국 정부와 엮여있는 유명 APT 단체의 이름을 거론하는 게 보안 업계의 습관으로 굳어진 것 같다”고 말한다. “하지만 누가 했는지 정확히 알 수가 없습니다. 우리가 모르는 QQ 메신저의 비밀 방에 서식하는 아마추어 해커의 소행일 수도 있는 건데도 말이죠. 어쩌면 중국 정부가 실제로 억울하게 손가락질 받는 경우도 있을 수 있습니다.”

그렇다고 하더라도 그렇게 해커들에게 열린 환경과 정부 사이에 아무런 연관성이 없다고 볼 수만은 없다. “이번 조사를 통해 개별적으로 활동하는 해커들이 정부와 계약을 맺고 움직이는 정황을 찾아낼 수는 없었습니다. 하지만 그렇다고 ‘그런 일은 없어’라고 말할 수도 없습니다. 개인적으로는 중국 정부의 개입이 있다고 믿는 편이기도 하고요. 게다가 중국만 그런 것도 아니고, 세계 거의 모든 정부들이 해커들과 뒷거래를 하지요. 정보 요원들만으로는 필요한 모든 능력을 갖출 수 없으니까요.”

중국에서는 보안 회사를 차리고 뒤에서 해킹 활동을 하는 단체들도 있다. “유명 해커가 보안 회사 차리고 갑자기 양지에서 활동하는 사례는 꽤나 많습니다. 하지만 음지에서 활동하던 범죄자가 아무 까닭없이 갑자기 양지로 오지는 않습니다. 그리고 그렇게 했을 때 대가라는 게 따르기도 하고요. 그런 모든 상황들을 봤을 때 정부가 갖가지 형태로 해커들을 지원해주는 거라는 강한 의심이 듭니다. 해커들은 정부가 필요할 때, 기술을 제공해주고요.”

결국 아시아 다크웹은 유럽이나 미국의 그것보다 상대적으로 작은 규모라고 인트사이츠는 설명한다. “하지만 그렇다고 ‘무시해도 되는 위협’인 것은 아닙니다. 솔직히 법 체계나 정치 상황을 봤을 때 오히려 암시장에서 활동하는 이들을 옥좨야 하는 고삐가 오히려 더 느슨하다고 볼 수 있고, 그렇다는 건 작아도 더 큰 위협이 될 수 있다는 뜻입니다.”

3줄 요약
1. 아시아의 다크웹, 유럽이나 미국의 그것보다 작지만 분명한 위협거리.
2. 일본 다크웹은 예의바르고, 한국은 다크웹 ‘즐겨찾기’만 있고, 북한과 중국은 정부에서 개입하는 느낌 강함.
3. 중국에서 차세대 해커들 육성되는 시기. 조금 지나면 공격 쏟아질 것으로 예상 됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)