다크웹 포럼들의 트래픽 분석했더니, 통계 조작 난무한 듯

입력 : 2020-08-31 16:47

한 포럼에서 트래픽 수 자랑하며 홍보 활동 펼쳐...너무나 급작스러운 증가
트래픽 분석 서비스로만으로는 정확한 사이트 사정 알 수 없어...HUMINT 필요

[보안뉴스 문가용 기자] 보안 업체 디지털 셰도우즈(Digital Shadows)의 보안 연구원들이 사이버 범죄자들이 자주 이용하는 유명 해커 포럼의 트래픽을 분석해 통계를 냈다. 꽤나 재미있는 결과들이 나왔다고 한다.


연구를 시작하게 된 건 영어 구사자들이 자주 나타나는 해킹 포럼 알테넨(Altenen)의 관리자가 사이트 방문자들의 수와 그에 따른 수익을 공개한 것 때문이다. 디지털 셰도우즈의 전문가들은 이 글을 보고 다른 해킹 포럼의 트래픽도 한 번 비교해 조사해보기로 마음을 먹었다고 한다.

디지털 셰도우즈가 분석한 포럼은 다음과 같다.
1) 레이드포럼즈(RaidForums)
2) 널드(Nulled)
3) 크랙트TO(Cracked TO)
4) 크래킹 킹(Cracking King)
5) 크라임네트워크(Cimenetwork)
6) 익스플로잇(Exploit)
7) XSS

먼저 알테넨, 널드, 익스플로잇, XSS와 같은 곳은 지난 90일 동안 트래픽이 크게 오른 편에 속한다. 그리고 운영자들이 이러한 점을 강조하며 사이트 홍보에 주력하고 있다는 특징도 있다고 한다. 그래서 디지털 셰도우즈는 “홍보를 위해 트래픽 양을 조작하고 있을 가능성이 높다”고 밝혔다. “알테넨의 갑작스러운 랭킹 상승이 특히 의심스러운 상황입니다. 진짜 유명하고 인기가 높기로 정평이 난 레이드포럼즈의 경우, 이런 현상을 한 번도 나타낸 적이 없습니다.”

이 포럼들의 평균 체류 시간은 6~22분인 것으로 나타났다. 하지만 이 역시 액면 그대로 믿기 힘든 수치일 수 있다고 디지털 셰도우즈는 말한다. “예를 들어 익스플로잇이라는 포럼의 평균 방문자 체류 시간은 8분 정도 됩니다. 하지만 익스플로잇은 아무나 방문할 수 없는 사이트입니다. 초대된 사람들만 접속이 가능하죠. 따라서 오랜 시간 머무를 수밖에 없는 경향의 사람들이 방문한다는 뜻입니다. 일반 사이트와 단순 수치만 놓고 비교하기에는 무리가 있습니다.”

또한 트래픽에 따른 수익이 곧 ‘해당 포럼의 경제 상황’을 정직하게 드러내는 건 아니라고 디지털 셰도우즈는 설명한다. 트래픽 수에 따른 수익만이 전부가 아니기 때문이다. “운영자들에 따라 다르지만 유료 멤버십을 운영하는 곳도 있고, 사이트에서 이뤄지는 거래에 수수료를 떼어가는 경우도 있지요. 트래픽만으로 사이트의 부유함이나 가난함을 직관적으로 파악할 수는 없습니다.”

디지털 셰도우즈의 위협 분석가인 케이시 클라크(Kacey Clark)는 “이번 조사는 사이트 분석 서비스를 제공하는 하이프스탯(HypeStat)과 알렉사(Alexa)에서 추출한 것”이라며 “이번 조사를 통해 이런 서비스들이 제공하는 통계 수치는 있는 그대로 믿을 수 없고, 여러 가지 방법으로 조사가 가능하다는 것을 알아냈다”고 말한다. “봇이나 VPN만 사용해도 통계를 망가트릴 수 있습니다. 일부 해킹 사이트들이 이런 통계 자료의 속성을 알고 유리한 것들만 뽑아서 광고에 사용하고 있습니다. 이건 일반 인터넷의 사이트 운영자들도 자주 하는 짓이죠.”

그러면서 클라크는 웹사이트 트래픽 통계는 숫자 그대로만 볼 것이 아니라 여러 가지 맥락까지 함께 고려해야 제대로 된 해석이 가능하다고 설명한다. “그런 의미에서 숫자만 제공하는 통계 자료는 위험할 수도 있습니다. 포럼을 각종 통계 자료를 가지고 해석하고 싶다면, 여러 가지 맥락적 정보도 같이 고려해야 합니다.”

그러면서 클라크는 “사이버 범죄자들이 활동하는 지하 세계에 대한 보다 정확하고 깊은 이해도를 가지려면 장시간 꾸준히 관찰하고 데이터를 수집해야 합니다. 통계 사이트의 숫자 몇 가지만 가지고는 얻을 수 있는 게 아무 것도 없습니다. 즉 자동화 된 계산과 메트릭스가 제공되는 서비스와 함께 인간 분석가의 개입이 있어야만 한다는 것이죠.”라고 결론을 내렸다.

“범죄자들의 포럼은, 구성원들의 성격이 그래서인지, 서로가 속고 속이는 데 혈안이 된 분위기가 형성되어 있습니다. 통계 수치는 어느 정도 큰 그림을 보는 것으로 만족하고, 휴민트(HUMINT)를 통해 세부 사항과 뉘앙스를 파악해 보다 정확한 그림을 그려나가야 할 것입니다. 이는 모든 사이트 조사에 해당하는 내용이기도 합니다.”

3줄 요약
1. 범죄자들의 웹사이트 운영자들, 트래픽 수 자랑하며 홍보 활동.
2. 이에 디지털 셰도우즈들이 조사해보니, 통계 조작과 악의적 편집하는 사례 있는 듯 함.
3. 사이트의 현황을 정확히 파악하려면 통계 서비스와 휴민트를 조합해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 4

  코드 서명 절차를 안전하게 유지시키기 위한 ...

• 5

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...