[제4의 물결 시대③] 첨단기술이 만들어낸 그림자 ‘다크웹’
[제4의 물결 시대③] 첨단기술이 만들어낸 그림자 ‘다크웹’
  • 박주환 기자
  • 승인 2019.03.03 11:42
  • 댓글 0
이 기사를 공유합니다

불법거래의 온상 ‘다크웹’, 수사도 쉽지않아
악성코드부터 마약‧총기류 등 암시장 형성
1만원짜리 해킹툴도 존재, 국제항공사 접속
미국‧유럽 블랙마켓 폐쇄, 운영자 구속 노력
러시아는 관련법 제정해 접속 자체를 차단 
ⓒ게티이미지뱅크
어둠의 경로로 불리는 다크웹을 통한 범죄가 국내에서도 적발되고 있다. 익명성이 보장되는 이 디지털 공간에서는 마약, 총기류 등의 불법적 거래나 범죄 모의 등이 이뤄지는 것으로 전해졌다. ⓒ게티이미지뱅크

디지털사회의 핵심은 모든 대상이 온라인으로 관계를 맺는 것에 있다. 사람과 사람은 소셜 네트워크 서비스(SNS)로 24시간 소통하며 사람과 사물, 사물과 사물은 사물인터넷(IoT)을 기반으로 연결된다. 하지만 상호관계망이 중요해질수록 온라인의 보안 위협도 증가했다. 어디서나 연결할 수 있다는 말은 어디서든 공격받을 수 있다는 의미다. 특히 다크웹(Dark web)을 통한 불법거래시장 형성은 디지털시대의 보안을 위협하는 주요인이다. 익명성이 보장되는 어둠의 경로를 통해 일반인들도 쉽게 디지털 범죄 프로그램을 확보하거나 거래할 수 있기 때문이다. 실제로 다크웹에서는 랜섬웨어(Ransomware) 등 악성코드와 해킹툴(Hacking tool)이 거래되는 것으로 알려졌다. 또 이를 통해 유출된 정보와 자금은 다시 마약 및 총기 거래 등 다른 범죄에 이용되는 악순환을 만들어 낸다. 관계의 규모가 커진 만큼 피해의 범위도 도시와 국가 단위로 확장될 전망이다. 다각적 차원의 준비가 이뤄지지 않는다면 디지털 사회의 연결망은 재앙이 될 수 있다는 지적이 나오는 이유다. 

【투데이신문 박주환 기자】 검찰은 지난해 12월 다크웹에 제작된 마약 거래 사이트를 적발하고 운영자를 구속기소했다. 다크웹은 일반적인 방법으로 접근할 수 없는 숨겨진 웹사이트다. 다크웹에서는 접속자의 IP추적이 어려워 범죄행위를 적발하기가 쉽지 않다. 운영자 신모(39)씨와 프로그래머 김모(35)씨는 대마‧필로폰 등의 거래를 알선한 혐의를 받았다. 웹페이지의 등록회원은 636명, 판매상은 16개팀, 거래횟수는 50회로 추정됐다. 

같은해 5월에는 다크웹에서 아동음란물 사이트를 운영한 20대 남성이 경찰에 붙잡히기도 했다. 이 남성은 지난 2015년부터 약 3년간 충청남도에 소재한 자신의 집에 서버를 두고 아동음란물 22만여 건을 유통, 415비트코인(당시 추정 약 4억원)을 챙긴 혐의를 받았다. 경찰은 해당 사이트를 통해 음란물을 다운받은 이용자가 150여명인 것으로 파악했고 이들 역시 형사입건했다. 

다크웹은 딥웹(Deep web)의 일부분이다. 딥웹은 검색엔진을 통해 나타나지 않는 웹사이트를 통칭한다. 그중에서도 다크웹은 특정한 우회방식을 통해서만 접근할 수 있다. 주로 토르(tor) 브라우저가 활용된다. 이 브라우저 기술의 핵심은 서버에 전송되는 통신 및 데이터의 다층적 경유다. 사용자는 이 경유과정에서 자신의 접속 국가와는 전혀 관계없는 국적의 IP를 얻게 된다. 익명성을 확보하게 되는 것이다. 다크웹은 이 같은 특징 때문에 다양한 범죄 행위에 악용된다. 때로는 정부의 감시 및 검열을 피한 모임들도 생성된다. 

다크웹의 상당수는 무해한 사이트로 알려져 있다. 토르는 자사의 홈페이지에서 ‘법을 지키는 일반적인 사람들을 보호하려 한다. 범죄자의 프라이버시만 중요하지는 않다’고 주장한다. 실제 다크웹을 경험한 사람들은 생각보다 특별한 것은 없다고 평가한다. 사람들은 그곳에서도 일상적인 정보나 취미를 공유한다. 때로는 인터넷을 검열하는 정부의 눈을 피해 토론이 이뤄지기도 한다. 

하지만 다크웹에 불법적인 암거래 시장이 형성된 것도 사실이다. 경찰청 보고에는 다크웹에서 다양한 불법행위가 이뤄지고 있다고 적시됐다. 익명성이 곧 범죄는 아니지만 주요한 도구로 사용될 가능성은 언제나 열려있다. 다크웹에서는 마리화나, 코카인 등 마약류가 판매되고 있으며 권총, 기관총 등 무기류도 거래되는 것으로 알려졌다. 경찰은 음란물 교환 및 판매나 신용카드번호, 의료기록 등 개인정보 매매도 이뤄지는 것으로 파악하고 있다. 이밖에도 폐쇄된 모임을 통한 범죄 모의, 분산서비스거부공격(DDoS) 등의 지원이 이뤄지기도 한다. 일각에서는 ISIS 등 테러 조직들의 채용‧훈련‧계획‧자금모집 등의 활동이 이뤄지고 있다는 주장도 제기된다. 

ⓒ 한국랜섬웨어침해대응센터
다크웹 등에서 거래 및 생성되는 랜섬웨어의 피해가 국내에서도 급증하고 있다. ⓒ한국랜섬웨어침해대응센터

랜섬웨어 등 악성코드가 거래되는 다크웹
지난해 피해금액 1조원 넘어, 3년 새 10배

다크웹에서는 랜섬웨어 등 악성코드가 거래되기도 한다. 전문지식이나 기술이 없어도 만들어진 프로그램을 구매해 악용할 수 있다는 얘기다. 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어다. 다른 악성코드와 달리 데이터를 암호화하고 화면을 잠근다. 주요 파일들을 사용할 수 없게 되면 복구를 대가로 금전을 요구하는 것이 특징이다. 

지난해 5월경, 국내 한 중소기업의 인사담당자는 입사를 희망한다는 내용의 이메일을 받았다. 이력서를 제출한 것으로 판단한 직원은 첨부된 파일을 다운받고 실행했지만 아무 내용도 나타나지 않았다. ‘누가 장난으로 메일을 보낸 건가’ 생각하던 차, 잠시 후 주요 업무 파일들의 확장자가 변경된 것을 확인할 수 있었다. 변조된 파일들은 열리지 않았고 백업해 두지 않았던 직원들의 인사정보를 모두 사용하지 못하게 됐다. 

피해 직원은 “정말 지능적으로 이메일을 보냈다. 읽어보지 않을 수 없게 보냈더라. 상사는 이상한 사이트에 들어간 것 아니냐고 질타하는데 그런 게 아니라 더 억울했다”라며 “회사에 관한 메일인 것 같아도 발신자가 불분명한 메일은 읽어보지 않는 게 좋을 것 같다. 요새는 검찰청이나 취업포털을 사칭한 메일도 온다고 하는데 조심하길 바란다”고 조언했다. 

한국랜섬웨어침해대응센터에 따르면 국내에 접수된 랜섬웨어 피해현황은 ▲2015년 2678건 ▲2016년 3255건 ▲2017년 4475건 ▲2018년 4652건 등 매년 늘어났다. 이에 따른 피해금액 역시 2015년 1090억원에서 지난해 1조2500억원으로 10배 이상 급증했다. 

한국랜섬웨어침해대응센터 이형택 센터장은 “랜섬웨어의 형태가 점점 다양해지고 있다. 최근에는 반도체 협력사의 데이터베이스가 암호화돼 서버가 10시간가량 중단되기도 했다”라며 “규모가 있는 회사라면 그나마 괜찮겠지만 중소기업들에게는 타격이 크다”라고 말했다.  

ⓒ 게티이미지뱅크
사물인터넷 이용범위의 확장으로 악성코드가 침투할 수 있는 경로가 늘어났다. 지난해에는 이를 노리는 변종 악성코드 12만 종이 보고됐다. ⓒ게티이미지뱅크

사이버공격의 표적이 된 가정용 IoT기기
지난해 보고된 변종 악성코드만 12만 종 

다크웹 등을 통해 유포되는 악성코드는 디지털사회의 주요한 위협이다. 정보통신기술(ICT)이 대중화‧일반화 되면서 가정에도 다양한 백신프로그램이 활용됐지만 변종 악성코드들도 함께 증가하고 있기 때문이다. 

특히 사물인터넷의 급격한 발전으로 악성코드가 침투할 수 있는 경로도 다양해졌다. 앞으로는 TV, 냉장고, 인덕션, 다리미, 침대 등 거의 모든 가전에 인터넷이 접목될 전망이다. 여기에 자율주행자동차, 웨어러블(Wearable)인터넷 등이 도입되면 악성코드의 공격에 노출되지 않는 상황을 찾기가 힘들 지경이다.

한 IT 전문가는 다크웹 등을 통해 자료를 확보하면 개인이 악성코드를 만드는 일도 어렵지 않다고 전했다. 일부 악성코드들은 오픈소스가 공개돼 직접 생성이 가능하다는 설명이다. 악성코드의 제작‧활용이 쉽다는 것은 곧 유사 피해가 더욱 많아질 것이라는 뜻이다. 

보안솔루션 업체 이스트시큐리티 역시 ‘2019년 보안위협 전망’에서 사물인터넷 기술을 탑재한 기기의 가정 보급이 늘어남에 따라 공격자들이 가정용 기기로 타깃을 확장할 가능성이 높다고 내다봤다. 가정용 기기는 상대적으로 보안패치가 더디게 이뤄지고 초기설정을 유지하는 경우가 많아 손쉬운 먹잇감이 될 수 있다는 분석이다.

이스트시큐리티는 “가정용 사물인터넷 기기들을 타깃으로 하는 공격은 올해에도 활발히 진행될 것으로 예상된다”라며 “감염된 기기들로 인해 발생하는 공격규모 역시 크게 확대될 것으로 보인다”고 전했다. 

실제 카스퍼스키랩의 ‘IoT 보고서’에 따르면 지난해 사물인터넷 기기를 공격한 변종 악성코드는 12만 종을 넘어섰다. 이는 직전해인 2017년에 비해 3배 넘게 증가한 수준이다. 카스퍼스키랩은 이 같은 현상을 ‘위험한 트렌드’라고 표현하며 경고했다. 

이들은 보고서를 통해 “사물인터넷 기기 시장의 규모와 일상생활에서 차지하는 역할이 급격히 커지고 있어 사이버 범죄자들도 금전적 기회를 엿보며 공격의 수를 늘리고 공격 양상을 다양화하고 있다”라며 “사물인터넷 장치를 즐겨 사용하는 소비자는 예기치 못한 공격으로 겉보기에 무해한 기기가 불법 행위에 악용되는 위험에 처하게 된다”고 우려했다. 

ⓒ 게티이미지뱅크
다크웹에서는 해킹툴의 유통이 이뤄지며 사이트에 따라 일반인도 거래가 가능하다. ⓒ게티이미지뱅크

1만원대 해킹툴로 공항 시스템에 접속
좀비PC, 개인정보 등 다른 범죄에 이용

해킹툴의 확산도 경계해야할 부분이다. 다크웹에서는 전문 해커들이 만든 해킹 도구들이 이른바 ○○포럼이라는 커뮤니티에서 유통되고 있다. 이 중 일부는 내부 보안을 위해 접근에 제한을 둔다. 안전한 인물이라고 확인되지 않으면 거래 대상에서 배제하는 것이다. 이런 곳들은 대부분 내부자의 추천을 통해 가입이 이뤄지고 있다. 하지만 일부 사이트는 누구에게나 접근이 개방돼 있다. 실례로 다크웹 기반의 한 해킹 포럼에는 100만여명의 사용자가 가입돼 있으며 소셜계정이나 해킹툴을 사고파는 것으로 알려졌다. 

해킹툴의 가격은 천차만별이다. 해외 주요보안업체에서 유출된 프로그램은 한화 약 550억원을 호가하는가 하면 수천만원 선에서 거래되기도 한다. 더 낮은 수준으로 내려가면 1만원 대에서 구매할 수 있는 해킹툴도 있다. 가격이 낮다고 무시해선 안 된다. 해당 해킹툴은 주요 국제공항 시스템에 접속할 수 있다고 전해졌다. 

해킹툴의 낮은 가격이 문제가 되는 이유는 해킹 범죄의 확산 우려 때문이다. 누구나 해킹툴을 구입할 수 있다는 것은 누군가가 손쉽게 타인의 전자기기 기능 일부를 제어할 수 있게 된다는 것이다. 개인정보 유출의 위험은 두말할 나위 없으며 해킹툴로 좀비화된 PC나 신용카드정보 등은 다시 다크웹에서 거래돼 다른 범죄에 이용된다. 

더욱이 최근에는 양자컴퓨터를 통한 암호체계의 붕괴론까지 나와 해킹툴 마저 무색해질지 모른다는 예측이 제기된다. 

양자컴퓨터란 양자역학에 기반을 둔 논리연산법을 컴퓨터에 도입하는 것을 말한다. 미국의 이론 물리학자 리차드 파인만에 의해 1982년 제안된 이 개념은 현재 초기단계의 상용화가 이뤄지는 등 급격한 발전을 거듭하고 있다.  

쉽게 설명하면 그동안의 컴퓨터는 고전 역학을 바탕으로 한 번에 한 단계씩만 계산했다. 하지만 양자역학을 이용하면 한 번의 조작으로 가능한 모든 영역의 계산을 병렬처리 할 수 있게 된다. 과학계에서는 양자컴퓨터의 개발로 기존의 슈퍼컴퓨터로도 접근이 어려웠던 복잡한 분야의 문제들을 해결할 수 있을 것으로 기대한다. 

하지만 양자컴퓨터의 혁신성은 되돌아오는 화살이다. 획기적으로 문제를 해결할 수 있는 기술이 보안 분야에서는 위협이 된다. 실제로 전문가들은 양자컴퓨터의 등장과 동시에 암호화 기술이 모두 무력화될 수 있다고 지적한다. 미국 국가안보국(NSA)은 양자컴퓨팅 기술이 현재의 암호질서를 파괴할 수 있음을 수년전부터 제기해왔고 캐나다 연구기관에서도 2031년경 양자컴퓨터로 인한 암호체계 붕괴 가능성을 50% 이상으로 내다봤다. 

ⓒ 게티이미지뱅크
각국의 수사기관은 다크웹으로부터 발생한 범죄를 적발하기 위해 노력하고 있지만 사용자 확인이 쉽지 않아 어려움을 겪고 있다. ⓒ게티이미지뱅크

디지털 보안, 인간생명‧국가안보 위협하는 수준
“시스템 설계부터 보안 내재화 개념을 적용해야”

개인정보유출에 한정됐던 디지털 보안 문제는 인간의 생명이나 국가의 안보를 위협하는 수준으로 확대됐다. 모든 것이 인터넷으로 연결되고 시스템의 관리가 일원화된 상황에서 발생할 피해의 규모는 점점 커질 수밖에 없다. 침입을 시도하는 공격자는 개인일수도 있지만 타국의 집단이나 자국의 정부일 수도 있다. 

한국인터넷진흥원에 따르면 실제로 2017년에는 신용카드 정보를 노린 악성코드나, 홈페이지 방문만으로 감염되는 랜섬웨어 등이 기승을 부렸으며 국내 카드사 카드정보 4000여 건이 블랙마켓에서 거래된 정황이 드러나기도 했다. 해외에서는 미국중앙정보국(CIA)이 애플‧안드로이드‧스마트TV 등을 이용해 일반인들을 해킹했다는 주장도 제기됐다. 

과학기술정보통신부 산하 한국과학기술기획평가원은 “기기 간 연결성 확장으로 사이버 해킹, 바이러스, 보안패치, 기술 유출 등 다양한 디지털 사이버 보안의 위협에 직면했다”라며 “서버에 대한 공격으로 서비스가 멈춰 중요한 시스템이 갑자기 중단되는 사태가 발생하는 등 치명적인 재해와 유무형의 재산적 손실이 발생할 수 있다”고 내다봤다. 

이 같은 디지털 범죄 행위의 기저에 다크웹이 있다. 이를 포착한 미국은 이미 지난 2013년 다크웹에서 가장 유명한 암시장 실크로드(Silk road)를 폐쇄하고 운영자를 체포했다. 실크로드는 당시 유명세를 떨친 블랙마켓으로 95만여명의 이용자를 보유했다. 미국연방수사국(FBI) 등은 수사관의 잠입수사 등을 통해 피의자에게 접근, 증거를 확보했다. 

미국은 이후 2017년에도 유럽과의 국제공조를 통해 불법거래 사이트 알파베이(Alphabay)와 한사마켓(Hansa market)을 차단했다. 당시 알파베이의 이용자는 40만명에 달했는데 운영자가 갑자기 자취를 감춰 다크웹 상에서 화제가 되기도 했다. 

다만 이상의 사례들은 물리적 증거를 확보하기 위한 노력이 선행됐기 때문이다. 다크웹에서의 인터넷 사용자 확인은 원천기술의 특성상 쉽지 않다. 지금도 다크웹의 베일을 벗기려는 진영과 익명성을 지키려는 진영과의 기술적 대립이 계속되고 있다. 

이에 따라 몇몇 국가들은 다크웹에 대한 접속 자체를 차단하는 방식을 취한다. 중국은 ‘만리장성방화벽(the Great Firewall)’을 통해 일반 웹사이트는 물론 토르 이용자의 다크웹 접속도 차단한다. 러시아는 토르 등의 이용 자체를 금지하는 법률을 2017년 통과시켰다. 해당 법은 인터넷 서비스제공자의 다크웹 접속 차단을 의무화하고 있다. 

하지만 범죄의 예방과는 별개로 접속 자체를 막는다는 것은 또 다른 논란을 불러올 여지가 있다. 미국과 유럽이 인터넷에 대한 자율적 규제를 중심으로 범죄의 적발과 처벌에 중점을 두는 것도 이러한 이유에서다. 

때문에 전문가들은 사물인터넷의 확장에 앞서 보안 시스템을 내재화하는 정책적 노력이 중요하다고 강조한다. 

한국전자통신연구원은 “4차산업혁명 시대의 보안기능은 시스템 설계 단계에서부터 보안을 내재화하는 개념을 적용해야 한다. 이를 위해서는 신규 기술적 대응이 필요한 분야를 집중 지원하고 인력을 구축하는 정책적 노력이 우선돼야 한다”라며 “기존의 수동적이고 방어적인 보안대응을 넘어 능동적이고 적극적인 보안 전력을 추진해야 한다”고 짚었다.  

이어 “기술적 측면에서 네트워크 경계 보호를 넘어 사람을 중심으로 보안 대응전략을 세워나가고 국가차원에서 사이버전쟁에 대비한 기술적 대응책을 마련할 필요가 있다”라며 “양자컴퓨터나 인공지능과 같은 신기술을 악용한 신규 보안기술을 준비해야 한다”고 지적했다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.