[사이버 투시경] ⑫ 사이버 범죄의 근원지 ‘다크 웹’과 해커들의 놀이터 ‘쇼단’

▲ 미 국방부가 공개한 군용 드론 'MQ-9 리퍼'의 모습. 최근 이 드론과 관련된 민감한 정보가 해킹 당해 사이버 암시장에서 거래되는 정황이 드러났다. ⓒ 연합뉴스

다크 웹, 암호화된 네트워크에 별도 존재해 사이버 암시장 등 불법 활동의 온상

쇼단, 사물인터넷 검색엔진으로 IoT 기기 보안 취약점 찾아...그것을 해커가 이용

다크 웹 암시장에 민감한 미군 정보 나와...해커는 쇼단 이용해 취약점 파악 주장

(시큐리티팩트=김한경 총괄 에디터)

일반적으로 인터넷에 접근하려면 익스플로러, 크롬 등 인터넷 브라우저를 이용해 구글, 네이버 등 포털의 검색 페이지를 접속하여 연결된다. 이렇게 접근하는 웹을 표층 웹(Surface Web)이라고 한다.

이와 대비되는 개념으로 딥 웹(Deep Web)이 있다. 딥 웹은 인터넷의 일종이지만 포털사이트에서 검색되지 않는 인터넷 공간을 의미한다. 다크 웹은 딥 웹의 한 종류로서, 일반적인 인터넷 브라우저로는 접근이 불가능하다.

다크 웹은 암호화된 네트워크에 존재해 특정 브라우저를 통해서만 접근이 가능하며, 일반 웹사이트와 다른 형태의 주소를 갖고 철저한 익명화를 특징으로 하는데다 온라인 상거래는 가상화폐를 사용한다.

다크 웹은 외부와의 교류가 폐쇄된 국가나 인터넷 검열이 심한 국가에서 정부의 검열을 피해 바깥 세계와 소통할 수 있다는 창구로 활용되는 긍정적인 역할도 한다. 하지만 일반적인 웹 사이트 경로로는 접속할 수 없고, IP 추적도 어려워 사이버 암시장 등 인터넷상 불법 활동의 온상이 되고 있다.

특히 마약 거래, 무기 구매, 신용카드 정보 거래 등의 불법 사이트가 있는가 하면, 경쟁사의 고객정보나 자금 상태에 대한 정보 요구, 개발과정 중인 경쟁 상품과 마케팅 계획 등을 해킹해 달라는 요구도 있다. 또 IS와 같은 테러 단체가 회원을 모집하거나 전 세계적으로 이슈가 된 랜섬웨어 악성파일 및 해킹도구도 거래되고 있다.

지난 10일 CNN에 따르면, 미군의 MQ-9 리퍼 드론의 운영 계획, M1 에이브람스 탱크의 작전 매뉴얼 등 군사기밀 성격의 민감한 자료가 다크 웹에서 거래되는 것이 발견돼 미군이 발칵 뒤집혔다는 소식이다. 평균 정도의 해킹 실력을 갖춘 해커 한 명이 전투기 정비단 소속 대위의 컴퓨터에 침투해 훔쳐냈을 가능성이 높다고 한다.

다크 웹에서 이 자료들을 발견한 보안업체 ‘레코디드 퓨처’는 판매자(아마도 해커 본인)에게 연락을 취해 구매를 시도했다. 판매자는 새롭게 해킹 포럼에 출현한 ‘새내기’로, 영어가 모국어인 것으로 보였는데, “쇼단 검색엔진으로 특정 라우터 제품에서 보안 취약점을 찾아낼 수 있었다”고 주장했다.

이 해커는 국경 감시 카메라나 정찰 중인 M1-1 프레데터 드론의 영상을 집에서 라이브로 감상하곤 했는데, 이 역시 쇼단 검색엔진을 통해 보안 장치가 없는 장비들을 찾아 영상을 즐겼다고 한다. 이런 영상은 국경을 사이에 두고 마약 거래를 진행하는 범죄자들에겐 대단히 귀중한 자료인데, 다행히도 이 해커는 이런 걸로 돈벌이를 시도하지는 않은 것으로 보인다.

이 해커가 즐겨 사용한 ‘쇼단’은 세계 최초의 사물인터넷 검색엔진으로서, 여러 검색필터를 이용해 사용자가 원하는 결과를 찾을 수 있게 도와준다. 2009년 스위스 출신 프로그래머 John Matherly가 ‘IoT 기기를 검색하면 좋겠다’라는 아이디어를 현실화시킨 것으로 근본적인 기능은 IoT 보안을 강화하기 위해 취약점을 찾는 것이다.

보안 전문가들은 쇼단을 통해 자신이 관리하는 장비와 서비스의 보안 취약점을 파악할 수 있다. 문제는 이렇게 파악된 보안 취약점을 해커가 악용해 해킹을 한다는 것이다. 이런 이유로 쇼단은 ‘어둠의 구글’, ‘해커의 놀이터’란 수식어가 따라 다닌다.

미군의 최근 사례는 평균 정도의 해킹 실력을 가진 사람이 단독으로 민감한 군사정보를 빼내어 다크 웹에서 거래할 수 있다는 사실을 보여준다. 게다가 해커가 악용한 특정 라우터의 보안 취약점은 2년 전에 이미 발표됐고 패치가 나온 것이었다.

이로 인해 해당 부대의 네트워크는 제 때에 패치도 되지 않은 라우터를 사용하는데다 보통의 해커에게 뚫릴 정도로 허술한 보안 시스템을 가진 조직으로 전락했다. 미군은 유출된 자료가 개인 컴퓨터에 있었던 것인지 군 전용 시스템에 저장된 것인지를 파악 중이라고 한다. 만일 전용 시스템에 저장된 자료라면, 미군의 인증 및 보안 시스템 전반에 대한 점검이 필요할 것으로 보인다.

해외 민간기관의 발표에 따르면, 2017년 기준으로 다크 웹 서비스의 약 75%는 영어로, 21%는 러시아어로 제공된다고 한다. 그 다음 순위는 프랑스어, 독일어, 한국어로서, 한국어가 5위를 차지한다는 사실이 놀랍다.

다크 웹에 대한 규제는 미국의 경우 불법 사이트 차단과 사이버범죄자 적발 및 처벌에 중점을 두고 있다. 미국은 2013년 다크 웹의 가장 유명한 암시장이었던 ‘실크로드’를 폐쇄하고 운영자를 체포했다. 그러나 유사 사이트가 지속적으로 등장해 규제의 실효성에 의문이 제기되는 상태다.

한국은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’ 제44조의7(불법정보의 유통금지 등)에 근거하여 방송통신위원회가 다크 웹에서 유통되는 불법 정보의 삭제 및 접속 차단을 명령할 수 있다. 그러나 한국은 주로 표층 웹에 대한 불법 정보 차단에 집중하고 있어 다크 웹 자체에는 아직 별다른 규제를 하지 못하는 상황이다.