'딥 웹', '다크 웹'은 위험? 알아두어야 할 점

Lee Campbell

최근 뉴스에 사이버 범죄나 인터넷상의 부정행위의 장소로 'Deep Web(딥 웹)'이나 'Dark Web(다크 웹)'이라는 용어가 자주 들려옵니다. 이 용어는 인터넷상의 지하공간을 의미하고 있습니다.

딥 웹
Web 검색엔진에 등록되지 않은 웹사이트

다크 웹
익명성 및 추적 방지를 실현하는 기술을 사용한 네트워크상의 웹사이트

딥 웹은 다크 웹을 포함한 상위 개념입니다. 딥 웹은 일반적으로 Google 및 Yahoo! 등으로 검색해도 결과에 표시되지 않는 웹사이트입니다. Web 검색엔진에 등록되지 않는 이유에는 여러가지 기술적 요인이 있습니다. Google과 Yahoo! 등 일반적인 Web 검색엔진은 자신의 크롤러로 인터넷상의 웹사이트의 정보를 수집하여 등록합니다. 액세스가 되지 않는 Web 컨텐츠는 등록할 수 없습니다. 크롤러가 액세스할 수 없는 사이트로는 액세스 인증정보가 필요한 회원제 웹사이트가 있습니다. 크롤러는 인증정보 입력화면까지는 액세스할 수 있지만, 인증정보가 필요한 Web 컨텐츠는 등록할 수 없어, 이를 딥 웹이라고 부릅니다.

딥 웹에는 인터넷상에 있으면서 특별한 소프트웨어를 사용하지 않으면 액세스할 수 없는 영역도 포함됩니다. 이 특별한 네트워크 영역에는 Web 콘텐츠에 액세스할 때의 익명성 유지 및 추적 회피, 사이트 자체의 익명성을 제공하는 기술을 사용하는 것도 'darknet(다크넷)'이라고 호칭하고 있습니다. 다크넷의 대표적인 존재로 익명 네트워크 'Tor'가 있습니다. 그리고 이 다크넷에 존재하는 웹사이트를 'Dark Web(다크 웹)'이라고 합니다.

다크넷
익명성 및 추적 방지를 실현하는 기술을 사용한 네트워크

다크 웹
다크넷의 웹사이트

하지만 일반적으로 다크넷과 다크 웹은 특별히 구별하지 않고 사용되는 경우가 많습니다. 실제로는 다크 웹에 접근하는 것은 어려운 일이 아닙니다. 예로 든 Tor 네트워크에 액세스하기 위한 전용 도구는 인터넷상에서 손쉽게 구할 수 있습니다. 또한 전용 도구를 다운로드하지 않아도 일반 브라우저를 사용하여 Tor 네트워크의 Web보기 할 수 있는 서비스도 존재하고 있습니다.

■ 다크 웹과 사이버 범죄와의 관계

이와 같이, 용어의 관점에서 딥 웹도 다크 웹도 직접적으로 사이버 범죄와 관련된 것은 아닙니다. 그러나 사이버 범죄자에게 특히 다크 웹이 제공하는 익명성 및 추적 방지는 이용가치가 높은 것이며, 실제로 사이버 범죄에서의 빈번한 사용을 볼 수 있습니다. 주요 사용 예로서 위법한 사이트의 설치 및 무단 액세스 추적 회피가 있습니다.

불법 사이트의 설치 :
사이버 범죄자는 자신의 불법 사이트의 설치 장소 등을 특정되지 않도록 다크 웹을 이용합니다. 다크 웹의 악성 사이트로 자주 거론되는 예로는 암시장이 있습니다. 다크 웹에서 운영되고 있던 암시장 중에서도 가장 유명한 존재는 'Silk Road'입니다. 2013년에 미국의 FBI가 운영자를 체포하고 사이트를 폐쇄할 때까지 2년 반 동안 불법 약물부터 총기, 악성코드 및 다양한 개인정보 심지어는 암살 의뢰까지도 판매되고 있었습니다. 이 'Silk Road'의 폐쇄 후에도 비슷한 암시장이 재차 등장하고, 각국의 수사기관의 노력으로 폐쇄에 몰리는 일이 반복되고 있습니다.

암시장 'Silk Road'의 메인 페이지

이런 암시장에서 취급하는 제품 중에서는 신용카드 정보 및 인증정보(계정 및 암호)를 포함한 개인정보 매매가 있습니다. 최근에는 EC사이트나 기업 등에서 대량의 개인정보가 유출되는 사건도 끊이지 않고 있습니다. 또한 사이버 범죄자는 피싱 및 악성코드 감염, 변조된 EC사이트 등의 수법에 통해 개인정보를 탈취합니다. 이렇게 수집 한 정보를 다른 사이버 범죄자에게 판매하기 위해 인터넷상의 언더그라운드 사이트와 다크 웹의 암시장을 사용하는 것으로 간주합니다.

암시장에서 신용카드 정보의 판매 화면. 신용카드의 유효기간과 소유자의 이름, 주소, 생일, 전화번호 등의 유무가 표시되어 있다.

 

샘플로 공개된 이메일 주소와 비밀번호의 조합 목록. 사이버 범죄자는 이렇게 자신이 가지고 있는 정보의 증거로, 일부를 인터넷이나 다크 웹에서 공개할 수 있다.

일단 유출되고 매매 및 노출이 이루어진 정보는 디지털 데이터로 사라지지 않고 여러 차례 사이버 범죄자에게 재사용됩니다. 이러한 유출 정보 중에서도 특히 계정과 암호 목록을 사용하는 공격으로는 '계정 목록 공격'이 있습니다. '리스트형 계정 해킹', '비밀번호 목록 공격'등의 명칭으로도 불리는 계정 목록 공격은 사전에 입수한 계정과 암호의 목록을 바탕으로 Web 서비스에 대한 무단 로그인을 시도하는 공격입니다 . 2019년 7월에 발생한 캐시리스 결제서비스의 오용 사례에서는 계정 목록 공격으로 808명의 피해자, 합계 3억 8,000만 원을 넘는 금전 피해가 발생했다고 공표되어 있습니다.

기타 악성 프로그램의 원격조정 서버(C&C 서버)와 랜섬웨어의 몸값 지불 사이트, 랜섬웨어를 서비스로 판매하는 RaaS라는 사이트 등이 다크 웹상에 구축된 사례도 확인되고 있습니다.

Tor 네트워크에 설치된 랜섬웨어 'GandCrab'의 몸값 지불 사이트

 

Tor 네트워크에 설치된 RaaS 'SATAN'

무단 액세스의 추적 회피 :
사이버 범죄자는 무단 액세스의 추적 회피 수단으로도 다크 웹을 사용합니다. 누군가가 인터넷 사이트에 액세스하는 경우 액세스를 받은 사이트는 액세스 한 IP주소를 알 수 있습니다. 이 액세스 한 IP주소를 확인하여 액세스 한 인물이 어디에 있는지 등의 정보를 알 수 있습니다. 이러한 추적을 회피하기 위한 가장 확실한 방법으로 다크 웹이 사용됩니다. 실제로 국내에서 발생한 공표 사례로 2012년에 발생한 이른바 '컴퓨터 원격 조작 사건'이 있습니다. 이 사건의 범인은 악성코드를 감염시킨 PC를 Tor 네트워크를 통해 원격 조작하고 인터넷 게시판에 다양한 범행 예고를 하고 있었습니다.

이처럼, 딥 웹이나 다크 웹 자체가 직접 일반 인터넷 이용자의 위협이 되는 존재는 아닙니다. 그러나 사이버 범죄자는 다크 웹이 제공하는 익명성을 자신의 활동에 이용하고 있습니다. 특히 암시장에서 거래되는 개인정보나 악성코드, 서비스 등을 통해 사이버 범죄의 실행을 용이하게 한다는 점은 주목할만한 것입니다. 실제 피해를 당하지 않기 위한 대책을 고려할 때, 사이버 범죄자가 다크 웹을 이용하는 수법에 대해 아는 것이 중요합니다. 개인에 있어서는, 흥미 위주로 다크 웹에 접근하면 곤경에 처할 수 있다는 것을 인식하십시오. 조직에서는 자신의 네트워크에서 다크 웹 통신의 존재를 시각화할 수 있는 수단을 가지고 있어야 합니다.

출처 번역
「ディープウェブ」、「ダークウェブ」は危険？一般のネット利用者が知っておくべきこと
https://blog.trendmicro.co.jp/archives/24551

「ディープウェブ」、「ダークウェブ」は危険？一般のネット利用者が知っておくべきこと | �