2019.07.10

다크웹 폐쇄, 좋은 기사거리는 되지만 보안에는 무의미

Dan Swinhoe | CSO
다크웹(Dark web) 시장은 본질적으로 불안정하다. 경쟁자의 일상적인 DDoS 공격, 사법 기관의 폐쇄 조치, 다양한 사기 등으로 인해 수시로 만들어지고 사라진다.
 
ⓒ Getty Images Bank 

위협 정보 제공업체 레코디드 퓨처(Recorded Future)에 따르면, 현재 토르(Tor) 어니언 도메인의 수는 약 8,400개이며 그 안에 100여 개의 마켓과 포럼이 있다. 2013년 실크 로드 폐쇄 이후 다크웹 마켓플레이스는 수시로 나타났다 사라지기를 반복 중이다. 2017년에는 알파베이(AlphaBay)와 한사(Hansa)가 가장 유명한 마켓이었지만 미국 사법기관의 코드명 베이오넷(Bayonet) 작전에 따라 폐쇄됐다.

2019년에는 큰 규모의 폐쇄가 이어졌다. 알파베이와 한사가 사라진 빈 자리를 채우기 위해 등장한 드림 마켓(Dream Market), 월스트리트 마켓(Wall Street Market), 발할라/실키티(Valhalla/Silkkitie) 모두 최근 몇 개월 사이 문을 닫았다.

월스트리트와 발할라 마켓은 미 사법기관에 의해 폐쇄 조치됐으며(월스트리트 운영자들은 도주하다 체포된 것으로 알려졌다), 드림 마켓 운영진은 공격자들이 토르의 결함을 사용해 반복적으로 DDoS 공격을 가하면서 공격을 멈추는 대가로 몸값을 요구하는 데 지쳐 사이트를 닫는다고 밝혔다. 폐쇄의 "공식" 성명에는 서비스를 파트너 회사로 양도한다고 나와 있지만 드림 마켓을 대체하는 파트너는 아직 등장하지 않았다.

다크웹 마켓을 전문으로 다루는 뉴스 사이트인 딥 닷 웹(Deep Dot Web)도 소유자가 기사를 써주는 대가로 마켓으로부터 리베이트를 받은 혐의와 돈세탁 혐의로 기소되면서 폐쇄됐다.

이렇게 수시로 문을 닫는 데도 불구하고 해킹 툴, 악성코드, 정보 유기를 포함한 불법 상품과 서비스를 위한 블랙 마켓은 끈질기게 존재한다. 나이트메어(Nightmare), 엠파이어(Empire), 다크마켓(Darkmarket) 외에도 다크웹 마켓 모니터링 사이트에는 많은 다크웹 마켓이 올라와 있으며 지속적으로 새로 만들어지고 사라진다.

위협 정보 업체 플래시포인트(Flashpoint) CEO 조시 레프코위츠는 “폐쇄하면 공백이 생긴다. 다크웹 마켓플레이스의 빈 자리는 곧 이 바닥에서 최고의 자리에 오를 기회를 잡고자 하는 사람들에게는 동기가 된다”고 말했다.

레프코위츠는 “다크웹 마켓 폐쇄가 기업이 직면하는 위험 감소 측면에서 유의미한 영향으로 이어지지는 않는다고 생각한다. 그곳에서 불법 마약을 구입해 온 사람이라면 폐쇄로 인해 일상이 조금 더 어려워질 것이다. 패키지 형태의 사용자 인증 정보 라이브러리를 구매하고자 하는 사람은 여전히 구할 수 있다는 면에서 다크웹 마켓 폐쇄가 사이버범죄 생태계에 미치는 영향은 거의 없다. 몇 년 전부터 이 고양이와 쥐 게임은 다양한 형태와 형식으로 끊임없이 반복되고 있다. 동기가 강한 구매자와 판매자가 존재하며 온갖 다양한 요소를 포괄하는 글로벌 마켓플레이스가 존재한다”고 설명했다.


분주한 다크웹 시장

레프코위츠는 다크웹 마켓플레이스는 계속 존재하겠지만 많은 범죄자들은 ‘더 안전한’ 것으로 알려진 통신 메커니즘과 생태계로 이동하거나 채팅 서비스로 이동하고 있다고 말했다. 

지난해 알파베이와 한사의 폐쇄 이후의 사이버 범죄 마켓에 대한 디지털 섀도우(Digital Shadows) 보고서에 따르면, 다크웹 사이트 사이에서 왓츠앱(WhatsApp)의 경쟁 앱인 텔레그램(Telegram), 또는 원래 게임 커뮤니티를 위해 개발된 채널 중심의 음성 및 텍스트 애플리케이션인 디스코드(Discord)로 사용자를 초대하는 추세가 증가하고 있다.

이 보고서는 6개월 동안 모니터링하면서 범죄 포럼 및 다크웹 사이트에서 공유되는 5,000개 이상의 텔레그램 링크(1,667개는 새 그룹으로의 초대 링크)와 743건의 디스코드 초대를 확인했다. 이 보고서에 나온 한 예로, 크리덴셜 스터핑(credential stuffing) 툴인 센트리(Sentry) MBA의 전용 포럼도 디스코드로 본거지를 이전했다.

체크포인트(Checkpoint)의 또 다른 보고서는 "텔레그램이 사이버 범죄의 표준 채널이 됐다"고 전했다. 체크포인트는 텔레그램에서 훔친 문서와 해킹 툴을 판매하고 내부자 공격을 위해 직원을 포섭하는 채널 또는 그룹을 여러 개 발견했다고 주장했다. 레프코위츠는 “텔레그램, 디스코드 등은 인기가 급격히 높아졌고 그만큼 다양한 활동이 일어난다. 누구나 마음만 먹으면 손쉽게 새 채널과 그룹을 만들어 포럼이나 마켓플레이스 생태계 내에서 활동할 수 있다”고 말했다.

레프코위츠는 암호화된 채팅 서비스가 일반적인 다크웹 및 마켓플레이스, 포럼보다 더 안전하다는 시각과 함께 이러한 앱의 실시간에 가까운 즉각적 통신, 미디어를 공유하는 기능이 범죄자를 끌어들이는 요인이라면서 “텔레그램에는 자신이 관여한 사기 거래의 방법을 다시 게시하는 사기범들, 회사 직원을 가장하기 위해 그 회사 유니폼을 입고 사진을 찍어줄 파트너를 찾는 내부 공격자 등을 많이 볼 수 있다”고 말했다.

소포스(Sophos)는 최근 아누비스(Anubis) 뱅킹 트로이목마의 배후에 있는 공격자들이 지시 사항을 전달하기 위해 트위터와 텔레그램을 사용해왔다는 조사 결과를 발표했다. 또한 이런 앱은 정보 유기의 새로운 경로가 되고 있기도 하다. 이란과 연계된 APT 그룹 오일리그(OilRig, APT34 및 헬릭스 키튼(Helix Kitten)이라는 이름으로도 알려짐)에 대한 운영 정보와 소스코드는 텔레그램을 통해 유출됐다.

크라우드스트라이크(Crowdstrike) 위협 정보 분석가 미치 에드워드에 따르면, 중국에서도 검열과 감시를 피하기 위해 활동의 상당 부분이 QQ과 위쳇(WeChat) 그룹 메시지로 넘어갔다.

2017년 인사이트(InSight)의 연구 결과, 이미 모바일 기반 다크웹 활동이 그 이전 12개월에 비해 30배 증가했고, 디스코드와 텔레그램, 왓츠앱 등이 훔친 신용카드, 계정 인증 정보, 악성코드, 마약을 거래하고 해킹 방법과 아이디어를 공유하는데 사용되고 있음이 밝혀졌다. 그런 만큼 새로운 추세는 아니지만 이러한 통신 방법의 사용이 증가하고 있는 것으로 보인다.


가시성의 상실

서리대학교(University of Surrey) 범죄학과 교수 마이클 맥과이어는 이와 같은 채널을 “보이지 않는 넷”이라고 표현한다. 최근 브로미움(Bromium)에 게시한 맥과이어의 다크웹 보고서에 따르면, 연구진이 접촉한 다크 넷 “서비스 공급자”의 70%가 비공개 또는 암호화된 메시징 시스템으로 연구진을 초대했으며 그 시스템 안에서만 활동했다.

맥과이어는 본지와의 인터뷰에서 “많은 업자가 더 안전한 채널을 통해 대화하기를 원했다. 우리의 경험을 기준으로 보면 다크 넷은 처음 이쪽과 관계를 맺고 유리창을 통해 안쪽을 들여다보면서 무엇이 있는지 살펴볼 수 있는 은밀한 거래소가 되고 있다. 이 단계를 지나면 다른 수단을 통해 본격적인 대화를 나눌 수 있다. 연구 중에 상대방의 지시에 따라 3~4개의 통신 채널을 거쳐야 했다”고 말했다.

다크웹은 오래 전부터 위협 행위자들이 사업을 해온 곳이지만 동시에 사법 기관과 기업이 블랙 마켓에서 무슨 일이 일어나는지 주시할 수 있는 창문 역할도 해왔다. 맥과이어는 “사법 기관은 다크웹 대처 방법 측면에서 곤란한 문제에 직면했다. 사법 기관 역시 다른 많은 이와 마찬가지로 다크웹에 대한 과장에 휩쓸린 탓에 일단 어떻게든 조치를 취해야 했다. 나는 다크웹이 유용한 사이버 보안 툴이며 사법 기관이 이 기회를 놓치고 있다고 생각한다. 이들은 개인적, 산발적, 무작위적 행동에서 훨씬 더 상호 연계된 사이버 범죄 경제로 사이버 범죄의 속성이 바뀌고 있음을 여전히 보지 못하고 있다. 모든 종류의 경제에서 마찬가지지만 그 경제의 일부 요소를 제압한다 해도 상품과 서비스의 흐름이 근본적으로 차단되지는 않는다”고 설명했다.

다크웹 모니터링은 기업이 그곳에서 어떤 종류의 서비스와 툴이 제공되는지, 위협 행위자들이 회사 관련 정보다 액세스 권한을 구하고 있는지, 또는 회사와 공급업체 또는 고객에 관한 데이터가 온라인에서 판매되거나 유기되는지 여부를 추적할 수 있는 수단이 된다. 다크웹 마켓, 포럼, 페이스트빈(Pastebin)과 같은 사이트로의 유기 등을 개인이 일일이 살펴보는 형태가 아닌, 자동화되고 확장 가능한 추적을 지원하는 다크웹 스캔 기능을 제공하는 여러 신생 업체가 있다.

그러나 메시징 앱에서 더 많은 활동이 일어나고 있다는 것은 이런 자동화된 추적이 더 어려워지고 개인이 비공개 그룹에 참여하기 위한 권한을 얻기가 더 까다로워진다는 것을 의미한다. 즉, 사법 기관과 기업은 그 안에서 일어나는 일에 대한 가시성을 상실하게 된다. 맥과이어는 “2~3년 전과는 다르다. 마켓은 스스로를 빠른 속도로 개혁한다. 더 안전하고 은밀한 통신으로의 변화는 기업에게 우려되는 현상이다. 다크웹 마켓은 보이지 않지만 상품은 여전히 거래되고 있기 때문이다"고 말했다. editor@itworld.co.kr 


2019.07.10

다크웹 폐쇄, 좋은 기사거리는 되지만 보안에는 무의미

Dan Swinhoe | CSO
다크웹(Dark web) 시장은 본질적으로 불안정하다. 경쟁자의 일상적인 DDoS 공격, 사법 기관의 폐쇄 조치, 다양한 사기 등으로 인해 수시로 만들어지고 사라진다.
 
ⓒ Getty Images Bank 

위협 정보 제공업체 레코디드 퓨처(Recorded Future)에 따르면, 현재 토르(Tor) 어니언 도메인의 수는 약 8,400개이며 그 안에 100여 개의 마켓과 포럼이 있다. 2013년 실크 로드 폐쇄 이후 다크웹 마켓플레이스는 수시로 나타났다 사라지기를 반복 중이다. 2017년에는 알파베이(AlphaBay)와 한사(Hansa)가 가장 유명한 마켓이었지만 미국 사법기관의 코드명 베이오넷(Bayonet) 작전에 따라 폐쇄됐다.

2019년에는 큰 규모의 폐쇄가 이어졌다. 알파베이와 한사가 사라진 빈 자리를 채우기 위해 등장한 드림 마켓(Dream Market), 월스트리트 마켓(Wall Street Market), 발할라/실키티(Valhalla/Silkkitie) 모두 최근 몇 개월 사이 문을 닫았다.

월스트리트와 발할라 마켓은 미 사법기관에 의해 폐쇄 조치됐으며(월스트리트 운영자들은 도주하다 체포된 것으로 알려졌다), 드림 마켓 운영진은 공격자들이 토르의 결함을 사용해 반복적으로 DDoS 공격을 가하면서 공격을 멈추는 대가로 몸값을 요구하는 데 지쳐 사이트를 닫는다고 밝혔다. 폐쇄의 "공식" 성명에는 서비스를 파트너 회사로 양도한다고 나와 있지만 드림 마켓을 대체하는 파트너는 아직 등장하지 않았다.

다크웹 마켓을 전문으로 다루는 뉴스 사이트인 딥 닷 웹(Deep Dot Web)도 소유자가 기사를 써주는 대가로 마켓으로부터 리베이트를 받은 혐의와 돈세탁 혐의로 기소되면서 폐쇄됐다.

이렇게 수시로 문을 닫는 데도 불구하고 해킹 툴, 악성코드, 정보 유기를 포함한 불법 상품과 서비스를 위한 블랙 마켓은 끈질기게 존재한다. 나이트메어(Nightmare), 엠파이어(Empire), 다크마켓(Darkmarket) 외에도 다크웹 마켓 모니터링 사이트에는 많은 다크웹 마켓이 올라와 있으며 지속적으로 새로 만들어지고 사라진다.

위협 정보 업체 플래시포인트(Flashpoint) CEO 조시 레프코위츠는 “폐쇄하면 공백이 생긴다. 다크웹 마켓플레이스의 빈 자리는 곧 이 바닥에서 최고의 자리에 오를 기회를 잡고자 하는 사람들에게는 동기가 된다”고 말했다.

레프코위츠는 “다크웹 마켓 폐쇄가 기업이 직면하는 위험 감소 측면에서 유의미한 영향으로 이어지지는 않는다고 생각한다. 그곳에서 불법 마약을 구입해 온 사람이라면 폐쇄로 인해 일상이 조금 더 어려워질 것이다. 패키지 형태의 사용자 인증 정보 라이브러리를 구매하고자 하는 사람은 여전히 구할 수 있다는 면에서 다크웹 마켓 폐쇄가 사이버범죄 생태계에 미치는 영향은 거의 없다. 몇 년 전부터 이 고양이와 쥐 게임은 다양한 형태와 형식으로 끊임없이 반복되고 있다. 동기가 강한 구매자와 판매자가 존재하며 온갖 다양한 요소를 포괄하는 글로벌 마켓플레이스가 존재한다”고 설명했다.


분주한 다크웹 시장

레프코위츠는 다크웹 마켓플레이스는 계속 존재하겠지만 많은 범죄자들은 ‘더 안전한’ 것으로 알려진 통신 메커니즘과 생태계로 이동하거나 채팅 서비스로 이동하고 있다고 말했다. 

지난해 알파베이와 한사의 폐쇄 이후의 사이버 범죄 마켓에 대한 디지털 섀도우(Digital Shadows) 보고서에 따르면, 다크웹 사이트 사이에서 왓츠앱(WhatsApp)의 경쟁 앱인 텔레그램(Telegram), 또는 원래 게임 커뮤니티를 위해 개발된 채널 중심의 음성 및 텍스트 애플리케이션인 디스코드(Discord)로 사용자를 초대하는 추세가 증가하고 있다.

이 보고서는 6개월 동안 모니터링하면서 범죄 포럼 및 다크웹 사이트에서 공유되는 5,000개 이상의 텔레그램 링크(1,667개는 새 그룹으로의 초대 링크)와 743건의 디스코드 초대를 확인했다. 이 보고서에 나온 한 예로, 크리덴셜 스터핑(credential stuffing) 툴인 센트리(Sentry) MBA의 전용 포럼도 디스코드로 본거지를 이전했다.

체크포인트(Checkpoint)의 또 다른 보고서는 "텔레그램이 사이버 범죄의 표준 채널이 됐다"고 전했다. 체크포인트는 텔레그램에서 훔친 문서와 해킹 툴을 판매하고 내부자 공격을 위해 직원을 포섭하는 채널 또는 그룹을 여러 개 발견했다고 주장했다. 레프코위츠는 “텔레그램, 디스코드 등은 인기가 급격히 높아졌고 그만큼 다양한 활동이 일어난다. 누구나 마음만 먹으면 손쉽게 새 채널과 그룹을 만들어 포럼이나 마켓플레이스 생태계 내에서 활동할 수 있다”고 말했다.

레프코위츠는 암호화된 채팅 서비스가 일반적인 다크웹 및 마켓플레이스, 포럼보다 더 안전하다는 시각과 함께 이러한 앱의 실시간에 가까운 즉각적 통신, 미디어를 공유하는 기능이 범죄자를 끌어들이는 요인이라면서 “텔레그램에는 자신이 관여한 사기 거래의 방법을 다시 게시하는 사기범들, 회사 직원을 가장하기 위해 그 회사 유니폼을 입고 사진을 찍어줄 파트너를 찾는 내부 공격자 등을 많이 볼 수 있다”고 말했다.

소포스(Sophos)는 최근 아누비스(Anubis) 뱅킹 트로이목마의 배후에 있는 공격자들이 지시 사항을 전달하기 위해 트위터와 텔레그램을 사용해왔다는 조사 결과를 발표했다. 또한 이런 앱은 정보 유기의 새로운 경로가 되고 있기도 하다. 이란과 연계된 APT 그룹 오일리그(OilRig, APT34 및 헬릭스 키튼(Helix Kitten)이라는 이름으로도 알려짐)에 대한 운영 정보와 소스코드는 텔레그램을 통해 유출됐다.

크라우드스트라이크(Crowdstrike) 위협 정보 분석가 미치 에드워드에 따르면, 중국에서도 검열과 감시를 피하기 위해 활동의 상당 부분이 QQ과 위쳇(WeChat) 그룹 메시지로 넘어갔다.

2017년 인사이트(InSight)의 연구 결과, 이미 모바일 기반 다크웹 활동이 그 이전 12개월에 비해 30배 증가했고, 디스코드와 텔레그램, 왓츠앱 등이 훔친 신용카드, 계정 인증 정보, 악성코드, 마약을 거래하고 해킹 방법과 아이디어를 공유하는데 사용되고 있음이 밝혀졌다. 그런 만큼 새로운 추세는 아니지만 이러한 통신 방법의 사용이 증가하고 있는 것으로 보인다.


가시성의 상실

서리대학교(University of Surrey) 범죄학과 교수 마이클 맥과이어는 이와 같은 채널을 “보이지 않는 넷”이라고 표현한다. 최근 브로미움(Bromium)에 게시한 맥과이어의 다크웹 보고서에 따르면, 연구진이 접촉한 다크 넷 “서비스 공급자”의 70%가 비공개 또는 암호화된 메시징 시스템으로 연구진을 초대했으며 그 시스템 안에서만 활동했다.

맥과이어는 본지와의 인터뷰에서 “많은 업자가 더 안전한 채널을 통해 대화하기를 원했다. 우리의 경험을 기준으로 보면 다크 넷은 처음 이쪽과 관계를 맺고 유리창을 통해 안쪽을 들여다보면서 무엇이 있는지 살펴볼 수 있는 은밀한 거래소가 되고 있다. 이 단계를 지나면 다른 수단을 통해 본격적인 대화를 나눌 수 있다. 연구 중에 상대방의 지시에 따라 3~4개의 통신 채널을 거쳐야 했다”고 말했다.

다크웹은 오래 전부터 위협 행위자들이 사업을 해온 곳이지만 동시에 사법 기관과 기업이 블랙 마켓에서 무슨 일이 일어나는지 주시할 수 있는 창문 역할도 해왔다. 맥과이어는 “사법 기관은 다크웹 대처 방법 측면에서 곤란한 문제에 직면했다. 사법 기관 역시 다른 많은 이와 마찬가지로 다크웹에 대한 과장에 휩쓸린 탓에 일단 어떻게든 조치를 취해야 했다. 나는 다크웹이 유용한 사이버 보안 툴이며 사법 기관이 이 기회를 놓치고 있다고 생각한다. 이들은 개인적, 산발적, 무작위적 행동에서 훨씬 더 상호 연계된 사이버 범죄 경제로 사이버 범죄의 속성이 바뀌고 있음을 여전히 보지 못하고 있다. 모든 종류의 경제에서 마찬가지지만 그 경제의 일부 요소를 제압한다 해도 상품과 서비스의 흐름이 근본적으로 차단되지는 않는다”고 설명했다.

다크웹 모니터링은 기업이 그곳에서 어떤 종류의 서비스와 툴이 제공되는지, 위협 행위자들이 회사 관련 정보다 액세스 권한을 구하고 있는지, 또는 회사와 공급업체 또는 고객에 관한 데이터가 온라인에서 판매되거나 유기되는지 여부를 추적할 수 있는 수단이 된다. 다크웹 마켓, 포럼, 페이스트빈(Pastebin)과 같은 사이트로의 유기 등을 개인이 일일이 살펴보는 형태가 아닌, 자동화되고 확장 가능한 추적을 지원하는 다크웹 스캔 기능을 제공하는 여러 신생 업체가 있다.

그러나 메시징 앱에서 더 많은 활동이 일어나고 있다는 것은 이런 자동화된 추적이 더 어려워지고 개인이 비공개 그룹에 참여하기 위한 권한을 얻기가 더 까다로워진다는 것을 의미한다. 즉, 사법 기관과 기업은 그 안에서 일어나는 일에 대한 가시성을 상실하게 된다. 맥과이어는 “2~3년 전과는 다르다. 마켓은 스스로를 빠른 속도로 개혁한다. 더 안전하고 은밀한 통신으로의 변화는 기업에게 우려되는 현상이다. 다크웹 마켓은 보이지 않지만 상품은 여전히 거래되고 있기 때문이다"고 말했다. editor@itworld.co.kr 


X