2017.02.10

사이버 범죄자들의 지하 세계 … 다크웹 시장 7곳 분석

Ryan Francis | CSO

IRC(Internet Relay Chat) 채널을 통해 통신이 이뤄지던 시대부터 존재해온 해커들의 지하 시장은 암호화된 화폐 및 익명 통신의 발전과 함께 21세기가 열리면서 더욱 활성화되는 양상을 보이고 있다.

지하 시장은 사이버 범죄자들이 누릴 수 있는 다양한 서비스를 제공한다. 에이노말리(Anomali)의 수석 보안 연구원 루이스 멘디에타에 따르면, 이들 시장에서는 마약과 무기 등 현실 세상의 물품에서부터, 스팸/피싱 딜리버리, 취약성 공격 키트 서비스, "크립터(Crypter)"와 "바인더(Binder)", 맞춤형 맬웨어(Malware) 개발, 제로데이(Zero Day) 취약성, 방탄 호스팅(Bulletproof Hosting) 등 디지털 세상의 도구와 서비스에 이르기까지 다양한 아이템들이 판매되거나 공유되고 있다.

지하 세계에는 일반인에게 익숙하지 않은 용어가 넘쳐난다. 크립터는 백신 엔진의 감지를 우회하기 위해 악성코드를 암호화하는 툴이다. 바인더는 악성코드 샘플로 정상 프로그램에 트로이 목마(Trojan)를 심는 툴이다. 제로데이 취약점 공격은 이전에 패치되지 않은 취약점을 악용해 공격자들이 컴퓨팅 시스템에 무단 접속하는 기법이다.

그들만의 은어도 있다. 정상적인 보안 세계에서는 "FUD"가 "공포(Fear), 불확실성(Uncertainty), 의심(Doubt)"을 의미하곤 하지만 지하 세계의 포럼에서는 "완전한 은신(Fully UnDetectable)"을 의미한다. 포럼에는 또 약속한 서비스 또는 제품을 제공하지 않고 다른 사용자에게 바가지를 씌우고 사기를 치는 인물들인 '리퍼(Ripper)'들이 있다고 멘디에타가 전했다.

멘디에타는 여러 마켓플레이스마다 각각의 두드러진 특징이 있다고 설명했다. 일부 포럼은 TOR 네트워크를 통해서만 접근할 수 있지만 전통적인 웹 브라우징(Clearnet)을 통해 접근할 수 있는 것들도 있다.

카딩(Carding, 신용 카드 사기)과 PII(Personal Identifiable Information) 사기 등의 서비스에 특화된 포럼이 있는가 하면 제로데이 익스플로잇 공격, 봇넷(Botnet) 서비스, 방탄 호스팅에 집중하는 포럼도 있다. 또 좀더 광범위한 이를 대상으로 불법 약물, 위조품(여권, 운전면허증, 화폐 등), 무기 등의 다양한 현실 물품을 판매하는 포럼도 있다.

이번 기사에서 다루는 지하 포럼 및 시장의 목록은 다음과 같다.

- 스카이 프로드(Sky-Fraud) 지하 포럼
- 람페두자(Lampeduza) 지하 포럼
- 익스플로잇 닷 인(Exploit dot in) 지하 포럼
- 리크포럼스(LeakForums) 지하 포럼
- 핵포럼스(HackForums) 지하 포럼
- TRD(TheRealDeal) 마켓플레이스
- 알파베이(AlphaBay) 마켓플레이스


스카이 프로드(Sky-Fraud) 지하 포럼
스카이 프로드는 2014년부터 운영된 지하 포럼이다. 러시아어와 영어를 사용하는 총 2만 6,000명의 활성 사용자(Active User)를 보유하고 있다. 제공되는 서비스는 매우 다양하다. 다음의 서비스 목록을 확인할 수 있다.

- 에스크로(Escrow) 서비스
- 방탄 호스팅 서비스
- PII(Personal Identifiable Information) 및 CC(Credit Card) 데이터.
- 봇넷, 익스플로잇 공격, 맬웨어
- 블랙햇 SEO(BlackHat Search Engine Optimization) 및 웹 디자인.
- 결제 시스템: BTC(비트코인), 페이팔(Paypal), 웹머니(Webmoney), 엔트로페이(Entropay)


Skyfraud

이 포럼의 등록 시스템은 누구에게나 개방되어 있다. 이 때문에 사기꾼은 물론 신뢰할 수 없는 구성원, 사법 당국, 보안 연구원들도 접근할 수 있다. 이 사이트의 데이터는 해당 사이트에서 활동하는 아마추어 해커의 수를 고려할 때 신뢰성이 낮은 편이다.

하지만 이 포럼에는 방탄 호스팅과 관련해 눈에 띄는 활동자가 있다. 볼하브(Volhav)는 이 포럼뿐만 아니라 'exploit.in'이라는 다른 지하 포럼에서 활동하는 인물이다. 2016년 초 등록한 이후 자신의 서비스를 확대하기 위해 다양한 포럼에서 존재감을 높이려 하는 것일 수 있다. 하지만 현재까지 그의 활동은 2곳에 그치고 있다.

람페두자(Lampeduza) 지하 포럼
람페두자는 러시아의 지하 포럼으로 카딩, 덤프(Dump) 서비스, 일반 신용 카드 사기에 특화된 공간이다. 이 포럼에는 해킹, 익명화 활동, 스팸, 블랙햇 SEO을 다루는 여러 부문에 존재한다. 이 사이트에 대한 논의는 2013년 krebsonsecurity에 이뤄졌는데, 포럼의 구성원 가운데 하나인 rescator가 타깃(Target) 유출 데이터의 판매 및 유통에 개입했기 때문이었다.

람페두자는 이 밖에도 타깃, 홈디포(Home Depot), 샐리 뷰티(Sally Beauty) 유출 사고에서 비롯된 신용 카드 데이터를 판매한 것으로 악명 높은 카딩 포럼 ‘rescator[.]cm’과 깊이 연루된 것으로 관측되고 있다.

람페두자의 접근성은 매우 제한적이다. 접근을 위해 사용자는 우선 기존의 구성원에게 초대 코드를 받아야 하며 반드시 50달러를 지불해야 한다. 이 덕분에 이 사이트는 여기에서 설명하는 다른 사이트보다 좀더 배타적이고 덜 오염된 양상을 보이고 있다.

그러나 잠재 구매자는 여전히 좋은 업체와 불량 업체를 선별하는 문제를 풀어내야 한다. 그나마 이 사이트는 사용자가 필요 시 업체에 대해 불만을 제기하고 조치를 취할 수 있는 평판 시스템을 갖추고 있다. 이는 다른 익명 시장에서도 흔한 기능이다.

이 시장에서 제공되는 데이터는 중간 정도의 가치를 지닌 것으로 보인다. 대형 소매기업에서 유출된 데이터들도 이곳에서 판매되고 있었다.

익스플로잇 닷 인(Exploit dot in) 지하 포럼
익스플로잇 닷 인은 러시아어 기반의 해킹 포럼으로 리크포럼스(LeakForums)와 핵포럼스(HackForums) 등의 다른 해킹 포럼과 유사한 방식으로 운영되고 있다. 익스플로잇 닷 인은 2007년부터 운영됐으며 총 사용자 수는 3만 5,000명이다. 이 포럼의 구성원들은 등록 전에 심사를 거치며 기존 활동 구성원이 보증을 해야 한다.


Exploit dot

범죄와 무관한 일부 영역은 공개돼 있다. 예를 들어 웹 디자인, 프로그래밍, 하드웨어 등의 주제가 포함된다. 보안과 해킹, 바이러스학, 익명성, 시장 등의 다른 부문을 보기 위해서는 유효한 사용자 계정이 필요하다. 이 포럼에서 판매 중인 서비스는 다음과 같다.

- 카딩 서비스
- 방탄 호스팅
- 맬웨어 분산 서비스
- 제로데이 소프트웨어 취약성
- 맬웨어
- 익스플로잇 공격 키트
- 트로이 목마
- 크립터

이 시장의 독특한 가치는 일부 밀접하게 연결된 사용자 사이의 관계성에 있다. 이 포럼은 폐쇄적인 등록 시스템 덕분에 핵포럼스와 리크포럼스보다 가짜 계정 오염도가 덜하다. 해당 사이트의 사용자 3만 5,000명 중:

- 36 사용자가 벤더다.
- 1명만이 관리자로 지정되어 있다.
- 5명만이 중재자(moderator)다.
- 54명이 검증된 사용자다.
- 43명이 전문가(specialist)다.

한편 비활성 계정에 대비한 실제 활성 계정의 이러한 비율은 다른 여러 포럼에서 공통적으로 나타난다. 또한 여기에 사용자의 익명성이 더해진다. 블랙리스트 불만 스레드(Thread)는 리퍼를 거르는데 유용하지만 업체로 전환하기 어렵게 만드는 부분도 있다.

성공한 업체는 다른 폐쇄적인 포럼 또는 공간에서 서로 유대관계를 갖는 것으로 보이기 때문에 서로를 보증하는 모습을 보이기도 한다. 비록 많은 업체가 결국에는 누군가에게 사기를 치는 것으로 보이지만 사기를 칠 경우 해당 업체의 현재 프로필이 블랙리스트에 포함되게 된다. 많은 업체가 새로운 물품을 판매할 때마다 새로운 연락처 정보로 새로운 프로필을 생성하는 것으로 보인다.

리크포럼스(LeakForums) 지하 포럼
리크포럼스는 2011년 해킹 분야에 등장했다. 현재 100만 명의 사용자를 보유하고 있다. 리크포럼스는 유료 해킹 툴(키로거, RAT, 크립터, 바인더) 거래와 함께 PII, 소셜 미디어 계정, 관련된 유출에 특화돼 있다. 등록된 사용자에게는 Njrat, 애드윈드(Adwind), 오커스(Orcus) 등의 광범위한 맬웨어도 무료로 제공된다. 기타 취급 유출 범주는 다음과 같다.

- 상용 프로그램의 시리얼 키(MS 윈도우, MS 오피스, 백신 엔진 등)
- 도난 크리덴셜(Credential, 소셜 미디어 계정)
- 해킹된 데이터베이스(스트리밍 서비스 데이터베이스 유출)
- 잘 알려진 트로이 목마 프로그램 크랙(Njrat, 애드윈드, 오커스 등)

이 시장에 존재하는 데이터는 그 품질은 매우 낮다. 많은 아마추어 범죄자들이 이 곳에서 자신의 프로필을 높이려 하지만 판매되는 도구의 품질이 낮은 편이다. 또 이 사이트에는 알파베이(Alphabay)와 TRD(TheRealDeal) 같은 시장에서 볼 수 있는 고급 평판 시스템이 없다. 이 때문에 잠재적인 구매자가 업체를 신뢰하기 더 어렵다.

하지만 이 시장은 여러 유출 사건의 초기 출처였으며, ORCA 또는 애드윈드 등의 잘 알려진 악성코드의 사본을 확보할 수 있는 공간이다. 이 포럼의 가치가 어느 정도인지에 대해서는 논란의 여지가 있다.
 


2017.02.10

사이버 범죄자들의 지하 세계 … 다크웹 시장 7곳 분석

Ryan Francis | CSO

IRC(Internet Relay Chat) 채널을 통해 통신이 이뤄지던 시대부터 존재해온 해커들의 지하 시장은 암호화된 화폐 및 익명 통신의 발전과 함께 21세기가 열리면서 더욱 활성화되는 양상을 보이고 있다.

지하 시장은 사이버 범죄자들이 누릴 수 있는 다양한 서비스를 제공한다. 에이노말리(Anomali)의 수석 보안 연구원 루이스 멘디에타에 따르면, 이들 시장에서는 마약과 무기 등 현실 세상의 물품에서부터, 스팸/피싱 딜리버리, 취약성 공격 키트 서비스, "크립터(Crypter)"와 "바인더(Binder)", 맞춤형 맬웨어(Malware) 개발, 제로데이(Zero Day) 취약성, 방탄 호스팅(Bulletproof Hosting) 등 디지털 세상의 도구와 서비스에 이르기까지 다양한 아이템들이 판매되거나 공유되고 있다.

지하 세계에는 일반인에게 익숙하지 않은 용어가 넘쳐난다. 크립터는 백신 엔진의 감지를 우회하기 위해 악성코드를 암호화하는 툴이다. 바인더는 악성코드 샘플로 정상 프로그램에 트로이 목마(Trojan)를 심는 툴이다. 제로데이 취약점 공격은 이전에 패치되지 않은 취약점을 악용해 공격자들이 컴퓨팅 시스템에 무단 접속하는 기법이다.

그들만의 은어도 있다. 정상적인 보안 세계에서는 "FUD"가 "공포(Fear), 불확실성(Uncertainty), 의심(Doubt)"을 의미하곤 하지만 지하 세계의 포럼에서는 "완전한 은신(Fully UnDetectable)"을 의미한다. 포럼에는 또 약속한 서비스 또는 제품을 제공하지 않고 다른 사용자에게 바가지를 씌우고 사기를 치는 인물들인 '리퍼(Ripper)'들이 있다고 멘디에타가 전했다.

멘디에타는 여러 마켓플레이스마다 각각의 두드러진 특징이 있다고 설명했다. 일부 포럼은 TOR 네트워크를 통해서만 접근할 수 있지만 전통적인 웹 브라우징(Clearnet)을 통해 접근할 수 있는 것들도 있다.

카딩(Carding, 신용 카드 사기)과 PII(Personal Identifiable Information) 사기 등의 서비스에 특화된 포럼이 있는가 하면 제로데이 익스플로잇 공격, 봇넷(Botnet) 서비스, 방탄 호스팅에 집중하는 포럼도 있다. 또 좀더 광범위한 이를 대상으로 불법 약물, 위조품(여권, 운전면허증, 화폐 등), 무기 등의 다양한 현실 물품을 판매하는 포럼도 있다.

이번 기사에서 다루는 지하 포럼 및 시장의 목록은 다음과 같다.

- 스카이 프로드(Sky-Fraud) 지하 포럼
- 람페두자(Lampeduza) 지하 포럼
- 익스플로잇 닷 인(Exploit dot in) 지하 포럼
- 리크포럼스(LeakForums) 지하 포럼
- 핵포럼스(HackForums) 지하 포럼
- TRD(TheRealDeal) 마켓플레이스
- 알파베이(AlphaBay) 마켓플레이스


스카이 프로드(Sky-Fraud) 지하 포럼
스카이 프로드는 2014년부터 운영된 지하 포럼이다. 러시아어와 영어를 사용하는 총 2만 6,000명의 활성 사용자(Active User)를 보유하고 있다. 제공되는 서비스는 매우 다양하다. 다음의 서비스 목록을 확인할 수 있다.

- 에스크로(Escrow) 서비스
- 방탄 호스팅 서비스
- PII(Personal Identifiable Information) 및 CC(Credit Card) 데이터.
- 봇넷, 익스플로잇 공격, 맬웨어
- 블랙햇 SEO(BlackHat Search Engine Optimization) 및 웹 디자인.
- 결제 시스템: BTC(비트코인), 페이팔(Paypal), 웹머니(Webmoney), 엔트로페이(Entropay)


Skyfraud

이 포럼의 등록 시스템은 누구에게나 개방되어 있다. 이 때문에 사기꾼은 물론 신뢰할 수 없는 구성원, 사법 당국, 보안 연구원들도 접근할 수 있다. 이 사이트의 데이터는 해당 사이트에서 활동하는 아마추어 해커의 수를 고려할 때 신뢰성이 낮은 편이다.

하지만 이 포럼에는 방탄 호스팅과 관련해 눈에 띄는 활동자가 있다. 볼하브(Volhav)는 이 포럼뿐만 아니라 'exploit.in'이라는 다른 지하 포럼에서 활동하는 인물이다. 2016년 초 등록한 이후 자신의 서비스를 확대하기 위해 다양한 포럼에서 존재감을 높이려 하는 것일 수 있다. 하지만 현재까지 그의 활동은 2곳에 그치고 있다.

람페두자(Lampeduza) 지하 포럼
람페두자는 러시아의 지하 포럼으로 카딩, 덤프(Dump) 서비스, 일반 신용 카드 사기에 특화된 공간이다. 이 포럼에는 해킹, 익명화 활동, 스팸, 블랙햇 SEO을 다루는 여러 부문에 존재한다. 이 사이트에 대한 논의는 2013년 krebsonsecurity에 이뤄졌는데, 포럼의 구성원 가운데 하나인 rescator가 타깃(Target) 유출 데이터의 판매 및 유통에 개입했기 때문이었다.

람페두자는 이 밖에도 타깃, 홈디포(Home Depot), 샐리 뷰티(Sally Beauty) 유출 사고에서 비롯된 신용 카드 데이터를 판매한 것으로 악명 높은 카딩 포럼 ‘rescator[.]cm’과 깊이 연루된 것으로 관측되고 있다.

람페두자의 접근성은 매우 제한적이다. 접근을 위해 사용자는 우선 기존의 구성원에게 초대 코드를 받아야 하며 반드시 50달러를 지불해야 한다. 이 덕분에 이 사이트는 여기에서 설명하는 다른 사이트보다 좀더 배타적이고 덜 오염된 양상을 보이고 있다.

그러나 잠재 구매자는 여전히 좋은 업체와 불량 업체를 선별하는 문제를 풀어내야 한다. 그나마 이 사이트는 사용자가 필요 시 업체에 대해 불만을 제기하고 조치를 취할 수 있는 평판 시스템을 갖추고 있다. 이는 다른 익명 시장에서도 흔한 기능이다.

이 시장에서 제공되는 데이터는 중간 정도의 가치를 지닌 것으로 보인다. 대형 소매기업에서 유출된 데이터들도 이곳에서 판매되고 있었다.

익스플로잇 닷 인(Exploit dot in) 지하 포럼
익스플로잇 닷 인은 러시아어 기반의 해킹 포럼으로 리크포럼스(LeakForums)와 핵포럼스(HackForums) 등의 다른 해킹 포럼과 유사한 방식으로 운영되고 있다. 익스플로잇 닷 인은 2007년부터 운영됐으며 총 사용자 수는 3만 5,000명이다. 이 포럼의 구성원들은 등록 전에 심사를 거치며 기존 활동 구성원이 보증을 해야 한다.


Exploit dot

범죄와 무관한 일부 영역은 공개돼 있다. 예를 들어 웹 디자인, 프로그래밍, 하드웨어 등의 주제가 포함된다. 보안과 해킹, 바이러스학, 익명성, 시장 등의 다른 부문을 보기 위해서는 유효한 사용자 계정이 필요하다. 이 포럼에서 판매 중인 서비스는 다음과 같다.

- 카딩 서비스
- 방탄 호스팅
- 맬웨어 분산 서비스
- 제로데이 소프트웨어 취약성
- 맬웨어
- 익스플로잇 공격 키트
- 트로이 목마
- 크립터

이 시장의 독특한 가치는 일부 밀접하게 연결된 사용자 사이의 관계성에 있다. 이 포럼은 폐쇄적인 등록 시스템 덕분에 핵포럼스와 리크포럼스보다 가짜 계정 오염도가 덜하다. 해당 사이트의 사용자 3만 5,000명 중:

- 36 사용자가 벤더다.
- 1명만이 관리자로 지정되어 있다.
- 5명만이 중재자(moderator)다.
- 54명이 검증된 사용자다.
- 43명이 전문가(specialist)다.

한편 비활성 계정에 대비한 실제 활성 계정의 이러한 비율은 다른 여러 포럼에서 공통적으로 나타난다. 또한 여기에 사용자의 익명성이 더해진다. 블랙리스트 불만 스레드(Thread)는 리퍼를 거르는데 유용하지만 업체로 전환하기 어렵게 만드는 부분도 있다.

성공한 업체는 다른 폐쇄적인 포럼 또는 공간에서 서로 유대관계를 갖는 것으로 보이기 때문에 서로를 보증하는 모습을 보이기도 한다. 비록 많은 업체가 결국에는 누군가에게 사기를 치는 것으로 보이지만 사기를 칠 경우 해당 업체의 현재 프로필이 블랙리스트에 포함되게 된다. 많은 업체가 새로운 물품을 판매할 때마다 새로운 연락처 정보로 새로운 프로필을 생성하는 것으로 보인다.

리크포럼스(LeakForums) 지하 포럼
리크포럼스는 2011년 해킹 분야에 등장했다. 현재 100만 명의 사용자를 보유하고 있다. 리크포럼스는 유료 해킹 툴(키로거, RAT, 크립터, 바인더) 거래와 함께 PII, 소셜 미디어 계정, 관련된 유출에 특화돼 있다. 등록된 사용자에게는 Njrat, 애드윈드(Adwind), 오커스(Orcus) 등의 광범위한 맬웨어도 무료로 제공된다. 기타 취급 유출 범주는 다음과 같다.

- 상용 프로그램의 시리얼 키(MS 윈도우, MS 오피스, 백신 엔진 등)
- 도난 크리덴셜(Credential, 소셜 미디어 계정)
- 해킹된 데이터베이스(스트리밍 서비스 데이터베이스 유출)
- 잘 알려진 트로이 목마 프로그램 크랙(Njrat, 애드윈드, 오커스 등)

이 시장에 존재하는 데이터는 그 품질은 매우 낮다. 많은 아마추어 범죄자들이 이 곳에서 자신의 프로필을 높이려 하지만 판매되는 도구의 품질이 낮은 편이다. 또 이 사이트에는 알파베이(Alphabay)와 TRD(TheRealDeal) 같은 시장에서 볼 수 있는 고급 평판 시스템이 없다. 이 때문에 잠재적인 구매자가 업체를 신뢰하기 더 어렵다.

하지만 이 시장은 여러 유출 사건의 초기 출처였으며, ORCA 또는 애드윈드 등의 잘 알려진 악성코드의 사본을 확보할 수 있는 공간이다. 이 포럼의 가치가 어느 정도인지에 대해서는 논란의 여지가 있다.
 


X