2017.07.26

기업이 된 다크웹

Josh Fruhlinger | CSO
단어 자체부터 음산함을 풍기는 "다크웹(dark web)"에 대한 일반적인 인식은 해킹 툴, 무기, 마약, 아동 포르노, 심지어 암살까지, 무엇이든 사고파는 시장이다. 전문가에 따르면, 이런 다크웹의 모든 속성은 여전히 사실이다. 다만 지금 다크웹의 사업 방식은 예전과는 다르다. 과거 다크웹에서 불법적인 물건을 구입한다는 것은 위험을 무릅쓴 모험이었지만 지금은 전혀 아니다.



예를 들어 마약을 보자. 터비엄 랩스(Terbium Labs)의 분석 담당 이사 에밀리 윌슨은 "다크웹에서의 마약 거래를 비유하자면 동네 구멍가게만 다니던 사람이 처음으로 대형 슈퍼마켓에 가는 것과 같다"고 말했다.

엄청나게 많은 수의 업체를 통해 원하는 것은 거의 무엇이든 구할 수 있다. 모든 판매 업체는 각자 자신의 상품이 가장 신선하고 순수하고 안전하며 즉각 제공 가능하다는 점을 내세우며 앞다퉈 구매자를 유혹한다. 사람들은 자세한 후기를 통해 자신의 경험을 비교하고 대조하길 좋아한다. 판매상들은 고객의 충성도를 높이기 위해 인센티브를 준다. 새로 나온 마약을 무료로 주거나 배송이 늦을 경우 추가 마약으로 보상을 해주는 식이다.

다크웹에서 기업화된 것은 마약뿐만이 아니다. 전반적인 현상이다. 대부분의 전문가는 특히 다양한 해킹 및 어둠의 기술을 제공하는 서비스의 출현을 강조했다. 자세한 이야기를 듣다 보면 다크웹의 여러 범죄자들이 기업 IT 부서의 운영 모델을 그대로 따르고 있다는 인상을 받게 된다.

기업 IT와 마찬가지로 다크웹의 불법적인 상품 역시 구매자가 스스로 구현해야 하는 코드부터 턴키 솔루션과 컨설팅 서비스에 이르기까지 다양하다.

상품 : 설명서와 함께 판매되는 악성코드
익스플로잇과 공격 코드를 찾거나 직접 만들기란 대단히 복잡한 일이다. 다크웹은 필요한 기술을 갖춘 프로그래머와 그 기술을 이용하고자 하는 이들을 연결하는 시장을 제공한다. 인트사이트(IntSights)의 정보 팀장 아이돌 월칸은 다크웹에서 판매되는 여러 가지 악성코드 패키지 중에는 다른 악성코드를 다운로드하는 트로이 목마인 Dr0p1t-Framework, 악성 .EXE 파일을 정상적으로 보이는 .DOC 파일로 변환해주는 사일런트 워드(Silent Word) 익스플로잇 등이 있다고 전했다.

이런 익스플로잇을 구매한 사람은 고도의 해킹 기술이 없어도 된다. 소포스(Sophos)의 보안 전문가 존 쉬어는 "악성코드를 퍼뜨리기 위한 지침이나 피싱 및 카딩 자습서가 제공되므로 약간의 기술 지식만 있으면 따라할 수 있다"고 말했다.

서비스 : 직접 할 필요가 없다
요즘은 내부적인 자체 툴을 만들거나 배포하지 않는 기업들이 많다. 범죄자들 역시 범죄 행위를 아웃소싱하고 있다. IT에는 이미 "서비스 형태의 XX(XX as a service)"가 질리도록 많지만(소프트웨어, 인프라, 플랫폼 등등), 하나가 더 추가된다. RaaS, 즉 서비스 형태의 랜섬웨어(Ransomware as a Service)다.

쉬어는 "RaaS 공급자는 고객에게 랜섬웨어와 함께 피해자를 추적할 수 있는 대시보드, 게다가 필요한 지원 서비스까지 제공한다. RaaS 포털을 제작한 사람은 그 대가로 데이터 몸값에 대한 일정 비율 또는 고정된 수수료를 받는다. 고객은 별도로 구매한 스패머의 서비스를 사용하거나 자습서를 통해 얻은 지식을 활용해 스스로 랜섬웨어를 유포하기만 하면 된다"고 말했다. 전문가들은 그 증거로 페티야(Petya) 랜섬웨어가 RaaS 공격 형태로 등장하기 시작했음을 제시했다.



랜섬웨어는 다양한 공격 옵션 가운데 하나일 뿐이다. 애즈텍(AsTech) 최고 보안 전략가 네이던 웬츨러는 "다크웹에서는 돈만 내면 단순한 장난이나 '흔한 공격'의 선을 넘어 특정 정보 자산, 국가 방위 또는 군사 정보를 비롯해 극히 민감하고 가치 있는 데이터를 노리는 불법 공격을 감행할 수 있다"고 말했다.

인프라 : 구입보다 임대가 유리
사이버 범죄자에게도 일상적인 IT 서비스가 필요하다. 당연히 다크웹에는 이러한 서비스도 판매된다. 이메일 서버가 그 예다. 아칼비오(Acalvio)의 최고 보안 설계자 크리스 로버츠는 "익명으로 메일을 보내고 받을 수 있는 기능은 좋은 이유로든 나쁜 이유로든 많은 사람에게 필수적인 기능"이라고 말했다. 다른 유형의 서버에서 컴퓨터 시간을 구매할 수도 있다. 로버츠는 "다크 네트워크의 AWS라고 생각하면 된다. 필요에 따라 이용할 수 있다"고 말했다.

유명한 악당으로 이름을 날리고 싶다면 물건을 팔 인프라가 필요한데 이 역시 다크웹이 제공한다. 월칸은 "자칭 '팀제로(TeamZero)'라는 그룹이 블랙 마켓 프레임워크를 판매하고 있다. 이 프레임워크는 '상인(merchants)'이 다크웹에서 무엇이든 판매할 수 있게 해준다. 이베이 또는 쇼피파이(Shopify)와 마찬가지로 턴키 인프라를 제공한다. 다만 다루는 물건이 불법적인 상품과 서비스라는 차이가 있을 뿐이다"고 말했다.

블루프린트, 컨설팅, 그리고 …
직접 손을 쓰는 작업을 피하고 싶은 사람을 위해 다크웹은 특정 가격에 특정 작업에 대한 컨설팅 서비스를 제공하는 해커를 연결해준다. 예를 들어 특정 조직에 침입할 방법을 찾고 있다고 가정해 보자.

SAS의 사이버 보안 솔루션 부문 부사장 스튜 브래들리는 "정형화된 테스트 파일과 같은 조직별 공격 블루프린트까진 없을지 몰라도 IP 주소, 서버 위치 또는 기기 비밀번호, 특정 공격 유형을 실행하는 방법에 대한 지침 등은 딥 웹에서 찾을 수 있다"며, "이 정도면 기술을 갖춘 공격자가 공격을 감행하는 데 충분하다. 너무 바빠 시간이 없거나 직접 공격을 실행할 기술이 없다면 해커에게 위탁하는 방법도 있다. 서비스 수준을 보장하고 고객이 만족하지 않을 경우 환불을 보장하는 해커를 손쉽게 찾아 공격을 맡길 수 있다"고 말했다.

카본 블랙(Carbon Black)의 공동 창업자 겸 CTO 마이크 비스쿠소는 엑스데딕(Xdedic) 다크웹 마켓플레이스를 가리키며 "이미 해킹 상태인 서버를 메뉴처럼 제공하는 범죄자들을 찾을 수 있다"면서, "승인된 판매자는 침해된 시스템과 그 시스템의 인증 정보를 대량으로 시장에 내놓는다. 그러면 마켓플레이스 운영자가 시스템에 접근이 가능한지 검증하고, 사용되는 안티바이러스, 사용 가능한 브라우저, 가상화된 시스템인지 여부, CPU 모델과 속도, RAM 용량이나 설치된 운영체제와 같은 시스템의 물리적인 특성을 기록한다"고 말했다.

고객 만족 서비스도 있다
컨설턴트, 하청 계약 업체와 일해 본 IT 전문가라면 공명정대한 비즈니스라 할지라도 때로는 틀어지는 경우가 있다는 사실을 잘 안다. 하물며 실제 범죄자와 거래를 한다면 비용에 상응하는 서비스를 받을지 여부를 어떻게 알 수 있을까?

다크웹 역시 도둑들이 평판을 쌓는 다양한 방법을 제공한다. 인터넷 에듀케이터(Internet Educator)의 로스 래슬리는 웹에서 발생하는 위변조 사건의 상당수는 해커가 자신의 기술과 실력을 보여주기 위해 실행하는 개념 증명이라고 말했다.

또한 사용자는 제품과 서비스에 대해 옐프(Yelp) 스타일의 리뷰도 볼 수 있다. 비즈니스 인센티브도 있다. 리버티 어드바이저 그룹(Liberty Advisor Group) 회장 아몬드 캐글러는 "이런 포럼에서 활동하는 판매자의 경우 사기나 기만적 행위를 하지 않아야 본인에게도 이득이다. 믿을만한 판매자로서의 평판에 흠이 생기면 계속 물건을 팔아 돈을 벌 수 있는 길이 막히기 때문이다. 일부 전문적인 판매자는 불만이나 문의 사항이 있을 경우 먼저 암호화된 채널로 직접 판매자를 통해 해결할 것을 요청하기도 한다. 그래야 구매자가 부정적인 리뷰를 게시하기 전에 불만 사항을 처리할 시간을 확보할 수 있기 때문이다"고 말했다.

캐글러는 IT 전문가라면 누구나 알 법한, 분쟁과 문제를 해결하기 위한 메커니즘까지 갖추고 있다고 설명했다. 캐글러는 "일부 전문 마켓플레이스에는 구매자와 판매자가 구매자 또는 판매자에 대한 불만이 포함된 문제 티켓을 제출하는 메커니즘을 두고 있다. 만족하지 않은 고객은 티켓과 불만 사항을 제출할 수 있으며 이 경우 물건을 구입하는 데 사용된 비트코인이 판매자에게 지급되지 않는다"고 말했다.

성장했지만 본성은 그대로
어떤 관점에서 다크웹의 변화는 흥미롭다고 할 수 있다. 구매자와 판매자의 요구 사항을 충족하기 위해 어떻게 현대의 비즈니스 방식이 탄생했는지 잘 보여주는 사례이기도 하다.

그러나 다크웹에서 일어나는, 불법적이고 위험한 일의 속성이 누그러진 것은 아니다. 확실한 것은 범죄자들의 효율성이 더 높아지고 있다는 점이다. 온라인으로 해킹 서비스를 판매하는 것도 나쁜 일이지만, 악의를 가진 사람이 비트코인과 마우스 클릭 한번으로 숙련된 프로그래머의 기술을 이용할 수 있는 시장에서 해킹 서비스가 판매된다는 것은 더욱 나쁜 일이다. editor@itworld.co.kr  


2017.07.26

기업이 된 다크웹

Josh Fruhlinger | CSO
단어 자체부터 음산함을 풍기는 "다크웹(dark web)"에 대한 일반적인 인식은 해킹 툴, 무기, 마약, 아동 포르노, 심지어 암살까지, 무엇이든 사고파는 시장이다. 전문가에 따르면, 이런 다크웹의 모든 속성은 여전히 사실이다. 다만 지금 다크웹의 사업 방식은 예전과는 다르다. 과거 다크웹에서 불법적인 물건을 구입한다는 것은 위험을 무릅쓴 모험이었지만 지금은 전혀 아니다.



예를 들어 마약을 보자. 터비엄 랩스(Terbium Labs)의 분석 담당 이사 에밀리 윌슨은 "다크웹에서의 마약 거래를 비유하자면 동네 구멍가게만 다니던 사람이 처음으로 대형 슈퍼마켓에 가는 것과 같다"고 말했다.

엄청나게 많은 수의 업체를 통해 원하는 것은 거의 무엇이든 구할 수 있다. 모든 판매 업체는 각자 자신의 상품이 가장 신선하고 순수하고 안전하며 즉각 제공 가능하다는 점을 내세우며 앞다퉈 구매자를 유혹한다. 사람들은 자세한 후기를 통해 자신의 경험을 비교하고 대조하길 좋아한다. 판매상들은 고객의 충성도를 높이기 위해 인센티브를 준다. 새로 나온 마약을 무료로 주거나 배송이 늦을 경우 추가 마약으로 보상을 해주는 식이다.

다크웹에서 기업화된 것은 마약뿐만이 아니다. 전반적인 현상이다. 대부분의 전문가는 특히 다양한 해킹 및 어둠의 기술을 제공하는 서비스의 출현을 강조했다. 자세한 이야기를 듣다 보면 다크웹의 여러 범죄자들이 기업 IT 부서의 운영 모델을 그대로 따르고 있다는 인상을 받게 된다.

기업 IT와 마찬가지로 다크웹의 불법적인 상품 역시 구매자가 스스로 구현해야 하는 코드부터 턴키 솔루션과 컨설팅 서비스에 이르기까지 다양하다.

상품 : 설명서와 함께 판매되는 악성코드
익스플로잇과 공격 코드를 찾거나 직접 만들기란 대단히 복잡한 일이다. 다크웹은 필요한 기술을 갖춘 프로그래머와 그 기술을 이용하고자 하는 이들을 연결하는 시장을 제공한다. 인트사이트(IntSights)의 정보 팀장 아이돌 월칸은 다크웹에서 판매되는 여러 가지 악성코드 패키지 중에는 다른 악성코드를 다운로드하는 트로이 목마인 Dr0p1t-Framework, 악성 .EXE 파일을 정상적으로 보이는 .DOC 파일로 변환해주는 사일런트 워드(Silent Word) 익스플로잇 등이 있다고 전했다.

이런 익스플로잇을 구매한 사람은 고도의 해킹 기술이 없어도 된다. 소포스(Sophos)의 보안 전문가 존 쉬어는 "악성코드를 퍼뜨리기 위한 지침이나 피싱 및 카딩 자습서가 제공되므로 약간의 기술 지식만 있으면 따라할 수 있다"고 말했다.

서비스 : 직접 할 필요가 없다
요즘은 내부적인 자체 툴을 만들거나 배포하지 않는 기업들이 많다. 범죄자들 역시 범죄 행위를 아웃소싱하고 있다. IT에는 이미 "서비스 형태의 XX(XX as a service)"가 질리도록 많지만(소프트웨어, 인프라, 플랫폼 등등), 하나가 더 추가된다. RaaS, 즉 서비스 형태의 랜섬웨어(Ransomware as a Service)다.

쉬어는 "RaaS 공급자는 고객에게 랜섬웨어와 함께 피해자를 추적할 수 있는 대시보드, 게다가 필요한 지원 서비스까지 제공한다. RaaS 포털을 제작한 사람은 그 대가로 데이터 몸값에 대한 일정 비율 또는 고정된 수수료를 받는다. 고객은 별도로 구매한 스패머의 서비스를 사용하거나 자습서를 통해 얻은 지식을 활용해 스스로 랜섬웨어를 유포하기만 하면 된다"고 말했다. 전문가들은 그 증거로 페티야(Petya) 랜섬웨어가 RaaS 공격 형태로 등장하기 시작했음을 제시했다.



랜섬웨어는 다양한 공격 옵션 가운데 하나일 뿐이다. 애즈텍(AsTech) 최고 보안 전략가 네이던 웬츨러는 "다크웹에서는 돈만 내면 단순한 장난이나 '흔한 공격'의 선을 넘어 특정 정보 자산, 국가 방위 또는 군사 정보를 비롯해 극히 민감하고 가치 있는 데이터를 노리는 불법 공격을 감행할 수 있다"고 말했다.

인프라 : 구입보다 임대가 유리
사이버 범죄자에게도 일상적인 IT 서비스가 필요하다. 당연히 다크웹에는 이러한 서비스도 판매된다. 이메일 서버가 그 예다. 아칼비오(Acalvio)의 최고 보안 설계자 크리스 로버츠는 "익명으로 메일을 보내고 받을 수 있는 기능은 좋은 이유로든 나쁜 이유로든 많은 사람에게 필수적인 기능"이라고 말했다. 다른 유형의 서버에서 컴퓨터 시간을 구매할 수도 있다. 로버츠는 "다크 네트워크의 AWS라고 생각하면 된다. 필요에 따라 이용할 수 있다"고 말했다.

유명한 악당으로 이름을 날리고 싶다면 물건을 팔 인프라가 필요한데 이 역시 다크웹이 제공한다. 월칸은 "자칭 '팀제로(TeamZero)'라는 그룹이 블랙 마켓 프레임워크를 판매하고 있다. 이 프레임워크는 '상인(merchants)'이 다크웹에서 무엇이든 판매할 수 있게 해준다. 이베이 또는 쇼피파이(Shopify)와 마찬가지로 턴키 인프라를 제공한다. 다만 다루는 물건이 불법적인 상품과 서비스라는 차이가 있을 뿐이다"고 말했다.

블루프린트, 컨설팅, 그리고 …
직접 손을 쓰는 작업을 피하고 싶은 사람을 위해 다크웹은 특정 가격에 특정 작업에 대한 컨설팅 서비스를 제공하는 해커를 연결해준다. 예를 들어 특정 조직에 침입할 방법을 찾고 있다고 가정해 보자.

SAS의 사이버 보안 솔루션 부문 부사장 스튜 브래들리는 "정형화된 테스트 파일과 같은 조직별 공격 블루프린트까진 없을지 몰라도 IP 주소, 서버 위치 또는 기기 비밀번호, 특정 공격 유형을 실행하는 방법에 대한 지침 등은 딥 웹에서 찾을 수 있다"며, "이 정도면 기술을 갖춘 공격자가 공격을 감행하는 데 충분하다. 너무 바빠 시간이 없거나 직접 공격을 실행할 기술이 없다면 해커에게 위탁하는 방법도 있다. 서비스 수준을 보장하고 고객이 만족하지 않을 경우 환불을 보장하는 해커를 손쉽게 찾아 공격을 맡길 수 있다"고 말했다.

카본 블랙(Carbon Black)의 공동 창업자 겸 CTO 마이크 비스쿠소는 엑스데딕(Xdedic) 다크웹 마켓플레이스를 가리키며 "이미 해킹 상태인 서버를 메뉴처럼 제공하는 범죄자들을 찾을 수 있다"면서, "승인된 판매자는 침해된 시스템과 그 시스템의 인증 정보를 대량으로 시장에 내놓는다. 그러면 마켓플레이스 운영자가 시스템에 접근이 가능한지 검증하고, 사용되는 안티바이러스, 사용 가능한 브라우저, 가상화된 시스템인지 여부, CPU 모델과 속도, RAM 용량이나 설치된 운영체제와 같은 시스템의 물리적인 특성을 기록한다"고 말했다.

고객 만족 서비스도 있다
컨설턴트, 하청 계약 업체와 일해 본 IT 전문가라면 공명정대한 비즈니스라 할지라도 때로는 틀어지는 경우가 있다는 사실을 잘 안다. 하물며 실제 범죄자와 거래를 한다면 비용에 상응하는 서비스를 받을지 여부를 어떻게 알 수 있을까?

다크웹 역시 도둑들이 평판을 쌓는 다양한 방법을 제공한다. 인터넷 에듀케이터(Internet Educator)의 로스 래슬리는 웹에서 발생하는 위변조 사건의 상당수는 해커가 자신의 기술과 실력을 보여주기 위해 실행하는 개념 증명이라고 말했다.

또한 사용자는 제품과 서비스에 대해 옐프(Yelp) 스타일의 리뷰도 볼 수 있다. 비즈니스 인센티브도 있다. 리버티 어드바이저 그룹(Liberty Advisor Group) 회장 아몬드 캐글러는 "이런 포럼에서 활동하는 판매자의 경우 사기나 기만적 행위를 하지 않아야 본인에게도 이득이다. 믿을만한 판매자로서의 평판에 흠이 생기면 계속 물건을 팔아 돈을 벌 수 있는 길이 막히기 때문이다. 일부 전문적인 판매자는 불만이나 문의 사항이 있을 경우 먼저 암호화된 채널로 직접 판매자를 통해 해결할 것을 요청하기도 한다. 그래야 구매자가 부정적인 리뷰를 게시하기 전에 불만 사항을 처리할 시간을 확보할 수 있기 때문이다"고 말했다.

캐글러는 IT 전문가라면 누구나 알 법한, 분쟁과 문제를 해결하기 위한 메커니즘까지 갖추고 있다고 설명했다. 캐글러는 "일부 전문 마켓플레이스에는 구매자와 판매자가 구매자 또는 판매자에 대한 불만이 포함된 문제 티켓을 제출하는 메커니즘을 두고 있다. 만족하지 않은 고객은 티켓과 불만 사항을 제출할 수 있으며 이 경우 물건을 구입하는 데 사용된 비트코인이 판매자에게 지급되지 않는다"고 말했다.

성장했지만 본성은 그대로
어떤 관점에서 다크웹의 변화는 흥미롭다고 할 수 있다. 구매자와 판매자의 요구 사항을 충족하기 위해 어떻게 현대의 비즈니스 방식이 탄생했는지 잘 보여주는 사례이기도 하다.

그러나 다크웹에서 일어나는, 불법적이고 위험한 일의 속성이 누그러진 것은 아니다. 확실한 것은 범죄자들의 효율성이 더 높아지고 있다는 점이다. 온라인으로 해킹 서비스를 판매하는 것도 나쁜 일이지만, 악의를 가진 사람이 비트코인과 마우스 클릭 한번으로 숙련된 프로그래머의 기술을 이용할 수 있는 시장에서 해킹 서비스가 판매된다는 것은 더욱 나쁜 일이다. editor@itworld.co.kr  


X