보안 / 프라이버시

"자사 데이터가 암거래되고 있지는 않은가" 다크웹에서 데이터 찾기

Maria Korolov  | CSO 2017.07.14
미국 메릴랜드 주 풀턴(Fulton)에 위치한 소프트웨어 공급망 관리업체 소나타입(Sonatype)의 가장 중요한 자산은 120만 개가 넘는 오픈소스 패키지의 설명을 모아놓은 데이터베이스다.

소나타입의 CEO 웨인 잭슨은 "만약 잃어버린다면 회사의 존립이 위험할 수도 있다"고 말했다.

소나타입 측에서는 데이터베이스 유출 시 이를 빠르게 봉쇄하기 위해 웹을 감시한다. 내부 데이터가 도난 당해 온라인 상에서 공유되고 있는 조짐이 없는지 살피는 것이다. 감시 대상에는 다크 웹(dark web)도 포함된다.

인터넷의 어두운 면은 사실 그렇게 크지 않다. 언론에서는 다크웹(dark web)의 크기를 부풀려 보도하는 경우가 많다. 사내 인트라넷, 비밀번호로 보호된 온라인 포럼 등의 사이트, 은행 웹사이트, 이메일 플랫폼 등 검색 엔진으로 접근할 수 없는 것을 전부 포함시키기 때문이다.

미국 연방수사국(FBI)에 따르면, 전세계적으로 범죄 인터넷 포럼 수는 800여 개에 불과하다. 이들이 미치는 영향은 크지만 사용자가 많은 것은 아니다.

웹 취약점 스캐너인 펑크스파이더(PunkSpider)가 2015년 익명 네트워크 토르(Tor)를 조사한 결과 약 7,000개의 토르 사이트가 발견되었는데 이 가운데 약 2,000개만이 활동 중이다. 이들 사이트의 운영자가 다 범죄자인 것은 아니다. 억압적인 정권 하에서 살아가는 반체제 인사들, 보안에 민감한 기관과 업체, 그리고 개인정보 노출을 매우 우려하는 개인들도 토르, 프리넷(Freenet), 보이지 않는 인터넷 프로젝트(I2P)를 사용한다.

범죄 성향의 다크웹 사이트라고 해서 전부 기업 정보보안 전문가들의 관심 대상인 것은 아니다. 미국 버지니아 주 레스튼에 위치한 쓰레트쿼션트(ThreatQuotient)의 전략 담당 수석 부사장 조나단 카우치는 "다크웹 가운데 상당 부분은 인신 매매, 마약 거래 등과 같은 일을 한다"고 말했다.

쓰레트쿼션트는 기업들이 서로 다른 내부 및 외부 정보원으로부터 제공받는 데이터를 수집, 정리하는 일을 도와준다. 카우치는 "그런 것들이 웹 상 불법 트래픽의 대부분을 차지한다고 보며, 기업 네트워크에는 영향을 미치지 않는다"고 설명했다.

다크웹 탐색의 출발점
- 레딧 다크넷마켓(Reddit DarkNetMarkets) 수퍼리스트 
- 다크넷(DarkNet) 통계 
- 딥닷웹(Deep.Dot.Web) 다크넷 장터  
- 어니언 서브레딧(Onion subreddit) 
- 숨겨진 위키(Hidden Wiki) 딥 웹(Deep Web) 링크 
- 토르 숨겨진 위키 
- 또 하나의 숨겨진 위키 
- 그램(Grams) 검색 엔진 
- 아미아(Ahmia) 검색 엔진 

2015년, 미국 텍사스 주 어빙(Irving)에 위치한 트렌드마이크로(Trend Micro Inc.)의 조사 결과, 다크웹 상에 약 8,000개의 수상한 사이트가 발견됐다. 이 가운데 약 1/3이 공용 웹 상의 악성코드 다운로드 페이지에 연결되어 있었다. 1/3분에 약간 못 미치는 사이트는 학교, 회사 또는 정부 필터를 우회하는데 도와 주는 프록시 회피 사이트였고 1/4은 아동 음란물과 관련이 있었다. 해킹과 관련이 있는 것은 5%에 불과했다.

트렌드마이크로의 최고 사이버보안 책임자 에드 카브레라는 "이들 포럼 가운데 일부는 그 이후 폐쇄되었다"고 밝혔다. 다른 것은 더욱 분할되고 전문화되었다. 세간의 이목을 끈 사법당국에 의한 포럼 폐쇄의 여파로 많은 수가 자체 보안을 강화시키기도 했다. 카브레라는 "이 포럼에 들어가려면 심사를 받아야 했다"고 설명했다.

테르비움 랩(Terbium Labs)에 따르면, 기업 사이버보안 전문가들의 관심 대상인 포럼은 2015년에 수십 개에서 현재 수백 개로 늘어났다. 이 가운데 다수는 고도로 전문화되어 있다. 다크 웹은 주로 빙산으로 표현된다. 눈에 보이는 빙산의 일각이 공용 웹이다. 보안 연구가들의 관심 대상이 되는 부분은 크기가 늘어나고 있지만 아직은 그런대로 감당할 만한 수준이다.

서프워치 랩(SurfWatch Labs, Inc.)의 창업주 겸 최고 설계자 제이슨 폴란치치는 "기업에서 다크웹 데이터 마이닝 작전을 개시하면 약 하루 만에 결실을 볼 수 있다고 말했다. 폴란치치는 "다크웹 정보 작전은 적은 비용으로 큰 효과를 볼 수 있으며 대부분의 기업에서는 자체 IT 및 사이버보안 팀 내에서 이러한 작전을 개시할 수 있는 도구 일체가 이미 구비되어 있다. 대부분의 대기업에서는 이 작전이 개시 중이거나 이미 자리가 잡힌 상태"라고 덧붙였다.

다크 웹 감시 또는 조사 서비스
- 서프워치 
- 디지털 새도우(Digital Shadows) 
- 리코디드 퓨쳐(Recorded Future) 
- 파이어아이 아이사이트(FireEye iSIGHT) 
- 인텔471(Intel471) 
- 디지털 스테이크아웃(Digital Stakeout)

그러나 쓰레트쿼션트의 카우치에 따르면, 대부분의 기업은 이런 작전을 직접 하지 않는 편이 나을 것이라며, "다크웹 상의 활동은 사법적인 관점이나 다른 관점에서도 위험성이 크다"고 경고했다.

보다 안전하고 비용 효율적인 방식은 서프워치(SurfWatch), 테르비움(Terbium), 리코디드 퓨처(Recorded Future)와 같은 업체를 활용하는 것이다. 감시, 색인, 경고 서비스를 제공하는 이들 업체는 기업들이 다크웹 위협에 대응하거나 한걸음 앞서가도록 도움을 준다.

다크웹 위협이란 누군가가 민감한 회사 기록을 공개한다거나 공격 계획을 의논한다거나, 회사에서 사용하는 소프트웨어의 취약점을 판매하는 행위 등을 말한다.

이들 업체에서 개발된 전문화된 도구들은 기업들이 이러한 데이터를 수집하고 범죄 조직 내부 깊숙한 곳에 첩보원을 심도록 도움을 준다. 또한, 이들 업체는 다양한 고객들을 상대하기 때문에 보다 폭넓은 시각으로 상황을 파악할 수 있다.

서프워치의 최고 보안 전략가 아담 메이어는 서프워치와 같은 업체들은 지난 2년 간 다크웹을 파헤치는 능력과 변화를 따라가는 능력이 향상되었다고 밝혔다. 메이어는 "다크웹은 판매처가 사라졌다가 등장하고 사이트는 URL을 바꾸며 사법 당국이 개입하면 사이트가 흩어지는 등 유동적인 환경"이라고 설명했다. 고객들의 돈을 빼돌리려고 사이트가 문을 닫아버리는 경우도 있다.

범죄자들과의 거래는 위험하다. 어떤 다크웹 장터는 믿을 수 있는 중개인처럼 행세하며 배송과 결제를 보장하는 에스크로(escrow) 계좌를 제공하기도 한다. 메이어는 "사용자가 많으면 많을수록 에스크로에 돈이 많아진다"며, "은행 계좌에 돈이 쌓이다 보면 어느 날 운영자가 돈을 갖고 튀어 버린다. 도둑들에게 상도덕이 있을 리 없다"고 설명했다.

그러는 사이 새로운 사이트가 개설되기도 하고 경쟁자가 들어와 빈 곳을 메우기도 한다. 메이어는 다음과 같이 설명했다. "만일 사용자가 1,000명인 어떤 장터가 갑자기 문을 닫는다면 이들 사용자는 다른 곳으로 이동할 수밖에 없다. 우리는 새롭게 문을 여는 장터로부터 한동안 수동으로 데이터를 수집하면서 관심을 끄는지 여부를 확인한다. 만약 관심을 끌면서 다시 성장하기 시작한다면 자동화를 적용해서 자동 데이터 마이닝을 시작한다. 이런 작업을 열 번, 열 다섯 번, 백 번 하다 보면 자동화 관점, 트래픽 관점에서 어떤 것이 효과적인지 알게 되고 작업 효율성이 대폭 향상된다."

서프워치 또한 2년을 투자해 자연언어처리와 같은 도구를 이용해 가장 흥미로운 정보를 뽑아낸 후 고객에게 전달하는 방법을 개발했다. 메이어는 "예를 들면, 어떤 개인정보가 유출되는 경우 누군가가 복사해 달라고 요청하는 것을 금방 확인할 수 있다. 그들은 복사된 정보를 가지고 회사들을 공격하기 시작할 것이며 즉시 그러한 대화가 오가는 것을 확인할 수 있다"고 말했다.

이 분야의 또 다른 업체인 테르비움 랩은 매치라이트(Matchlight)라는 검색 서비스를 제공한다. 기업 고객으로 하여금 지문을 통해 독점 정보를 검색하게 해 주는 서비스이다. 매치라이트 CEO 대니 로저스는 "고객들이 이런 인덱스를 자동 방식으로 검색하게 해 주지만 검색 내용은 공개되지 않기 때문에 보이지 않는 검색(blind search) 기술이라 불린다"고 설명했다.

매치라이트의 핵심 기능을 이용하는 기업들은 고객 목록, 영업 비밀 등 감시 대상 데이터에 대해 경보 기능을 설정할 수 있다. 로저스는 "데이터 유출이 생길 때 이를 빨리 알면 알수록 대응이 빨라져 피해를 줄일 수 있다"고 말했다.

가령, 조사 결과 해당 데이터가 법을 준수하는 합법 사이트에 배포되고 있다고 파악되면 이를 내려달라는 요청을 할 수 있다. 만약 해당 데이터가 신용카드 번호라면 범죄자에게 도용되기 전에 빨리 취소할 수 있다. 데이터 유출이 있다는 사실을 인지하면 피해가 확산되기 전에 찾아내서 중단시킬 수 있다.

매치라이트 이용 고객 중에는 소나타입도 있다. 자체 오픈소스 소프트웨어 데이터베이스의 유출 조짐이 없는지 감시할 목적으로 이 서비스를 사용한다. 소나타입 CEO 잭슨은 "우리에게 가장 중요한 자산은 오픈소스 코드의 속성을 기술하는 메타베이터이다"고 밝혔다. 테르비움을 이용하면 데이터 유출 시 비공개적이고 완전히 자동화된 방식으로 이를 몇 분 안에 발견할 수 있다고 덧붙였다.

또 하나의 업체는 매사츄제스 주 서머빌(Somerville)에 위치한 리코디드 퓨처다. 이 업체는 기업이 배치한 하드웨어와 소프트웨어를 기준으로 지문을 생성한 뒤 다크웹을 검색해 해당 시스템 내에 파악된 새로운 취약점이 없는지 확인할 수 있다. 또한, 회사나 그 직원, IP 주소 또는 이메일 주소가 언급되지 않는지도 탐색한다.

그러나 이런 언급 내용을 찾아내는 것은 점점 어려워지고 있다. 범죄자들이 점점 더 지능적으로 자신들의 흔적을 감추고 있기 때문이다. 리코디드 퓨처의 고급 수집 담당 이사 안드레이 바리세비치는 다음과 같이 설명했다. "그들은 거의 모든 대기업이 어떤 방식으로든 다크웹을 감시 중이거나 그러한 데이터의 공급업체 또는 다른 여러 업체와 협력 중이라는 것을 잘 알고 있다. 따라서 정말 귀중한 데이터가 공개적으로 광고되는 경우는 드물다."

그 대신 범죄자들은 신뢰하는 특정 당사자 집단을 대상으로 한 일대일 방식의 거래를 한다. 이럴 때 심어놓은 사람이 있으면 도움이 된다고 한다. 바리세비치는 "이런 범죄 조직에 깊숙이 침투해 있는 자사의 요원들과 분석가들은 판매자들로부터 이런 저런 정보를 판매 중이라는 메시지를 직접 받고 있다"고 밝혔다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.