Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

다크웹

와츠앱 사용자 전화번호 5억 개, 다크웹 매물로…소셜 엔지니어링 등 우려

4억 8,700만 건의 와츠앱 사용자 휴대전화 번호 데이터베이스가 해킹 커뮤니티인 브리치드(Breached.vc)에서 판매된 것이 뒤늦게 알려졌다. 보안 미디어 사이버뉴스(Cybernews)는 이 데이터 세트에는 84개국 이상의 와츠앱 사용자 정보가 담겨 있다고 보도했다. 와츠앱에서 유출된 데이터의 판매자는 메신저 앱 텔레그램으로도 데이터를 판매하고 있다. 텔레그램 사용자 혹은 그룹명 Palm Yunn 채널에서 판매하는데, 해킹 커뮤니티에서 이 사용자는 Agency123456으로 불리기도 한다. 판매자는 유출 데이터가 2022년 습득한 최신 데이터라고 강조했다.   메타 소유인 와츠앱은 전 세계 활성 사용자가 20억 명에 달하는 거대 메신저 앱이다. 브리치드에서 판매된 데이터가 모두 진본이라면 전체 와츠앱 사용자의 1/4에 가까운 데이터가 유출된 셈이다. 사이버뉴스가 입수한 영국 사용자 1,097명, 미국 사용자 817명의 ‘샘플’ 데이터는 조사 기관이 유효하다고 확인한 상태다. 데이터 출처는 확인할 수 없었고, 와츠앱은 유출된 데이터라는 증거가 없다고 주장했다. 와츠앱 대변인은 이메일을 통해 “사이버뉴스 기사에 실린 스크린샷은 입증되지 않았고 와츠앱에서 유출된 데이터라는 증거가 없다”라고 밝혔다.   와츠앱 데이터가 사기에 악용될 가능성 그럼에도 사이버보안 전문가는 개인 데이터가 피싱, 스미싱, 사기 사건에 악용될 확률이 있다고 경고했다. 사이버보안과 개인정보 정책 변호사 프라샨트 말리는 “위협 단체 등이 사용자 개인 휴대전화 번호를 피싱 사기에 악용할 위험이 있다. 전화번호가 은행 계좌와 연동된 경우에도 금전적 피해로 이어질 수 있다”라고 경고했다. 핑세이프(PingSafe) 설립자이자 버그 바운티 전문가 아난드 프라카쉬 역시 유출된 개인 전화번호가 소셜 엔지니어링에 악용될 것을 우려했다. 그러나 프라카쉬는 유출 데이터세트 자체에는 민감한 정보가 없다며 “다른 사람이 메시지를 읽거나 원격으로 와츠앱에 접속할 수 있는 수준의 아주 ...

와츠앱 다크웹 텔레그램 2022.11.29

대쉬레인, 다크웹에 노출된 직원 정보 알려주는 기업용 서비스 공개

패스워드 관리 솔루션 업체 대쉬레인(Dashlane)이 업데이트된 기업용 제품에 ‘다크웹 인사이트(Dark Web Insights)’를 추가했다고 밝혔다. 또한 다중 인증(Multi-Factor Authentication)용 보안 기능과 중소 기업용 요금제도 새롭게 적용했다.    다크 웹 인사이트는 다크 웹 안에서 해킹이나 데이터 유출사고로 유입된 200억개 이상의 기록을 지속적으로 스캔하며, 기업용 계정의 해킹 여부를 알려주는 기술이다. 관리자 계정은 이 도구로 내부 직원의 계정 유출 여부를 바로 확인할 수 있다. 또한 계정 해킹을 발견했을 때 별도의 알림을 보내서 해당 직원이 안정성이 높은 신규 비밀번호를 신속하게 생성하도록 지원할 수 있다.  미 교육통신협회 보안 전문가인 헤더 행킨스는 “직원들의 계정이 해킹된 사실을 인지하는 것은 보안팀에게 매우 유용하다”라며 “해킹 여부를 알면 이후 필요한 조치와 직원 교육을 빨리 진행하면서, 비슷한 문제를 예방할 수 있다”라고 설명했다.  최근 서치라이트 시큐리티가 펴낸 보고서는 기업에서 사용되는 계정 정보가 어떻게 다크웹에 퍼지고 이런 문제를 어떻게 막을 수 있는지 소개했다. 서치라이트 시큐리티가 미국 헬스케어 기업에 다니는 직원의 특정 정보를 다크 웹에 검색해본 결과, 해당 직원이 공격받은 증거는 없었지만 다크 웹 안에 이미 회사 및 개인 이메일 주소, 연락처, 배우자의 차량 등록 정보, 자녀의 전화번호, 집 주소 등 직원과 연결된 여러 데이터를 확인할 수 있었다. 이런 정보의 유출 여부를 기업 보안팀이 알 수 있다면, 피해 예방에 효과적인 보안 전략을 구축할 수 있으며, 비즈니스에 즉각 영향을 주는 경영진 및 경영진의 가족에 일어나는 공격을 방어하는데 유용하다.  대쉬레인은 다크웹 모니터링 외에도 MFA를 활성화하는 ‘대쉬레인 어센틱케이터(Dashlane Authenticator)’ 앱을 공개했다. iOS와 안드로이드 기기에서 설치할 수 있는 이 ...

대쉬레인 다크웹 2022.10.07

안랩, 위협 인텔리전스 플랫폼에 ‘딥웹·다크웹 모니터링 기능’ 도입

안랩이 자사의 차세대 위협 인텔리전스 플랫폼 ‘안랩 TIP’에 딥웹·다크웹 및 언더그라운드 포럼의 다양한 사이버 보안 위협요소를 수집·가공해 고도화된 위협 인텔리전스를 제공하는 ‘DDW(Deep&Dark Web) 모니터링 기능’을 도입했다고 발표했다. 딥웹(Deep Web)은 기존의 검색 엔진으로는 수집되지 않는 웹으로, 회사의 인트라넷 등 정상적인 목적을 위해 만들어졌으나 외부에서 접근이 되지 않는 페이지도 포함하는 개념이다. 다크웹(Dark Web)은 딥웹 중에서도 특수 프로그램이나 브라우저를 이용해서 접속할 수 있는 암호화된 네트워크에 존재하는 웹으로, 주로 불법 또는 비밀스러운 활동을 하기 위해 사용된다. 딥웹/다크웹 상에서 침해 수법 관련 정보 공유 및 불법적인 서비스인 언더그라운드 포럼(Underground Forum)은 재화를 거래하는 온라인 소셜 네트워크의 일종이다.  새롭게 추가된 안랩 TIP의 ‘DDW 모니터링 기능’은 ▲Tor(토르)네트워크/I2P 등 익명 네트워크 내 유통되는 다양한 사이버 위협정보에 대한 키워드 검색 ▲딥웹·다크웹 상 침해지표(IOC, Indicator of Compromise) 및 공격자 정보 확인 ▲소속 조직 및 서비스 계정 데이터의 딥웹·다크웹 상 노출여부 확인 ▲DDW 동향 보고서 등 다양한 위협 추이 데이터를 제공한다. 조직 보안 담당자는 ‘DDW 모니터링 기능’을 활용해 접근이 어려운 익명 네트워크 및 커뮤니티에서 수집된 주요 보안위협 관련 정보를 확인하고, 안랩 TIP에서 제공하는 다양한 위협정보와의 연계해 통합적인 위협 인텔리전스를 확보할 수 있다. 특히, 고객이나 직원의 개인정보, 보안 장비 및 IT 환경 취약점, 악성코드 정보 등을 파악해 신속하게 위협을 인지하고 대책 수립 및 대응이 가능해 조직의 전반적인 정보보호 절차를 강화할 수 있다. 안랩은 자체 개발한 ‘DDW 스크랩퍼(Deep & Dark Web Scraper)’를 활용해 다크웹 상의 데이터를 자체 수집·...

안랩 다크웹 딥웹 2022.08.29

‘반짝 출현 후 사라진’ 10대 해킹단체 랩서스 수법과 대비책

미국 사이버보안 회사 테너블(Tenable)의 선임 연구 엔지니어 클레어 틸스가 블로그에 해킹그룹 랩서스(Lapsus$)를 추적해 조사한 결과를 발표했다. 랩서스의 공격 수법에 대해 “겁 없고, 터무니없으며 단순하기 짝이 없다”라고 평가했다.   랩서스는 마이크로소프트, 삼성, 엔비디아, 보다폰, 유비소프트, 옥타 같은 유명한 회사를 공격해 이목을 집중시켰다. 데이터를 탈취하거나 랜섬웨어로 피해 기업을 갈취하기도 했다.  랩서스가 악명을 얻기까지 다른 사이버 범죄 조직과 달리, 랩서스는 오직 자체 텔레그램 채널을 통해 운영된다. 다크 웹에서 유출 사이트를 운영하지 않는다. 지금까지 데이터를 갈취할 회사를 골라 달라며 텔레그램에 커뮤니티에 물어보는 방식으로 공격할 기업을 언급해왔다. 랩서스는 단순한 수법으로 파격적인 공격 방식을 전개해 많은 이를 당황케 했다. 예를 들어, 올해 초에는 고객 센터 제공업체 시텔(Sitel)의 컴퓨터 시스템에 침입하는 것을 시작으로 단계적인 해킹 전략을 구사했다. 이를 통해 시텔과 협력하는 클라우드 보안 업체 옥타에서 일하는 지원 엔지니어의 노트북까지 해킹해 결국 옥타의 기업 네트워크까지 침투했다. 틸스에 따르면, 랩서스 그룹은 다음과 같이 꽤나 보편적인 수법을 사용해왔다:    외부에 공개된 로그인 정보를 이용하거나 다크웹에서 로그인 정보를 구매하여 공격할 기업의 네트워크에 초기 접근  비밀번호 도용 직원들에게 대가를 지급해 접근 정보 구매  헬프데스크의 도움을 받거나 인증요청을 대량으로 살포해 다중 인증 절차 우회  VPN, 가상 데스크톱, 마이크로소프트 쉐어포인트, 가상 데스크톱 같은 애플리케이션에 로그인해 추가 크리덴셜 및 중요 정보 탈취  지라(Jira), 깃랩(GitLab) 및 컨플루언스(Confluence) 같은 소프트웨어의 미패치 취약점을 악용해 시스템 접근 권한 획득  노드VPN(NordVPN...

랩서스 테너블 랜섬웨어 2022.08.16

한국 공공기관 계정정보 59만 건, 다크웹에 떠돈다

총 350개의 한국 공공기관 가운데 약 90%인 316개 기관 약 59만 건의 계정정보가 다크웹에 유출됐다. 특히 유출된 59만 건의 계정정보는 한국 공공기관의 도메인을 메일 서비스 주소로 한 계정 아이디와 비밀번호다.    국내 보안업체 NSHC가 다크웹 인텔리전스 플랫폼인 ‘다크트레이서(DarkTracer)’를 통해 한국 공공기관 총 350개 기관을 대상으로 다크웹에 유출된 계정정보를 조사, 분석한 결과, 약 90%인 316개 기관에서 약 59만 건(59만 4,242건)의 계정정보가 다크웹에 유출됐음을 확인했다.  NSHC 측은 다만 이번에 유출된 계정정보는 다크웹에 유출된 데이터 원본 그대로이며, 진위여부 및 유효성(로그인 성공)은 검증할 수 없다고 전했다. NSHC가 발표한 보고서에 따르면, 다크웹에 유출된 계정정보들은 ‘크리덴셜 스터핑(Credential Stuffing)’ 공격 및 피싱 공격 등에 악용되어 다양한 2차 피해를 야기할 수 있다. 최근 랜섬웨어 공격 그룹이 기관 내부에 침투하기 위해 다크웹에 유출된 계정정보를 악용하는 사례가 있다고.  크리덴셜 스터핑 공격이란, 다크웹 등에서 유출된 아이디와 비밀번호 등의 로그인 계정 정보를 수집해 다른 웹사이트 및 시스템 등에 무작위로 대입해 로그인에 성공해 내부 권한을 획득하는 공격이다. 이 보고서에 따르면, 1만 1건 이상 유출된 공공기관은 총 10개 기관이었으며, 5,001건 이상 1만 건 이하 유출된 공공기관은 총 19개 기관이었다. 1,001건 이상 5,000건 이하 유출된 공공기관은 총 64개 기관이었으며, 501건 이상 1,000건 이하 유출된 공공기관은 총 34개 기관이었다.  1건 이상 500건 이하 유출된 공공기관은 총 189개 기관으로 가장 많았으며, 계정정보가 유출되지 않은 공공기관은 총 30개에 불과했다.    이 보고서는 한국의 공공기관은 북한 등 세계 각국의 해커들로부터 공격의 주요 대상이 되기 때...

계정정보 다크웹 NSHC 2021.06.04

“위장 폐업부터 솔라윈즈까지” 2021년 다크웹 현황

전문 범죄 집단과 맬웨어 서비스, 범죄 활동 수행을 위한 개선된 인프라가 다크웹을 바꿔놓고 있다. 기업 보안에 미치는 영향을 살펴본다. 최근 다크웹에서 활동하는 악당들에게 걱정거리가 하나 더 생겼다. 바로 사법기관에 체포되는 것이다. 다크웹의 불법 활동을 추적하는 것은 당국으로서는 필사적인 추격전이지만, 결국에는 적을 잡아 더러운 돈을 압수하는 일이 드물지 않다. 예를 들어, 2020년 미국 대통령 선거일 밤, 미 정부는 7년 간의 추적 끝에 10억 달러짜리 비트코인 지갑을 비워 실크 로드(Silk Road)와 연결된 자금을 회수해냈다. 실크 로드는 마약이나 청부 살인, 해커 고용 등의 불법적인 상품과 서비스를 판매하는 암시장이었다.     범죄 집단의 위장 폐업  이런 사건이 자주 일어나면서 범죄자도 새로운 전략을 짜기 시작했는데, 그 중 하나가 당국의 감시망에 걸리기 전에 매장을 닫고 돈을 빼내는 것이다. 2020년 10월 랜섬웨어 집단인 메이즈(Maze)는 기업 수백 곳을 약탈한 후에 은퇴 선언을 하고는 6주 넘게 스스로 문을 닫았다. 하지만 전문가들은 표면적인 것에 불과할 것이라고 봤다. 랜섬웨어 집단은 다른 작전에 참여하기 위해 하나의 작전을 중단하는 경우가 많은데, 사업에서 완전히 물러나는 경우는 드물기 때문이다. 다크웹 검색엔진 다크아울(DarkOwl)의 CEO 마크 터니지는 “최근 몇 년 동안 다크웹은 극적으로 변했는데, 조직 범죄 집단의 익명 포럼과 시장 이용이 증가하면서 상당히 유기적으로 바뀌었다. 유튜브를 보고 범죄자가 되고자 하는 젊은이도 늘었고, 자연히 사법기관의 활동과 이런 범죄집단이나 서비스에 침투해 범인을 밝히고 처벌하려는 시도도 증가했다”고 설명했다.   구인 채널이 된 다크웹 다크웹은 사이버 범죄집단이 새로운 조직원을 끌어들이기 위해 최소한으로 접촉하는 중간 지대로 진화했다. 그리고는 실제 커뮤니케이션은 텔레그램이나 재버(Jabber), 위크알(WickR) 같은 은밀하고 암호화된 채널을...

다크웹 먹튀 실크로드 2021.01.25

다크 웹의 정의와 이를 둘러싼 여러 가지 이슈

다크 웹(dark web)은 일반적인 검색 엔진에는 표시되지 않은 인터넷의 일부이며 이에 접속하려면 토르(Tor)라는 익명 브라우저를 사용해야 한다.    다크 웹이란 무엇인가  다크 웹은 검색 엔진에 의해 색인화되지 않은 인터넷의 일부분이다. 다크 웹이라고 하면 '범죄 활동의 온상' 정도로 느낌을 가질 것이다.  영국 런던에 있는 킹스칼리지(King's College)의 연구원 대니얼 무어와 토마스 리드는 2015년 5주동안 2,723개의 살아있는 다크 웹 사이트의 콘텐츠를 분류했는데, 이 가운데 57%가 불법 자료를 호스팅하는 것으로 나타났다.  영국 서리 대학의 마이클 맥과이어 박사가 실시한 2019년 연구 보고서인 <수익의 웹 속으로(Into the Web of Profit)>은 이런 상황이 더 악화됐음을 보여줬다. 기업을 해칠 수 있는 다크 웹 목록의 수는 2016년 이후 20% 증가했다. 모든 목록(마약 판매 제외) 가운데 60%는 잠재적으로 기업에 해를 끼칠 수 있다.  신용카드 번호, 모든 종류의 마약, 초기, 위조 화폐, 도난당한 구독 자격 증명, 해킹된 넷플릭스 계정, 다른 사람의 컴퓨터에 침입하는 데 도움이 되는 소프트웨어를 구입할 수 있다. 5만 달러의 뱅크오브아메리카(Bank of America) 계정의 로그인 자격 증명을 500달러에 구입할 수도, 600달러에 3,000달러의 20달러 위조 지폐를 받을 수도 있다. 각각 2,500달러 잔액이 있는 7개의 선불 직불카드를 500달러에 구매할 수도(특급 배송비 포함) 있으며, 평생 넷플릭스 프리미엄 계정은 6달러에 구입할 수도 있다. 해커를 고용해 컴퓨터를 공격할 수 있다. 사용자 이름과 비밀번호를 구입할 수도 있다.  그러나 모든 것이 불법은 아니며, 다크 웹에도 합법적인 면을 갖고 있다. 예를 들어, 체스 클럽이나 토르의 페이스북으로 묘사되는 소셜 네트워크인 블랙북(BlackBook)에 가입할 수 있다.&n...

다크웹 딥웹 토르 2020.11.20

다크웹 폐쇄, 좋은 기사거리는 되지만 보안에는 무의미

다크웹(Dark web) 시장은 본질적으로 불안정하다. 경쟁자의 일상적인 DDoS 공격, 사법 기관의 폐쇄 조치, 다양한 사기 등으로 인해 수시로 만들어지고 사라진다.   위협 정보 제공업체 레코디드 퓨처(Recorded Future)에 따르면, 현재 토르(Tor) 어니언 도메인의 수는 약 8,400개이며 그 안에 100여 개의 마켓과 포럼이 있다. 2013년 실크 로드 폐쇄 이후 다크웹 마켓플레이스는 수시로 나타났다 사라지기를 반복 중이다. 2017년에는 알파베이(AlphaBay)와 한사(Hansa)가 가장 유명한 마켓이었지만 미국 사법기관의 코드명 베이오넷(Bayonet) 작전에 따라 폐쇄됐다. 2019년에는 큰 규모의 폐쇄가 이어졌다. 알파베이와 한사가 사라진 빈 자리를 채우기 위해 등장한 드림 마켓(Dream Market), 월스트리트 마켓(Wall Street Market), 발할라/실키티(Valhalla/Silkkitie) 모두 최근 몇 개월 사이 문을 닫았다. 월스트리트와 발할라 마켓은 미 사법기관에 의해 폐쇄 조치됐으며(월스트리트 운영자들은 도주하다 체포된 것으로 알려졌다), 드림 마켓 운영진은 공격자들이 토르의 결함을 사용해 반복적으로 DDoS 공격을 가하면서 공격을 멈추는 대가로 몸값을 요구하는 데 지쳐 사이트를 닫는다고 밝혔다. 폐쇄의 "공식" 성명에는 서비스를 파트너 회사로 양도한다고 나와 있지만 드림 마켓을 대체하는 파트너는 아직 등장하지 않았다. 다크웹 마켓을 전문으로 다루는 뉴스 사이트인 딥 닷 웹(Deep Dot Web)도 소유자가 기사를 써주는 대가로 마켓으로부터 리베이트를 받은 혐의와 돈세탁 혐의로 기소되면서 폐쇄됐다. 이렇게 수시로 문을 닫는 데도 불구하고 해킹 툴, 악성코드, 정보 유기를 포함한 불법 상품과 서비스를 위한 블랙 마켓은 끈질기게 존재한다. 나이트메어(Nightmare), 엠파이어(Empire), 다크마켓(Darkmarket) 외에도 다크웹 마켓 모니터링 사이트에는 많은 다크웹 마켓이 올라와 ...

다크웹 보안 2019.07.10

제네시스 스토어, 지문인식과 카드정보 묶어 파는 다크넷 시장

연구진들이 초대장을 받아야만 이용할 수 있는 토르(Tor)로 감춰진 마켓플레이스를 찾아냈다. 이 마켓플레이스에서는 도난 신용카드의 세부정보를 도난 피해자의 기기 지문과 묶어서 제공해 구매자는 이를 이용하여 수많은 이상금융거래 탐지 시스템을 피해갈 수 있게 되었다.   제네시스 스토어는 현재 6만 개에 달하는 도난 프로필 패키지를 미화 5~2,000달러에 판매하고 있다. 여기에는 브라우저 지문인식, 웹사이트 사용자의 로그인 정보와 비밀번호, 쿠키 정보, 신용카드 정보 등이 포함되어 있다.  구매자는 특정 웹 사이트, 피해자의 국가, 운영체제, 또는 프로필이 다크넷 마켓에 처음 올라간 날짜의 로그인 정보 및 비밀번호를 필터링할 수 있게 해주는 검색 패널을 통해 프로필을 쇼핑할 수 있다.  카스퍼스키의 세르게이 로즈킨 선임 보안연구원은 최근 싱가포르에서 열린 보안 애널리스트 서밋에서 “악당들이 구매하는 작은 패키지인데 이제 당신도 그 악당이 될 수 있다”고 밝혔다.  이로 인한 잠재적인 피해는 상당할 것으로 우려된다. 합법적인 온라인 쇼핑객과 사기범을 구별하기 위해 사기 방지 시스템은 통상 쇼핑객의 디지털 지문을 인증하는 메커니즘을 사용한다. 이 '지문'에는 사용자의 기기에 저장된 100개가 넘는 속성들이 들어있을 수 있다. 예를 들어, IP주소(외부 및 로컬), 화면 정보(화면 해상도나 창 크기 등), 펌웨어 버전, 운영체제 버전, 설치된 브라우저 플러그인, 시간대 등이 전부 담겨있을 수 있다.   카드가 과거에 사용했던 기기와 동일한 기기에서(그리고 동일한 지문으로) 사용된다면 결제에는 아무런 문제도 없다.  로즈킨은 “마스크 뒤에 숨어있는 사용자는 합법적인 사용자로 인식되고 제공된 은행 카드를 이용한 구매 시도와 같이 그 사용자의 쿼리도 승인될 것이다“고 말했다.  로즈킨에 따르면, 기기를 모방한 도용이 더욱더 쉽게 이뤄지도록 ...

봇넷 토르 크리덴셜 2019.04.16

다크웹 웹사이트에 대해 알아야 할 11가지 사실

1970년대만 해도 "다크넷(darknet)"은 결코 불길한 용어가 아니었다. 그저 아르파넷(ARPANET) 주류와 따로 떨이진, 격리된 네트워크를 지칭했을 뿐이다. 그러나 아르파넷이 인터넷이 되고 인터넷이 다른 컴퓨터 네트워크를 죄다 집어삼키면서 다크넷은 인터넷에 연결은 되어 있지만 잘 드러나지 않는, 지도 없이는 찾기 어려운 구역을 의미하게 됐다.    검색 엔진에 의해 인덱싱되지 않은 인터넷 부분을 포괄적으로 지칭하는 용어인 다크웹(dark web)에 대해서는 각종 괴담이 많다. 그러나 대부분의 괴담이 그렇듯이 막상 현실은 시시한 편이다. 물론 다크웹 웹사이트에 섬뜩한 것이 없지는 않지만, 한번쯤 들어 봤을 무서운 이야기는 전체적인 다크웹의 현실과는 다소 거리가 있다. 그래서 현실을 파악하기 위해 보안 전문가들의 안내를 받아 웹의 지하 세계인 다크웹을 조금 둘러봤다. 이 기사를 통해 다크웹을 이해하는 데 도움이 되기를 바란다. 다크웹에 대해 미처 몰랐을 11가지 사실은 다음과 같다.   1. 새로운 다크웹 사이트가 매일 등장한다 위협 정보 업체 레코디드 퓨처(Recorded Future)는 2015년 잘 알려진 웹과 다크넷 사이의 연결 고리를 분석한 백서를 발간했다. 이 연결 통로는 보통 페이스트빈(Pastebin)과 같은 사이트에서 시작된다. 페이스트빈은 원래 긴 코드 샘플이나 기타 텍스트를 손쉽게 업로드하기 위한 용도로 만들어졌지만, 지금은 관심있는 사람들을 위한 익명의 토르(Tor) 네트워크로 연결되는 링크를 며칠 또는 몇시간 넣어두는 용도로 자주 사용된다. 다크웹 검색은 구글 검색만큼 쉽지는 않지만(어쨌든 비밀스러운 곳을 표방하는 만큼) 거기 뭐가 있는지 찾아볼 수 있는 방법은 몇 가지 있다. 다음 화면은 라드웨어(Radware) 보안 연구원 다니엘 스미스가 캡처해 전해준 것이다. 스미스에 따르면, 이 화면은 "매일 새로운 URL, 새로운 어니언(onion)을 찾아 목록화하는 자동 스크립...

다크웹 Dark Web 다크넷 2018.12.05

토픽 브리핑 | 더욱 어두워지고 활성화된 다크웹의 현황

구글에서 다크웹(Dark Web)이나 딥 웹(Deep Web)에 대해 이미지를 검색해 보면, 후드티를 덮어쓴 해커의 모습과 바다 위에 떠있는 빙산을 통해 개념을 설명해 놓은 그림을 많이 볼 수 있다. 우리가 일반적으로 인터넷을 통해 찾을 수 있는 정보나 콘텐츠는 수면 위에 드러난 아주 소수에 불과하며 나머지는 모두 바다 속에 잠겨있다는 것이다. 불과 3년 전만 하더라도 구글 검색 결과로 나온 이미지들은 아동학대, 시체, 괴기물, 테러 장면 등 충격적이고 경악할 내용이 담겨있었다. 일반적인 검색엔진에서 다크웹이나 딥 웹은 살인 청부나 마약, 무기 밀매, 불법 포로노, 사이버범죄자들의 세상으로 표현되고 있다. 다크웹이 세상에 알려진 계기는 2009년 미국 FBI가 온라인 마약 거래 사이트인 실크로드(Silk Road)를 적발해 폐쇄한 사건이다. 이후 2015년 8월 기혼 남녀가 바람을 피울 상대를 찾는 사이트인 애슐리 매디슨(Ashely Madison) 정보 유출 사건에서 10GB의 데이터가 다크웹에 유포된 이후 전세계적으로 유명해졌다. 데이터를 훔친 해커들은 사이트를 폐쇄하지 않을 경우 이 정보를 웹에 업로드하겠다고 위협했으며 실제 그 위협을 행동으로 옮겼다. 이후 애슐리 매디슨의 기혼 사용자들은 2,500달러를 비트코인으로 지불하지 않을 경우 외도 사실을 폭로하겠다는 협박 편지를 받았다. 글로벌 칼럼 | 다크웹이 훨씬 더 어두워진 이유 3,700만 애슐리 매디슨 회원 정보, 영리 목적으로 딥 웹에 판매할 수 있다 특히 최근 비트코인이 랜섬웨어로 인한 몸값 지불 통화로 다크웹에서 거래됨에 따라 다크웹은 사이버범죄의 온상, 범죄자들의 네트워크라는 오명이 강해졌다. 특히 폐쇄된 실크로드조차도 지금까지도 간헐적으로 운영되고 있으며, 사이버범죄 시장은 점점 더 성장하고 있다. 사이버범죄의 온상으로 떠오르는 '다크웹' 21세기 인터넷의 발전은 암호화된 화폐, 네트워크, 익명성이 강화된 통신으로 다크웹 또한 더욱 활성화되고 ...

다크웹 딥웹 2017.08.04

기업이 된 다크웹

단어 자체부터 음산함을 풍기는 "다크웹(dark web)"에 대한 일반적인 인식은 해킹 툴, 무기, 마약, 아동 포르노, 심지어 암살까지, 무엇이든 사고파는 시장이다. 전문가에 따르면, 이런 다크웹의 모든 속성은 여전히 사실이다. 다만 지금 다크웹의 사업 방식은 예전과는 다르다. 과거 다크웹에서 불법적인 물건을 구입한다는 것은 위험을 무릅쓴 모험이었지만 지금은 전혀 아니다. 예를 들어 마약을 보자. 터비엄 랩스(Terbium Labs)의 분석 담당 이사 에밀리 윌슨은 "다크웹에서의 마약 거래를 비유하자면 동네 구멍가게만 다니던 사람이 처음으로 대형 슈퍼마켓에 가는 것과 같다"고 말했다. 엄청나게 많은 수의 업체를 통해 원하는 것은 거의 무엇이든 구할 수 있다. 모든 판매 업체는 각자 자신의 상품이 가장 신선하고 순수하고 안전하며 즉각 제공 가능하다는 점을 내세우며 앞다퉈 구매자를 유혹한다. 사람들은 자세한 후기를 통해 자신의 경험을 비교하고 대조하길 좋아한다. 판매상들은 고객의 충성도를 높이기 위해 인센티브를 준다. 새로 나온 마약을 무료로 주거나 배송이 늦을 경우 추가 마약으로 보상을 해주는 식이다. 다크웹에서 기업화된 것은 마약뿐만이 아니다. 전반적인 현상이다. 대부분의 전문가는 특히 다양한 해킹 및 어둠의 기술을 제공하는 서비스의 출현을 강조했다. 자세한 이야기를 듣다 보면 다크웹의 여러 범죄자들이 기업 IT 부서의 운영 모델을 그대로 따르고 있다는 인상을 받게 된다. 기업 IT와 마찬가지로 다크웹의 불법적인 상품 역시 구매자가 스스로 구현해야 하는 코드부터 턴키 솔루션과 컨설팅 서비스에 이르기까지 다양하다. 상품 : 설명서와 함께 판매되는 악성코드 익스플로잇과 공격 코드를 찾거나 직접 만들기란 대단히 복잡한 일이다. 다크웹은 필요한 기술을 갖춘 프로그래머와 그 기술을 이용하고자 하는 이들을 연결하는 시장을 제공한다. 인트사이트(IntSights)의 정보 팀장 아이돌 월칸은 다크웹에서...

사이버범죄 다크웹 Dark Web 2017.07.26

다크웹과 딥 웹의 정의와 차이점

다크웹(Dark Web)은 암호화된 네트워크에 존재하며 일반적인 검색 엔진이나 일반적인 브라우저를 사용해서는 찾거나 방문할 수 없는 특정 부류의 웹 사이트를 가리키는 용어다. 이른바 다크웹에 존재하는 거의 모든 사이트는 토르(Tor) 암호화 툴을 사용해 본래의 정체를 숨긴다. 토르는 정체와 활동 내역을 감추는 용도로 제법 알려진 프로그램이다. 토르를 사용하면 위치를 속여 자신의 현재 위치가 아닌 다른 국가에 있는 것처럼 가장할 수 있다. VPN 서비스를 사용하는 경우와 마찬가지다. 토르를 통해 운영되는 웹 사이트도 이와 거의 동일한 효과를 얻는다. 사실 그 효과를 배가시킨다. 토르 암호화를 사용하는 다크웹의 사이트를 방문하려면 웹 사용자도 토르를 사용해야 한다. 최종 사용자의 IP 주소가 여러 암호화 계층을 통과하면서 이리저리 바뀌고 결과적으로 토르 네트워크의 다른 IP 주소로 표시된다. 웹 사이트의 IP 주소도 마찬가지다. 토르를 사용해 공개 인터넷의 웹 사이트를 방문하는 것도 비밀스러운 행동이지만 여기에는 양쪽 모두에 그보다 훨씬 더 비밀스러운 여러 계층이 존재한다. 따라서 다크웹의 사이트는 누구나 방문할 수 있지만 사이트의 배후가 누구인지 알아내기는 매우 어렵다. 또한 실수해서 자신의 신원을 노출시킬 경우 위험할 수도 있다. 다크웹의 용도는 무엇인가? 다크웹 사이트가 모두 토르를 사용하지는 않는다. 예를 들어 실크 로드 리로디드(Silk Road Reloaded)와 같은 일부는 I2P와 같은 토르와 유사한 다른 서비스를 사용한다. 그러나 기본 원칙은 동일하다. 방문자는 사이트와 동일한 암호화 툴을 사용해야 하며, 무엇보다 그 사이트를 어디서 찾아야 하는지 알아야 URL을 입력해 방문할 수 있다. 다크웹 사이트에서 악명 높은 예로 실크 로드와 그 자식 사이트들이 있다. 실크 로드는 과거 마약 매매용 웹 사이트였는데 아마 지금도 여전히 활동 중일 것이다. 그러나 다크웹을 합법적으로 사용하는 경우도 있다. 폐쇄된 전체주의...

다크웹 딥웹 다크인터넷 2017.07.25

"자사 데이터가 암거래되고 있지는 않은가" 다크웹에서 데이터 찾기

미국 메릴랜드 주 풀턴(Fulton)에 위치한 소프트웨어 공급망 관리업체 소나타입(Sonatype)의 가장 중요한 자산은 120만 개가 넘는 오픈소스 패키지의 설명을 모아놓은 데이터베이스다. 소나타입의 CEO 웨인 잭슨은 "만약 잃어버린다면 회사의 존립이 위험할 수도 있다"고 말했다. 소나타입 측에서는 데이터베이스 유출 시 이를 빠르게 봉쇄하기 위해 웹을 감시한다. 내부 데이터가 도난 당해 온라인 상에서 공유되고 있는 조짐이 없는지 살피는 것이다. 감시 대상에는 다크 웹(dark web)도 포함된다. 인터넷의 어두운 면은 사실 그렇게 크지 않다. 언론에서는 다크웹(dark web)의 크기를 부풀려 보도하는 경우가 많다. 사내 인트라넷, 비밀번호로 보호된 온라인 포럼 등의 사이트, 은행 웹사이트, 이메일 플랫폼 등 검색 엔진으로 접근할 수 없는 것을 전부 포함시키기 때문이다. 미국 연방수사국(FBI)에 따르면, 전세계적으로 범죄 인터넷 포럼 수는 800여 개에 불과하다. 이들이 미치는 영향은 크지만 사용자가 많은 것은 아니다. 웹 취약점 스캐너인 펑크스파이더(PunkSpider)가 2015년 익명 네트워크 토르(Tor)를 조사한 결과 약 7,000개의 토르 사이트가 발견되었는데 이 가운데 약 2,000개만이 활동 중이다. 이들 사이트의 운영자가 다 범죄자인 것은 아니다. 억압적인 정권 하에서 살아가는 반체제 인사들, 보안에 민감한 기관과 업체, 그리고 개인정보 노출을 매우 우려하는 개인들도 토르, 프리넷(Freenet), 보이지 않는 인터넷 프로젝트(I2P)를 사용한다. 범죄 성향의 다크웹 사이트라고 해서 전부 기업 정보보안 전문가들의 관심 대상인 것은 아니다. 미국 버지니아 주 레스튼에 위치한 쓰레트쿼션트(ThreatQuotient)의 전략 담당 수석 부사장 조나단 카우치는 "다크웹 가운데 상당 부분은 인신 매매, 마약 거래 등과 같은 일을 한다"고 말했다. 쓰레트쿼션트는 기업들이 서로 ...

다크웹 Dark Web 2017.07.14

IDG 블로그 | 대테러 분석가가 다크웹에서 하는 일

웹에 존재하는 어떤 것을 설명할 때 '다크(dark)'나 '딥(deep)'이라는 표현은 공포심이나 불안감을 일으킨다. 보안업계 종사자를 제외한 사람들은 신비스럽기도 한 이 디지털의 심연과, 범죄자들이 정체를 숨긴 채 활동하며 온갖 음모를 꾸미는 이곳에 대해 호기심과 두려움을 함께 느낀다. 정상적인 사람 가운데 디지털 세계에서 가장 음침한 이곳에서 종일 일하고 싶은 사람이 있을까? 알렉스 커시러가 바로 그런 사람이다.  플래시포인트(Flashpoint)의 선임 대테러 분석가 알렉스 커시러는 보안업계에서 유명한 여성 인사이며 '걸 파워(girl power)'의 전형으로 통한다. 오늘 하루를 가장 위험한 무법자들과 접촉하면서 보내야 한다는 것을 알면서 매일 아침 눈을 뜰 수 있는 그 힘의 원천이 무엇인지 필자같은 사람은 도무지 알 수 없다. 동시에 이와 같은 중차대한 일을 할 수 있는 능력에 대한 부러움도 느낀다. 25년 전으로 돌아간다면 필자는 나중에 커시러와 같은 사람이 되고 싶다고 생각할 것 같다. 앞으로의 진로에 대해 고민 중인 젋고 야심찬 보안업계 종사자라면 커시러가 하는 일을 살짝 엿보며 대테러 분석가의 길을 고려해볼 수도 있을 것이다. 커시러는 다크 웹을 샅샅이 조사하기 위해 분석가는 검색되지 않는 영역, 접근을 위해 일종의 증명서가 필요한 인터넷의 심층적인 부분을 모니터링하고 들어갈 수 있어야 한다고 말했다. 커시러는 "테러리스트를 감시하기 위해서는 전체적인 상황과 개개인에 대한 이해가 필요하다. 이들은 모이고 상호 교신하므로 나도 민첩하게 움직여야 한다. 지하디스트는 끊임없이 이동하며 새로운 활동 영역을 찾는다. 민첩하고 유연하지 않으면 이들과 함께 움직일 수 없다"고 말했다. 커시러와 같은 분석가는 테러리스트 모니터링을 통해 범죄자과 접촉함으로써 이들의 계획과 수법을 파악할 수 있다. 커시러는 "테러리스트의 생각을 이해하...

다크웹 2017.02.14

사이버 범죄자들의 지하 세계 … 다크웹 시장 7곳 분석

IRC(Internet Relay Chat) 채널을 통해 통신이 이뤄지던 시대부터 존재해온 해커들의 지하 시장은 암호화된 화폐 및 익명 통신의 발전과 함께 21세기가 열리면서 더욱 활성화되는 양상을 보이고 있다. 지하 시장은 사이버 범죄자들이 누릴 수 있는 다양한 서비스를 제공한다. 에이노말리(Anomali)의 수석 보안 연구원 루이스 멘디에타에 따르면, 이들 시장에서는 마약과 무기 등 현실 세상의 물품에서부터, 스팸/피싱 딜리버리, 취약성 공격 키트 서비스, "크립터(Crypter)"와 "바인더(Binder)", 맞춤형 맬웨어(Malware) 개발, 제로데이(Zero Day) 취약성, 방탄 호스팅(Bulletproof Hosting) 등 디지털 세상의 도구와 서비스에 이르기까지 다양한 아이템들이 판매되거나 공유되고 있다. 지하 세계에는 일반인에게 익숙하지 않은 용어가 넘쳐난다. 크립터는 백신 엔진의 감지를 우회하기 위해 악성코드를 암호화하는 툴이다. 바인더는 악성코드 샘플로 정상 프로그램에 트로이 목마(Trojan)를 심는 툴이다. 제로데이 취약점 공격은 이전에 패치되지 않은 취약점을 악용해 공격자들이 컴퓨팅 시스템에 무단 접속하는 기법이다. 그들만의 은어도 있다. 정상적인 보안 세계에서는 "FUD"가 "공포(Fear), 불확실성(Uncertainty), 의심(Doubt)"을 의미하곤 하지만 지하 세계의 포럼에서는 "완전한 은신(Fully UnDetectable)"을 의미한다. 포럼에는 또 약속한 서비스 또는 제품을 제공하지 않고 다른 사용자에게 바가지를 씌우고 사기를 치는 인물들인 '리퍼(Ripper)'들이 있다고 멘디에타가 전했다. 멘디에타는 여러 마켓플레이스마다 각각의 두드러진 특징이 있다고 설명했다. 일부 포럼은 TOR 네트워크를 통해서만 접근할 수 있지만 전통적인 웹 브라우징(Clearnet)을 통해 접근할 수 있는 것들도 있...

다크웹 사이버범죄자 2017.02.10

'보안 전문가들이 예상하는' 2016년 보안 전망 26선

정보력이 뛰어난 기업 등 IT업계 기업들의 예언이라 해도 빗나갈 순 있다. 그렇지만 내년 전망을 정확히 알고 있으면 위기 상황에 좀더 잘 대처할 수 있을 것이다. 반대로 잘못된 예측을 신뢰한다면 보안 위협에 효과적으로 대응하고 예방할 수 없게 되며, 이는 결국 기업 평판 하락을 비롯해 각종 손해를 야기하게 될 것이다. 이런 이유로, <CSO>는 10여 명의 전문업체 관계자 및 애널리스트들에게 2016년 보안 관련 예측을 들어보았다. ciokr@idg.co.kr

다크웹 APT 랜섬웨어 2015.12.23

토르 네트워크 최대 암거래 시장, 보안 우려로 일시 운영 중단 결정

토르 네트워크 최대의 암거래 시장인 아고라(Agora)가 일시적으로 운영을 중단했다. 아고라 사이트가 최근 등장한 토르 히든 서비스(Tor Hidden Service) 색출 방법에 취약하다는 점을 우려한 것이다. 토르 히든 서비스(Tor Hidden Services)는 토르 네트워크 내에서만 액세스할 수 있는 웹 사이트들로, 서버와 사용자 모두의 IP 주소를 숨기기 위해 특별히 고안된 것이다. 이렇게 기본적으로 익명성을 보장하기 때문에 마약이나 총기, 도난 카드 정보 등 불법적인 상품의 거래를 위한 온라인 마켓을 운영하는 방법으로 선호되고 있다. 이런 암거래 시장의 대표격으로 지난 2013년 미국 FBI에 의해 폐쇄된 실크 로드(Silk Road)를 들 수 있다. 하지만 실크로드 이후에도 많은 유사 사이트가 생겨 났으며, 일부는 국제적인 단속 대상이 되기도 했다. 아고라는 단속에서 살아 남았고 규모와 인기도에서 실크 로드를 능가했다. 지난 화요일 아고라 측은 공식 메시지를 통해 아고라 마켓플레이스를 중단하기로 결정했다고 발표했다. 아고라가 밝힌 이유는 최근 토르 히든 서비스 프로토콜의 취약점에 대한 연구가 숨겨진 서버 위치를 밝히는 데 이용될 수 있기 때문이다. 또 아고라 소프트웨어에 큰 변화가 필요한 해결책을 마련하고 있는데, 이를 배치하는 데 시간이 걸릴 것이라고 밝혔다. 특히 최근에 아고라 서버를 중심으로 수상한 움직임을 발견했는데, 최근의 연구에서 나타난 공격의 일종이 진행되고 있는 것으로 보이며, 그래서 서버를 다시 한 번 이전했지만, 서버 이전은 어디까지나 임시 방편일 뿐이라고 덧붙였다. 아고라 측이 구체적으로 어떤 연구인지를 언급하지는 않았지만, 지난 24회 유즈닉스 보안 심포지엄에서 발표된 한 보고서가 아고라측의 설명과 일치한다. 이 보고서는 MIT와 와 QCRI(Qatar Computing Research Institute) 연구원들이 발표한 것으로, 기존 기법을 개선한 새로운 트래픽 핑커프린팅 방법을 소개했다. 특히...

익명성 다크웹 토르 2015.08.27

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.