덴 매거진

특수 브라우저를 통해서만 접속할 수 있는 다크웹은 익명성과 폐쇄성으로 범죄의 온상이 됐다. 개인정보부터 마약 거래에 이르기까지 각종 불법행위가 이뤄지는 가운데, 우리나라 역시 다크웹 범죄 피해에서 자유롭지 않다는 지적이 나온다.

사이버 언더그라운드
인터넷 사이트는 흔히 서피스웹(Surface Web)과 디프웹(Deep Web) 두 가지로 나뉜다. 서피스웹은 이름 그대로 빙산의 표면처럼 세상에 드러난 웹으로, 네이버나 구글 등으로 검색해 접속할 수 있다. 반면 디프웹은 물에 잠겨 보이지 않는 빙산의 아랫부분처럼 여러 이유로 세상에 드러나지 않아 네이버나 구글 등 검색엔진으로 찾을 수 없는 사이트다. 보안상 이유로 기업 내부에서 사용하는 특정 사이트나 개인 메일함 등이 대표적이다. 개인 메일함을 검색엔진에 공개할 이유는 없다. 두 종류 가운데 서피스웹은 전체 사이트의 10% 정도다. 그만큼 세상에 드러나지 않은 디프웹이 더 많다.

디프웹 가운데 더 은밀하게 숨어 있는 것이 다크웹이다. 아무나 접속할 수 없는 다크웹에 접속하려면 특정 브라우저를 이용해야 한다. 이렇게 접속을 어렵게 만드는 이유는 여러가지다. 탄압을 피해 언론의 자유를 추구한다는 정치적 이유는 물론 정보를 보호하려는 긍정적 목적과 범죄에 악용하려는 부정적 목적 등 다양하다. 다크웹은 긍정적인 목적도 있지만 해킹, 음란물 유통, 개인정보 유출, 테러, 살인 청부 등 범죄와 밀접하게 연결되며, 주로 이러한 이유로 이용하는 것으로 알려져 있다.

어둠의 망치가 된 ‘토르’
다크웹 확산에 기여한 것은 미 해군연구소(NRL)다. 이들은 정보를 안전하게 주고받기 위해 다크웹인 ‘토르’를 구상하고 여기에 접속할 수 있는 브라우저 ‘토르’를 따로 만들었다. 토르(TOR)는 ‘양파 라우팅(The Onion Routing)’의 줄임말이다. NRL이 개발한 양파 라우팅은 정체를 드러내지 않고 인터넷 접속을 할 수 있는 기술이다. 기본적으로 양파 라우팅은 서버가 여러 군데 흩어진 분산 시스템을 이용한다. 따라서 특정한 누군가가 단독으로 접속망을 관리하지 않기 때문에 어느 한군데를 뚫어도 정보를 가로챌 수 없다.

이 과정에서 이용자의 접속 정보와 주고받는 내용 등 각종 데이터가 ‘노드’라고 부르는 접점을 통해 기계적으로 세 번의 암호화 과정을 거친다. 이 암호화는 최초 접속 지점과 중계 지점, 이어서 사이트로 연결되는 출력단 등 세 곳의 노드에서 각각 이루어진다. 먼저 첫 번째 노드에서 암호화된 정보는 두 번째 노드로 전달되는데, 여기서 첫 번째 암호를 해독해 제거된 뒤 새로운 암호가 설정돼 세 번째 노드로 전달된다. 이때 두 번째 노드에서는 첫 번째 노드에서 전달된 접속 위치 정보(IP)를 볼 수 있지만 암호화된 정보 자체를 볼 수는 없다. 마지막 노드에서는 두 번째 노드에서 전달된 암호를 풀고 정보를 볼 수 있으나 첫 번째 노드의 IP를 알 수 없다. 각 노드의 단계에서 접속 위치와 정보 내용이 각각 따로 암호화 과정을 거치기 때문에 접속자를 추적하거나 정보 내용을 가로챌 수 없다. 즉 컴퓨터끼리 기계적으로 주고받는 세 군데 암호를 모두 알지 못하면 전체 데이터 파악과 접속자 추적이 불가능하다.

그런데 미국 정부만 토르를 사용하면 대번에 토르에 접속한 사람들이 정부 관계자로 드러나는 문제가 발생한다. 그래서 이를 감추기 위해 전격적으로 토르의 토대가 된 기술을 오픈소스로 공개했다. 많은 이용자가 들어오게 만들어 그 안에서 신분을 숨기기 위한 조치였다. 이것이 다크웹이 퍼진 계기다.
다크웹은 구글 크롬이나 마이크로소프트 엣지 같은 일반 웹브라우저로는 접속이 불가능하며, 토르 같은 다크웹 전용 특수 브라우저와 ‘덕덕고’ 같은 특수한 검색엔진이 필요하다. 토르로 접속할 수 있는 다크웹 사이트는 인터넷 주소 맨 뒤에 양파를 뜻하는 닷어니언(.onion)이 붙는다. 닷어니언은 토르에 사용된 기술인 양파 라우팅을 의미한다. 다크웹의 규모는 관련 사이트가 계속 등장했다 사라지기 때문에 정확히 알 수 없지만 닷어니언 주소를 가진 사이트가 약 5만5000개, 이 가운데 8400개가 활성화된 것으로 알려졌다.

보이지 않는 범죄 네트워크
다크웹 접속에 사용하는 토르 브라우저는 암호화폐나 블록체인에 쓰이는 분산 서비스 기술을 이용해 여기저기 흩어진 여러 단계의 서버를 거치도록 돼 있다. 이를 통해 이용자의 정체를 숨기고 해킹하기 어렵게 만들어 정보를 가로채기 힘들다. 그러다 보니 접속 속도가 떨어진다. 일반 인터넷 사이트 접속 속도와 비교하면 장애 발생을 의심할 만큼 접속 시간이 오래 걸린다. 보안에 신경 쓰다 보니 접속 속도가 떨어지는 문제가 발생한 것이다.

느린 속도에도 불구하고 다크웹을 이용하는 것은 서피스웹에서 찾을 수 없는 정보들 때문이다. 긍정적인 정보도 있지만 온갖 범죄 정보도 많다. 각종 마약이나 총기 거래가 일어나고 있으며, 해킹 도구와 무기 설계도, 온갖 불법 음란물과 아동 포르노, 인신매매 중개도 일어난다. 또 각종 불법 신분증 거래도 활발하다. 각국 여권이나 운전면허증 등이 다크웹에서 70만~300만원에 거래되기도 한다. 악성 해커나 살인 청부 업자를 고용하는 인력시장도 열린다. 심지어 코로나19가 확산되던 때 코로나19에 감염된 혈액을 판매하기도 했다.

진화하는 다크웹 범죄
국내 사이버 보안업체 S2W에 따르면, 다크웹 콘텐츠 가운데 약 3%가 한국 관련 콘텐츠로 추산된다. 이 가운데 유출된 개인정보가 약 54%를 차지한다. 그만큼 우리나라도 다크웹 범죄 피해에서 자유롭지 않다는 뜻이다. 정부에 따르면 2024년 다크웹에 접속한 국내 인터넷 이용자는 하루 평균 4만6757명으로 전년 대비 148% 증가했다. 특히 교묘하게 조작한 딥페이크 성범죄물이 늘면서 이용자도 불어났다.

유명한 다크웹 범죄로는 2013년 발생한 실크로드 사건이 있다. 범죄 정보가 너무 많이 올라와 블랙 이베이로 불렸던 실크로드는 무기, 마약, 위조지폐, 살인 청부 정보가 범람했다. 운영자인 DPR은 직원마저 청부 살해하려다가 FBI에 체포됐다.

2019년 발생한 웰컴 투 비디오 사건은 한국인이 관련돼 국제적 망신을 샀다. 한국과 미국, 영국 등 32개국 수사기관이 다크웹에 개설된 아동 포르노를 수사하다 이를 거래하는 웰컴 투 비디오를 찾아냈는데, 운영자가 20대 한국인이었던 것이다. 사이트 이용자 300여 명 중 223명도 한국인이었다. 경찰에 따르면 운영자는 충남에 위치한 집에 서버를 설치해 놓고 아동 포르노 22만여 건을 다크웹에서 유통했다.

2024년 5월 발생한 클롭 랜섬웨어 사건도 빼놓을 수 없다. 클롭 랜섬웨어라는 해킹 조직이 국내 인터넷업체를 공격해 200만 건의 고객 정보를 훔쳐갔다. 이들은 이 정보를 다크웹을 통해 거래한 것으로 알려졌다.

하지만 다크웹에 올라온 내용을 곧이곧대로 믿어서는 안 된다. 다크웹에서 이상한 정보를 찾는 사람들을 노린 사기 행위도 빈번하게 발생하기 때문이다. 사이버 보안업체들은 각종 범죄 정보와 무기 거래 등을 주고받는 사이트 가운데 90% 이상이 가짜라고 의심한다. 마치 정보를 넘겨줄 것처럼 속여 선금으로 비트코인만 가로챈 뒤 잠적하는 것이다. 피해자들은 불법 정보를 거래하려고 했기 때문에 수사기관에 신고조차 할 수 없다. 사기꾼들은 이런 허점을 노린다.

다크웹 잡는 덫
그렇다면 수사기관이나 사이버 보안업체들은 다크웹 속 범죄 정보를 어떻게 추적할까. 이들은 위장된 덫을 사용한다. 즉 범죄 정보를 주고받는 사이트나 운영자로 가장해 범죄 정보에 관심을 갖는 사람들을 끌어들인 뒤 관련 사이트를 역추적하는 방법을 쓴다.

다크웹은 기본적으로 접속 위치 정보와 정보 내용에 대해 세 단계의 노드를 거치며 암호화하기 때문에 정보 내용을 파악하는 것이 불가능하다. 그래서 미 국가안보국(NSA) 등 규모가 큰 정보기관은 아예 세 단계 노드를 모두 가짜로 만든 사이버 덫을 사용한다. 첫 번째 접속 노드, 두 번째 전달 노드, 마지막 세 번째 출구 노드를 모두 한 사람 또는 한 단체에서 운영하면 접속자 정보를 파악할 수 있다. 정확하게 말하면 정체를 파악할 수 있도록 설계하는 것이다. 하지만 접속자는 이를 전혀 눈치챌 수 없어 사이버 덫인 줄 모르고 접속했다가 추적당하게 된다.

다크웹 분석을 전문으로 하는 국내 보안업체 S2W도 위장 서버를 사용한다. 겉으로 보기에는 다른 다크웹 사이트처럼 보이지만 실제로는 접속자 정보와 범죄 정보를 파악하기 위한 사이버 덫 역할을 하는 위장 서버다. 위장 서버에 접속한 사람들이 주고받는 정보는 S2W에서 자체 개발한 다크웹 분석용 인공지능(AI) ‘다크버트’로 분석된다. 다크웹 서버의 경우 매일 몇만 페이지 분량의 정보가 입력되기 때문에 사람이 일일이 분석할 수 없다. 다크버트는 다크웹에서만 통용되는 은어와 러시아어 등을 알고 있기 때문에 이를 바탕으로 정보를 분석해 사기 행위나 해킹 등 문제가 있는 정보를 파악하면 수사기관이나 정보기관에 전달한다. 이를 위해 S2W는 국제형사기구(인터폴), 국내 수사기관 및 정보기관과 협력 관계를 맺고 있다.

해외에서 S2W 같은 역할을 하는 기업은 세계적으로 유명한 미국의 팔란티어 테크놀로지스가 있다. 미국을 위협하는 테러 정보 수집을 목적으로 설립된 팔란티어는 뉴욕거래소에 상장된 시가총액 185조원 규모의 공개기업이면서 은밀하게 활동하는 이중 회사다. 팔란티어는 아예 미국의 중앙정보국(CIA)이 운영하는 펀드 ‘인큐텔’이 투자한 곳이다. ‘페이팔 마피아’로 통하는 페이팔 창업자 피터 틸이 만든 이 업체는 다크웹을 포함한 인터넷의 각종 정보를 분석해 테러 및 범죄 징후를 발견하면 CIA와 FBI에 전달한다.

이들은 보스턴 국제마라톤대회를 겨냥한 테러 징후를 사전에 탐지해 유명해졌으며, 9·11테러를 주도한 오사마 빈 라덴 사살 작전인 ‘넵튠 스피어’에 참여해 그의 위치를 확인하는 데 결정적 기여를 했다.

따라서 다크웹에서 호기심에 불법 정보 사이트를 접속하는 것은 절대 하면 안 된다. 다크웹 접속은 불법이 아니지만 그 안에서 불법 정보를 취득하는 것은 문제가 될 수 있기 때문이다. 특히 수사기관 또는 보안업체가 만든 위장 사이트에 접속해 불법 정보에 관심을 보이면 범죄자로 의심받을 수 있는 데다, 최악의 경우 일부 국가에서 입국을 거부당할 수도 있다. 미국의 경우 9·11테러 이후 다크웹에서 특정 범죄 정보를 검색하려는 사람을 NSA 등이 추적해 아예 입국 단계에서 원천 차단한다.

그뿐 아니라 다크웹에서 파일을 내려받으면 파일 속에 교묘하게 숨겨 놓은 악성코드에 감염돼 해킹을 당하는 경우도 있다. 이를 악용해 먹통이 된 컴퓨터를 풀어주는 대가로 돈을 요구하는 랜섬웨어 사건이 심심찮게 일어난다. 이런 피해를 막기 위해 S2W 등 사이버 보안업체들은 AI를 이용해 다크웹에서 거래되는 불법 정보를 탐지하는 서비스를 제공하기도 한다. 전문가들은 다크웹 사이트와 이용자들이 계속 늘어나는 만큼 정부와 기업의 지속적인 감시와 대응이 필요하다는 지적이다.


ㅣ 덴 매거진 2025년 4월호
글 최연진(한국일보 IT 전문기자)
에디터 김보미 (jany6993@mcircle.biz)