[인터뷰] “딥페이크 범죄는 빙산의 일각…아동 포르노, 인신매매 영상도 속출”

서상덕 S2W 대표가 전하는 다크웹 내 사이버 범죄 실태
“다크웹 상 범죄 중 50%가 ‘성범죄’…텔레그램과 치밀하게 교류”
다크웹 전용 GPT ‘다크버트’ 개발…함정수사 등 민관 협력도 절실

(시사저널=강윤서 기자)

S2W (에스투더블유) 서상덕 대표가 9월5일 오전 경기도 판교 사무실에서 시사저널과 인터뷰를 하고 있다. ⓒ시사저널 박은숙

딥페이크 성범죄 실태가 뒤늦게 밝혀지면서 각종 불법 유통의 온상으로 지목된 다크웹에 대한 관심도 뜨거워졌다. 다크웹은 네이버, 구글 등 일반적인 검색 엔진으로는 접근할 수 없기에 그야말로 범죄의 소굴로 꼽힌다. 여기에 누구나 쉽게 이용할 수 있는 텔레그램이 더해지면서 '익명 범죄자들'의 범행이 성행하는 모습이다. 흔히 알려진 성착취물과 마약 외에도 정부 기관 해킹, 군사 기밀 및 방산 데이터 유출, 살인 청부 등 다크웹에서 발생한 범죄 영역에는 한계가 없다.

문제는 다크웹 이용자 수가 급속도로 늘면서 잠재적 범죄에 대한 공포도 커지고 있다는 점이다. 박충권 국민의힘 의원이 한국인터넷진흥원(KISA)으로부터 제출받은 자료에 따르면, 올 7월까지 다크웹 접속 대표 프로그램인 '토르'의 일평균 국내 이용자는 무려 4만3757명에 달했다. 지난해 국내 일평균 이용자 수(1만8801명) 대비 2배 이상 늘어난 것이다. 

시사저널은 지난 9월5일 AI 및 보안 전문 데이터 인텔리전스 기업 S2W의 서상덕 대표를 만나 이같은 사이버 위협 채널 내 범죄 실태를 살펴봤다. S2W는 인터폴(국제형사경찰기구) 등 국제 수사기관에 이어 경찰청, KISA, 금융보안원 등 한국 공공기관과 협업 중인 다크웹 전문 기업으로, 총 690만개의 다크웹 사이트를 모니터링 하고 있다. S2W에 따르면 전 세계 다크웹 사용자는 일평균 약 227만 명(2023년)이며, 하루에도 수십만 건에 달하는 사이버 위협이 발생하고 있다. 이에 서 대표는 국내 법과 제도적 공백을 지적했다. 다음은 서 대표와의 일문일답.

토르를 이용한 다크웹 접속 이용자 일평균 수 ⓒ연합뉴스

S2W에 대한 소개를 부탁드린다.

"S2W는 KAIST 정보보호대학원 연구소에서 다크웹에 대한 수집과 분석을 시작으로 2018년에 설립됐다. 당시 다크웹은 잘 알려지지 않은 영역이었다. 그러나 그곳에서 발생한 해커들의 활동 지표 등이 상당히 유용하면서도 곧 (사회·기술적) 문제가 될 것이라고 생각했다. 따라서 다크웹에서 발생하는 활동을 대량 수집하고 분석할 필요가 있다고 판단해 S2W를 설립했다. 이때 대량 수집·분석이라 함은, 본인의 존재나 활동 내역을 최대한 숨기려고 하는 익명의 사용자가 여러 (다크웹) 레이어에 남긴 단편적인 데이터 흔적을 교차 분석해 연결고리를 찾아내는 식이다. 연결고리를 조합해 발생 가능한 문제를 찾고, 이를 해결하는 사이버 보안에 주력하고 있다".

다크웹의 생태계가 어떤지 궁금하다.

"다크웹은 기술적으로는 인터넷에 기생하는 '익명화된 네트워크'라고 해석할 수 있다. 즉 기존 인터넷 망을 사용하는 건 똑같지만, (다크웹) 사용자들끼리 인터넷 상에 또 다른 레이어를 만들어서 외부에선 (해당 레이어가) 보이지 않는 형태로 인터넷 망을 이용하는 구조다. 이는 개인정보 보호 차원에서 일회성 루프나 암호화를 통해 접속 기록 등 '내 흔적'을 네트워크에 남기지 않고 정보만 교환하려는 목적으로 생겨났다. 그러나 워낙 악용되는 사례가 많아지면서 '인터넷의 어두운 부분'이라는 의미로 다크웹이라는 별칭이 붙었다. 그 안에서 벌어진 활동은 사실상 통제가 잘 안되고, 다크웹 이용자들은 전 세계적으로 계속 우상향하는 추세다".

다크웹에서 발생하는 사이버 범죄 실태를 파악한 구체적인 사례가 있다면.

"S2W가 자체적으로 파악했을 때 다크웹의 전체 콘텐츠의 주요 유형 중 음란물이 차지하는 비중은 무려 50~60%에 달한다. 나머지 40%는 개인·기업 정보 유출, 해킹, 암호 화폐 관련 범죄다. 특히 다크웹에선 최근 논란이 된 딥페이크 음란물보다는 아동 포르노(Child Porn·CP) 등 극단적인 성착취물을 거래하는 성범죄가 성행하고 있다. 또 인신 매매, 사람 고문처럼 스너프 필름(실제 살해, 모살 등의 장면을 보여주는 영상물을 통틀어 일컫는 말) 등 심각한 수위의 범죄 영상물이 유통되는 경우가 많다. 실제 인터폴이 CP사이트의 주요 운영자로 한국인을 구속한 사례가 있다". 

8월26일 오전 서울 서초구 서울중앙지검에서 열린 다크웹 대규모 온라인 마약 유통 적발 관련 브리핑에 대마 등 증거물품들이 전시돼 있다. 검찰은 회원 수가 4000명에 이르는 국내 마약류 쇼핑 사이트를 적발해 판매상과 공급책 등을 재판에 넘겼다고 밝혔다. ⓒ연합뉴스

'새로운 다크웹' 텔레그램도 심각한 범죄 유통망으로 꼽히는데.

"최근 텔레그램이 '주머니 속 다크웹'으로 불리고 있다. 다크웹은 브라우저로 접속하고, 세계 여러 곳을 경유해 만나는 구조라서 속도 자체가 매우 느리고 주로 PC 기반으로 이용된다. 반면 텔레그램은 SNS 통신망이라서 속도도 굉장히 빠르고 모바일 기반으로 많이 쓰인다. 이런 점에서 범죄자들이 다크웹에서 텔레그램으로 넘어가거나 양측 채널에서 상호 교류하는 경우가 매우 많아졌다. 가령 마약 범죄의 경우 국제적으로 마약을 거래하는 큰 손들은 여전히 다크웹에 남아 있지만, 국내에서 거래하는 마약 채널은 주로 텔레그램으로 옮겨갔다. 특히 10~20대 젊은 층에겐 텔레그램이 실시간 소통에 훨씬 유리하기 때문에 마약 판매자들 사이에서 다크웹과 상호 보완적으로 악용되고 있다".

이에 대응하기 위해 S2W가 개발한 다크웹 전용 AI 언어모델인 '다크버트(DarkBERT)'에 대한 설명 부탁드린다.

"S2W에선 다크웹 상 유해 콘텐츠를 빠르게 파악하기 위해 다크버트를 개발했다. 이 기술은 다크웹에 대한 데이터를 기반으로 만들어진 챗GPT라고 이해하면 쉽다. 지난해 6월 (세계 자연어처리 학술대회에서) '다크버트: 인터넷의 어두운 단면을 위한 언어 모델'이라는 논문을 발표한 뒤 학계에선 '다크GPT'로 부르고 있다. 챗GPT는 인터넷에서 본인이 학습한 데이터를 기반으로 정보를 알려주지만, 다크웹에 대한 지식은 인터넷에 노출돼 있지 않아 관련 질문엔 대답할 수 없다. 반면 다크버트는 다크웹에 있는 콘텐츠만 학습한 AI로, 다크웹에서 사용되는 은어들을 인식해낸다".

다크웹에서 사용된 은어에 대한 예시가 있다면. 또 다크버트의 학습 수준은 어느정도인가.

"가령 '테슬라', '도요타'는 다크웹에서 마약을 뜻하는 은어지만 챗GPT는 이를 '자동차'로 인식해 답한다. 반면 다크버트는 다크웹상 범죄자들의 콘텐츠를 학습했기에 이를 마약으로 대답할 수 있다. 다크버트는 현재 세계 3대 인공지능학회라고 불리는 곳에서 관련 논문이 통과된 상태로, 저희가 확보한 데이터셋이 가장 많으며 기술적으로도 가장 앞서고 있다고 본다. 다크웹에 대한 (다크버트의) 학습이 마무리되면 텔레그램 내 콘텐츠에 대해서도 재학습을 시키거나 튜닝해 활용할 수 있다".

S2W가 개발한 다크웹 전용 생성형 AI 언어모델 '다크버트(DarkBERT)' 개발 과정 ⓒS2W 홈페이지

범죄의 온상이 된 다크웹과 텔레그램을 기술적으로 추적할 방법이 있나.

"저희가 접근하는 방식은 굉장히 많은 데이터를 시계열적으로 계속 축적해 결국 (익명의 사용자가) 남긴 흔적을 찾는 것이다. 특히 범죄자들은 한 건의 범죄만 저지르는 게 아니고, 조직화돼 있고, (범행을) 효과적으로 벌이기 위해 인터넷 상에서 여러 활용을 하면서 흔적들이 남는다. 그 연결고리를 쫓다보면 범인을 특정할 수 있을 만큼 수사 범위를 좁힐 수 있다. 더 효과적인 방법은 함정 수사나 불법 사이트 운영자에게 악성 코드를 보내는 방식 등으로 범죄자를 특정해낼 수 있다. 다만, 이런 기술력이 있어도 실행할 수 있는 법적 근거가 없다. 따라서 민관 합동 수사 체계를 마련해 기술적 협업을 늘리고, 수사기관의 대응력을 높일 필요가 있다".

다크웹에 대한 국내 대응의 한계점은 무엇인가.

"대응력은 사실상 매우 약한 수준이다. 물론 한국뿐만 아니라 세계적으로 그렇다. 공격자들은 공격 도구나 경로가 다양해진 반면, 대응하는 쪽에선 기술·행정·관할 등 모든 차원에서 한계가 있기 때문이다. 특히 범죄는 사이버에서 발생하지만 법이나 규제는 오프라인 기준으로 적용된다. 예를 들어 수색 영장이 있어야 범죄자 집을 수색할 수 있듯이, 범죄가 의심되는 서버에 특정 조치를 내리려면 영장이 필요하고 관련 절차가 매우 복잡하다. 국내외적으로도 사이버 공간에 대한 관할이 명확하지 않아 수사가 지연되기도 한다. 결국 사이버 수사에 대한 체계가 개선되지 않으면 비효율적인 대응이 지속될 수밖에 없다".

사이버 보안과 관련해 향후 목표가 있다면.

"다크버트 등 관련 엔진들을 통해 본격적으로 더 고도화된 AI 솔루션을 내놓을 계획이다. 최근 해외 기관에 자체 기술을 수출한 실적도 있는 만큼, 사이버 보안에 AI 데이터를 연동하는 분야에선 세계적으로 선두에 서는 게 회사의 목표다. 또한 사이버 상 방대한 데이터를 효과적으로 분류하고, 각 기관에 필요한 정보만 정제해 사이버 위협에 대응할 수 있는 체계를 만들고자 한다. 특히 과거에는 사이버 보안 위주로 데이터를 수집·분석하는 일에 주력해왔다면 올 상반기부터 국내 기업들에 맞춤형 AI 솔루션을 제공하고 있다. 각 기업 및 산업 데이터에 특화된 생성형 AI를 제공해 회사별 니즈를 충족시키는 기술을 접목하는 중이다".