어둠의 인터넷 다크웹, 미국서 최다 접속…한국은? > IT/과학기사 | it/science

S2W는 지난달 초 발간된 다크웹 트렌드 보고서를 통해 지난해 기준으로 일평균 다크웹 접속자 수가 227만명으로 역대 최고 수준을 기록했다고 밝혔다. 한국의 일평균 다크웹 접속자 수는 1만9000명으로 전 세계에서 26번째로 다크웹을 많이 이용하는 나라로 꼽혔다. 사진은 S2W 다크웹 트렌드 보고서 캡처

정보보안 전문기업 S2W가 지난달 초 발간한 2023년 다크웹 트렌드 보고서에 따르면 지난해 일평균 다크웹 접속자 수는 약 227만명으로 2019년190만명 대비 19.47% 늘어 역대 최대 수준을 기록했다. 미국약 65만명이 다크웹을 가장 많이 이용하는 나라로 꼽혔고 핀란드약 11만명 인도약 9만8000여명 러시아약 8만4000여명 인도네시아약 7만6000명 등이 다크웹을 많이 이용하는 5개국으로 꼽힌다. 한국에서 하루에 접속하는 이들의 수도 1만8000~1만9000명으로 전 세계에서 26번째로 다크웹 이용자가 많은 나라로 분류됐다.

다크웹에서는 각종 주제·분야의 데이터들이 공유되거나 거래되는데 데이터 공급자와 수요자들이 만나는 공간들은 포럼 또는 해킹포럼이라는 게시판 형태로 만들어져 있다. 이곳에서는 정부기관이나 군, 교육기관 관련 자료가 23.7%로 가장 많았고 금융17.2% 유통15.2% 물류·항공5.7% 엔터·미디어·게임5.6% 텔레콤5.6% 등 산업 관련 데이터들도 많았던 것으로 파악됐다. 해킹을 통해 파일이나 시스템에 암호를 걸어 마비시킨 후 몸값을 요구하는 락빗Lockbit 등 랜섬웨어 조직들이 이곳에 게시판을 만들어 데이터 흥정을 하곤 한다.

S2W는 "딥·다크웹 해킹 포럼 내에서 대한민국 관련 유출 사고는 전년 대비 전반적으로 감소한 모습을 보였다"며 "다만 일부 산업에서 민감한 데이터가 유출되는 사고가 발생했다"고 설명했다. 지난해 한국에서는 ICT 업종 관련 데이터 유출이 34%로 가장 많았고 바이오·의료12.8% 정부·군·교육기관10.6% 등 정보가 주로 유출됐던 것으로 조사됐다. 경찰청 내부 데이터나 병원 환자 정보, 병원 내부 네트워크 접근 권한 관련 정보들이 다크웹에서 주로 유통됐다.

다크웹에서 북한을 언급한 내용도 많았다. 대부분 김정은 국무위원장 등 지도부를 조롱하는 내용이 많았지만 북한 선박 식별 정보나 북한의 인터넷 선동매체인 우리민족끼리 계정정보, 북한 정부부처 기관 접근 가능 계정 정보 등이 유출되는 정황도 확인됐다고 S2W는 밝혔다. 북한인 스파이들의 명단을 공개하거나 공유한다는 해커들도 있다. 지난해 재미동포전국연합회 재일본조선인총련합회 등에 가입한 회원들의 이메일 주소와 비밀번호, 자기소개서 등 데이터가 해킹 포럼에 유출된 것이 대표적이다. 북한 인터넷 포털 광명망 내부 네트워크 접근 권한을 문의하는 게시물이 올라온 적도 있다고 S2W는 전했다.

"다크웹 모니터링, 조기 사후 대응 위해서라도 필수"

지난해 12월 하순 미국 FBI연방수사국 등의 수사로 악명높은 랜섬웨어 조직 블랙캣이 일망타진됐다. 당시 FBI는 블랙캣 수사를 위해 스파이를 내부에 침투시켰던 것으로 알려졌다. / 사진제공=SK쉴더스

다크웹 사이트는 길어야 2, 3개월 정도 개설됐다가 사라지는 게 대부분이라고 알려졌다. 불법적 정보들이 많이 오가다보니 수사당국에 의해 단속되거나 폐쇄되는 일이 많기 때문이다. 실제 악명을 떨쳤던 랜섬웨어 조직 블랙캣BlackCat, 또는 알프파이브·ALPHV이 미국 FBI연방수사국에 의해 지난해 말 일망타진됐다는 소식이 알려지기도 했다. FBI는 블랙캣 조직을 붕괴시키기 위해 조직 내부에 스파이를 심는 방식까지 동원한 것으로 알려졌다.

그럼에도 독버섯처럼 불법적 목적의 정보 교류를 도모하는 사이트들은 계속 생겨난다. 정민수 SK쉴더스 EQST 수석은 "각국 수사당국의 적극적 규제로 사이트들이 폐쇄되는 경우도 있지만 곧바로 다른 사이트가 생겨나 유사한 정보를 제공한다"며 "딥웹에 개설된 해킹 포럼 등 사이트들도 갑자기 사라졌다가 비슷한 주소로 다시 개설돼 운용되는 경우가 허다하다"고 했다.

다크웹이라는 공간은 TI위협정보 분석 등을 전문으로 하는 기업에게 새로운 사업 기회를 열어주기도 한다. 정 수석은 "랜섬웨어 조직이 다크웹을 데이터 거래·공표 플랫폼으로 삼으면서 다크웹을 모니터링하는 것도 새롭게 개화하는 시장으로 떠올랐다"며 "민감 정보를 다루는 기업일수록 다크웹에 자사의 정보가 돌아다니는지 예의주시할 필요가 있다"고 했다. 국내에서는 안랩, S2W, 쿤텍 등의 기업들이 TIP위협정보 플랫폼 CTI사이버위협정보 등 각종 솔루션을 통해 다크웹에서의 정보 유통 현황이나 기업·기관 계정 데이터의 노출 현황 등을 모니터링해 고객들에게 제공하는 서비스를 운영한다.

또 다른 보안업계 전문가는 "다크웹이나 딥웹에 있는 정보들을 정기적으로 또는 수시로 크롤링Crawling, 데이터 대량수집해서 위협정보를 제공하는 솔루션을 만드는 기업들이 이미 왕성하게 활동하고 있다"며 "국내 보안업체들도 관련 솔루션을 제공하는 기업들이 있다"고 했다. 또 "사이버 공격으로 피해를 입었을 때 가장 중요한 것은 가급적 조기에 피해 사실을 파악하고 추가 피해를 방지하는 것"이라며 "이같은 이유로 이미 많은 기관·기업 등이 TI 전문기업의 다크웹 모니터링 서비스를 이용하고 있다"고 설명했다.

황국상 기자 gshwang@mt.co.kr

ⓒ 머니투데이 amp; mt.co.kr, 무단 전재 및 재배포 금지