2020-05-26 01:30 (화)
최상명 NSHC 선임 “범죄의 온상 ‘다크웹’, 인텔리전스 시스템으로 추적 가능해”
상태바
최상명 NSHC 선임 “범죄의 온상 ‘다크웹’, 인텔리전스 시스템으로 추적 가능해”
  • 길민권 기자
  • 승인 2020.02.11 17:57
이 기사를 공유합니다

“다크웹 분석 데이터만 65억건, 누적 58만건 정보 확보…6천개 IP 실제 위치 확보”
K-CTI 2020. 다크웹 추적 인텔리전스에 대해 강연을 진행하고 있는 최상명 NSHC 선임연구원.
K-CTI 2020. 다크웹 추적 인텔리전스에 대해 강연을 진행하고 있는 최상명 NSHC 선임연구원.

데일리시큐 주최 국내 최대 사이버위협 인텔리전스 컨퍼런스가 지난 5일 한국과학기술회관 대회의실에서 250여 명의 정부·공공·기업·금융 기관 정보보호 실무자들이 대거 참석한 가운데 성황리에 개최됐다.

이 자리에서 NSHC 최상명 선임연구원은 ‘다크웹을 활용한 위협 인텔리전스’를 주제로 강연을 진행해 큰 관심을 끌었다.

최상명 선임은 “다크웹에서는 사이버 해킹 정보 뿐만 아니라 마약, 무기 등 각종 범죄와 연결된 6만여 개 사이트들이 운영되고 있다. 다크웹은 주로 토르, I2P, 프리넷 브라우저를 통해 접속이 가능하며 3천개 이상의 라우터를 활용해 사용자 IP를 세탁하고 있어 범죄자 추적이 어려운 상황”이라며 “현재 국내에서 다크웹 인텔리전스 분야에서 독보적인 경쟁력을 갖고 있는 NSHC는 다크트레이서라는 추적 시스템을 개발해 고객들과 각국의 수사기관에 정보를 제공하고 범죄자 검거에 도움을 주고 있다”고 전했다.

다크웹 사이트 운영 방법
다크웹 사이트의 IP 추적 회피 방법

다크웹의 99%는 토어 네트워크를 사용한다. 범죄자들은 자신의 위치를 숨기기 위해 수천개의 라우터와 릴레이 서버를 사용해 실제 본인의 위치와는 전혀 상관없는 다른 국가 IP가 찍히도록 조작해 추적을 회피하고 있다.

예를 들어 미국이나 한국에 위치한 범죄자가 러시아나 중국 등 다른 나라에서 다크웹 사이트를 운영하는 것처럼 토어 네트워크를 사용해 조작할 수 있는 것이다.

최상명 선임은 “한국에도 30여 개 릴레이 서버가 존재하며 100여 개 다크웹 사이트가 지금도 실제로 운영되고 있다. 그리고 사용자도 계속 증가하고 있는 추세다. 대부분 해킹이나 마약 등 범죄와 관련된 사이트들이다”라고 전했다.

NSHC는 다크웹 추적 인텔리전스 시스템 다크트레이서를 개발해 현재 분석 데이터만 65억건, 누적 58만개 정도의 다크웹 추적 정보를 확보하고 계속 추적 중이다. 이미 다크웹 도메인 중 6천여 개 사이트의 IP를 확인했고 인터폴, FBI, 홍콩, 싱가포르 경찰 등과 협력해 범죄자 검거에 일조하고 있는 기업이다.

최상명 선임 강연 현장.
최상명 선임 강연 현장.

최 선임은 K-CTI 2020 현장에서 NSHC의 다크웹 추적 기술을 일부 소개해 눈길을 끌었다. 구글 애널리틱스를 활용하는 방법, 비트코인 주소를 분석해 추적하는 방법, 쇼단을 활용하는 방법, 범죄자들이 올린 이미지를 활용하는 추적방법 등 일부를 소개했다.

상세한 내용은 데일리시큐 자료실에서 최상명 선임의 K-CTI 2020 발표자료를 참고하면 된다.

그는 “지난해에는 다크웹에서 여권정보 21만건을 발견해 한국을 비롯해 해당 국가 외교부에 통보해 준 사례도 있다. 여권 기간이 만료된 정보들이 아니라 최신 정보들이라 더욱 위험한 상황이었다”며 “그리고 지난해 더불어민주당 홈페이지에 대한 일본 우익의 디도스 공격 정보도 다크웹에서 찾아내 일본 경찰에 알려준 바도 있다”고 전했다.

이어 최 선임은 “다크웹은 APT 사이버공격, 국가대상 사이버 공격, 스카다 공격, 랜섬웨어 공격 등에 필요한 각종 제로데이 사이버 무기도 판매되고 있고 테러와 관련된 무기와 정보들도 판매되고 있는 공간이다. 우리가 상상하는 이상으로 위험한 다크웹에 대해 NSHC는 계속해서 연구하고 있으니 도움이나 협력이 필요한 기관은 언제든 함께할 수 있다”고 전했다.

★정보보안 대표 미디어 데일리시큐!★