많은 이들에게 환상과 공포를 주는 존재인 다크웹은 현재 어떤 분위기일까? 보안 업계나 방어를 해야 하는 입장에서 알아둘 내용은 무엇일까? 전문가들이 지난 2달 동안 수많은 수의 다크웹 시장을 돌아다니며 조사했다.
[보안뉴스 문정후 기자] IT 기술, 특히 해킹 기술에 어느 정도 소질이 있고, 그래서 사이버 범죄에 관심이 생긴다면, 지금이 진입의 최적기다. 다크웹이 얼마나 활성화가 잘 되어 있는 지 각종 고급 해킹 도구와 무기들, 공격에 필요한 여러 가지 재료들을 저렴하게 구매할 수 있기 때문이다. 3만 3천 개의 다크웹 시장을 분석한 결과, 범죄 시장으로의 진입 장벽이 심각한 수준으로 낮아진 상태라는 게 드러났다.
![[보안뉴스 / 7.27.] 최근 다크웹에서 나타나는 주요 트렌드 4가지](http://www.boannews.com/media/upFiles2/2022/07/275867855_2476.jpg)
[이미지 = utoimage]
다크웹 주요 트렌드 1 : 낮은 장벽
보안 업체 HP울프시큐리티(HP Wolf Security)와 포렌식 업체 포렌식패스웨이즈(Forensic Pathways)가 분석한 바에 의하면 현재 다크웹에서는 수많은 거래가 이뤄지고 있으며, 거래의 절차나 가격이라는 측면에서 초보자도 부담감 없이 접근할 수 있다고 한다. 조사 중에 다크웹에서 거래되는 익스플로잇이 총 174개 발견됐는데, 이 중 91%가 10달러 미만이었으며, 멀웨어 광고 1650건 중 76% 역시 비슷한 가격대를 형성하고 있었다고 한다. 그 외에 훔친 크리덴셜, RDP 크리덴셜 등도 5달러 미만에 거래되는 게 대부분이었다.
물론 상위 해킹 그룹들은 자신들만의 포럼을 개설해 제로데이 익스플로잇 등을 훨씬 높은 가격에 은밀히 거래한다. 하지만 그건 말 그대로 상위 소수의 이야기다. “다크웹 시장 전반적으로는 각종 크리덴셜과 익스플로잇, 해킹 도구들이 저렴하게 거래되고 있는 것이 현 상황입니다. 사이버 범죄를 이제 막 시작하려는 사람들이 금방 일정 수준의 공격을 할 수 있을 정도로 시장이 만들어져 있습니다.” HP의 수석 멀웨어 분석가인 알렉스 홀란드(Alex Holland)의 설명이다. “심지어 무료 도구들도 많아요. 암호화, 패킹 등 각종 회피 기술에 대해 조금만 알고 있어도 무료 도구들을 충분히 활용할 수 있죠.”
두 회사의 보안 전문가들은 두 달 동안 다크웹에 열려 있는 거래 사이트 3만 3천여 개에 접근해 분석했다. 그러면서 해킹 범죄에 필요한 기본적인 지식과 도구들이 보편화 되어 있으며, 이 때문에 항상 새로운 고객들이 넘쳐난다는 것을 알아냈다. “이제 실제로 자기가 직접 코딩을 하고 멀웨어를 만들고 침투를 하는 해커는 거의 없습니다. 돈만 주면 전문적인 서비스를 받을 수 있으니까요. 이제 누구나 마음만 먹으면 중급 이상 수준의 해킹 공격을 할 수 있습니다. 다크웹이 이런 식으로 현재 조성되어 있다는 건 보다 많은 기업들이 공격에 노출된다는 뜻입니다.” HP 보안 고문인 마이클 칼스(Michael Calce)의 설명이다.
이렇게 사이버 공격자들의 수가 많아지기 시작할 때 기업과 기관들은 어떻게 스스로를 보호해야 할까? HP는 “자동화 도구를 최대한 활용해 기본 보안 수칙들이 항상 지켜지도록 해야 한다”고 권고한다. “우리 같은 조직을 누가 공격하겠냐며 많은 기업들이 방어를 제대로 하지 않습니다. 그런데 고급 무기를 든 아마추어 해커들이 많아지면 그런 말이 통하지 않습니다. 특별한 목적이 없이 혹은 자신들이 구입한 무기의 성능을 시험하기 위해 아무나 공격하는 사례가 크게 늘어날 것이기 때문입니다. 항상 최악의 상황을 가정해 방어 체제를 꾸려야 합니다.”
HP의 수석 정보 보안 책임자인 조안나 버키(Joanna Burkey)는 “평상시 보안을 강화할 때 가장 중요한 건 최악의 상황에서도 각자가 무엇을 해야 할지를 알고 일사분란하게 움직이게 하는 것”이라고 강조한다. “최악의 상황이 터졌다고 해봅시다. 예를 들어 누군가 외부에서 뚫고 들어와 기밀을 마구 훔쳐갔어요. 아니면 랜섬웨어에 걸려 시스템들이 작동을 하지 않아요. 그런 급박한 상황에서 모두가 상황 대처를 난생 처음 하게 된다면 어떤 결과가 생길까요? 아무 대처도 되지 않겠죠. 평상시에 보안 사고 상황에서 해야 할 일을 알고 있는 것만이 아니라 몸으로 직접 해보는 경험을 쌓아야 합니다. 즉 대처에 대한 연습과 훈련이 선행되어야 한다는 겁니다.”
다크웹 주요 트렌드 2 : 사이버 범죄의 융합
이번에 발표된 보고서에 따르면 초급 범죄자들에게만 수준 향상이 있었던 것이 아니라, 고급 범죄자들 사이에서도 기술과 실력 향상이 있었던 것으로 보인다고 한다. 꽤나 악명을 높이 떨치고 있고, 각종 해킹 포럼에서 유명세를 탈 정도로 잘 알려진 해킹 단체의 경우 공격의 파괴성을 계속해서 증가시킴으로써 피해자들을 심리적으로 압박하는 데에 능숙해지는 중이다. 그것만이 아니라 APT 단체들의 전략과 기술을 곧잘 흉내 낼 줄도 알게 됐다. APT와 일반 사이버 범죄자들의 접점이 많아지고 있기 때문이다.
최근 사이버 범죄자들이 APT로부터 배워서 습득한 건 ‘리빙 오프 더 랜드(living off the land)’라는 공격 전략이다. 공격자들이 피해자의 네트워크와 시스템에 설치된 각종 정상 도구들(특히 관리자 도구)을 악의적으로 활용해 자신들이 원하는 목적을 달성하는 것을 말한다. 정상적인 도구를 활용하니 보안 탐지 도구에 잘 걸리지 않는다는 장점을 가지고 있는 전략이다. 심지어 사후 분석마저도 쉽지 않고, 따라서 공격자를 추적하는 것도 어려워진다.
APT 공격자들도 사이버 범죄자들과 자발적으로 손을 잡는 경우가 빈번해지고 있다. 후진 양성을 목적으로 기술을 전수하기 위해서가 아니라, APT 공격의 흔적을 감추기 위해서다. 즉 자신들이 해야 할 일을 사이버 범죄 단체에 의뢰함으로써 방어하는 편에서 엉뚱한 세력을 추적하게 하거나 수사 자체에 혼란을 준다는 게 이들의 의중이다. 얼마 전 콘티(Conti)라는 랜섬웨어 갱단의 내부 문건이 노출된 적이 있었는데, 이 중에 “러시아 정부 기관 두 곳에서 특수 작전을 수행해 달라는 의뢰가 왔었다”는 내용의 메모가 발견되기도 했었다.
다크웹 주요 트렌드 3 : 랜섬웨어, 앞으로 영원한 골칫거리로 남을 것
하지만 사이버 범죄 시장에서 가장 눈에 띄는 현상은 여전히 랜섬웨어라고 한다. 많은 사이버 범죄자들이 랜섬웨어에 여전히 깊은 관심을 보이고 있다고 하며, 이미 랜섬웨어로 높은 수익을 거둔 조직들은 피해자에게 더 심한 압박을 가할 방법을 계속해서 연구 중에 있다고 한다. “최근에는 공격의 시기 혹은 협박의 시기에 초점을 맞추는 방법이 논의되는 중입니다. 예를 들어 보안 담당자 휴가 기간을 노린다던가, 피해 조직이 농업과 관련되어 있다면 추수 시기에 공격을 가한다거나, 대학이라면 개학 직후를 노린다든가 하는 식이죠.”
물론 전반기 동안 랜섬웨어 공격의 빈도는 2021년 하반기에 비해 낮아진 게 사실이다. 하지만 HP는 이것이 일시적인 현상일 뿐이라고 보고 있다. “랜섬웨어가 사라질 지도 모른다는 신호는 그 어디에서도 찾을 수가 없습니다. 오히려 더 공격적이고 파괴적으로 진화하고 있죠. 앞으로 랜섬웨어 공격은 보다 더 창의적으로 변할 것입니다. 그것도 거듭해서 말이죠.” 홀란드의 설명이다.
다크웹 주요 트렌드 4 : 뿌리 깊은 윤리 문제
그렇다고 다크웹의 모든 것이 문제 없이 부드럽게 흘러만 가고 있는 건 아니다. 다크웹의 시장에서도 항상 신뢰가 해결하기 힘든 문제로 남아 있다. 양지에서의 기업들이 온라인 사업을 하는 데 있어 사기 및 해킹 범죄자들에 늘 경계를 해야 하는 것처럼, 다크웹의 사업체들도 비슷한 경계심을 가지고 활동하고 있다. 아니, 오히려 마음 편히 사업하는 게 더 힘든 것이 다크웹이다. 서로가 사기꾼들이니 시장에서도 사기 시도가 난무하는 것은 기본이고, 상점 주인들 역시 수시로 문을 닫고 도주한다. 다크웹 웹사이트의 평균 수명은 55일에 불과하다.
이런 문제를 해결하고자 마켓플레이스 운영자들은 여러 가지 전략을 도입하고 있다. 현재는 수천~수만 달러에 달하는 보증금을 내는 것이 일반적이다. 상점 주인이나 거래자들이 사기를 치고 사라질 경우, 이 보증금으로 금전 문제를 해결하려는 것이다. 또한 각 상점들에 대한 이용자들의 평점 매기기 제도도 도입되고 있다. 제3자 보증금 제도 역시 조금씩 발견되는 중이다. 뭔가 양지 비즈니스들의 전철을 밟는 듯한 느낌도 난다.
글 : 로버트 레모스(Robert Lemos), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 7.27.] 최근 다크웹에서 나타나는 주요 트렌드 4가지](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")