‘다크웹(dark web)’이라는 단어를 보면 불법 활동과 사이버 범죄가 횡행하는 인터넷의 음지에서 위협 행위자가 숨어 있는 모습이 떠오른다. 하지만 오늘날 다크웹은 훨씬 더 다양한 방식으로 쓰인다. 그레이햇(gray hat) 해커, 사이버보안 방어자, 데이터 유출 모니터링 서비스, 연구원 등이 각자의 목적을 위해 이 공간을 적극 활용한다.

은밀하게 숨겨진 웹사이트와 사용자의 네트워크는 일반 검색엔진에 색인되지 않고 높은 익명성을 제공한다는 점에서 단순히 위협 행위자뿐 아니라 신원을 감추려는 정치적 반체제 인사에게도 유용할 수 있다.

여기서는 윤리적 해커, 보안 방어자를 비롯해 다양한 현실 세계의 주체가 다크웹을 각자의 방식으로 어떻게 활용하는지 소개한다.

위협 인텔리전스 수집

사이버보안 연구자나 오픈소스 인텔리전스(open-source intelligence, OSINT) 분석가라면 다크웹 피드를 모니터링해 위협 인텔리전스를 얻는 것이 얼마나 중요한 일인지 잘 알고 있다.

해커 포럼이나 토르(Tor) 브라우저로만 접속할 수 있는 특정 어니언(.onion) 사이트를 지속적으로 들여다보면, 위협 행위자의 정체와 변화하는 TTP(tactics, techniques, and procedures)뿐 아니라 그들이 소속된 그룹까지 파악할 수 있다. 특히 후자는 매우 중요하다. 다크웹의 일부 사이버 범죄자는 여러 랜섬웨어 공격 집단이나 데이터 탈취 그룹에 동시에 몸담고 있는 경우가 많기 때문이다. 토르

예를 들어 어떤 위협 그룹은 겉으로는 초기 액세스 브로커(initial access broker, IAB)로만 활동하며, 침해된 기업 네트워크나 자산에 대한 접근 권한을 랜섬웨어 공격 집단이나 데이터 탈취 그룹에 판매한다. IAB는 실제로는 구매자 중 누군가와 직접적으로 연계돼 있을 수도, 혹은 전혀 관련이 없을 수도 있다.

위협 인텔리전스 수집에서 또 하나 중요한 부분은 예정된 공격, 취약점 익스플로잇, 제로데이, 피싱 툴킷, 신종 악성코드 유포 정황을 파악하는 일이다. 예를 들어, 악명 높은 정보 탈취형 악성코드 라쿤 스틸러(Raccoon Stealer) 제작자는 과거 해커 포럼에서 더 은밀해진 변종 출시 소식을 알린 바 있다. 이런 게시글은 위협 행위자나 스크립트 키디(script kiddie, 일명 스키드. 고급 해킹 지식이나 기술은 없지만 인터넷에 떠도는 도구를 가져다 쓰는 초보 해커나 장난성 공격자)를 겨냥한 정보처럼 보이더라도 안티바이러스 소프트웨어 업체는 이런 정보를 활용해 신속히 시그니처 기반 탐지 기능을 제품에 추가할 수 있고, 이를 통해 개인 사용자와 기업 사용자를 보호할 수 있다.

SOC(Security Operations Center) 분석가와 연구원은 신종 악성코드 샘플을 분석해 YARA 룰, 시그마 룰을 작성하고, 이를 통해 기업의 네트워크를 새로운 위협에서 보호할 수 있다. 학계와 업계 연구원은 다크웹을 통해 기존 탐지 기법으로는 식별하기 어려운 차세대 은밀한 익스플로잇과 바이러스의 네트워크 흐름을 어떻게 모니터링할지 인사이트를 얻을 수 있다. 또한 끊임없이 변화하는 다크웹 사이버 범죄 지형을 주시함으로써 보안 업체는 방어 기술과 제품 역량을 강화할 수 있다.

공격 배후 추적

기업이 데이터 유출이나 사이버 사고를 겪었을 때 다크웹은 피해 기업, 법률팀, 협상가 등의 방어 진영에 중요한 도구가 된다.

랜섬웨어 공격 집단 같은 위협 행위자는 기업의 데이터를 암호화하고 탈취한 뒤, 복호화 키를 대가로 금전을 요구한다. 협상에서 우위를 점하거나, 기업이 몸값 지급을 거부할 경우, 이들은 자신의 어니언 유출 사이트에 훔친 데이터를 소량씩 공개하며 압박 수위를 높인다. 이 과정에서 여권 사본, 신분증, 의료 정보, 금융 기록 등 민감한 고객·직원 정보가 순차적으로 외부에 노출된다. 또 다른 위협 행위자는 탈취한 수 기가바이트 규모의 대용량 데이터 덤프를 해커 포럼에서 판매한다. 이런 데이터는 주로 신원 도용범, 피싱 공격자가 악용한다.

다크웹은 피해 규모를 파악하는 핵심 수단이다. 다크웹을 통해 어떤 정보가 공개됐는지, 어느 포럼이나 온라인 그룹에서 유출됐는지, 어떤 위협 행위자나 그룹이 공격했다고 자처하는지, 훔친 자산이 어떻게 유통되고 있는지(판매 혹은 무료 공개)를 모니터링할 수 있다. 특히 어니언 사이트나 텔레그램 그룹은 피해 기업의 방어팀과 위협 행위자 사이의 유일한 접점이자 주요 소통 채널로 활용된다. 2023년 영국 로열메일(Royal Mail) 사이버 공격 당시 유출된 로열메일과 랜섬웨어 그룹 록빗(LockBit)의 협상 채팅 기록이 그 대표적 사례다.

배후 추적은 금전적 이득이나 몸값 요구 같은 명확한 동기가 보이지 않을 때 특히 중요하다 예를 들면 핵티비스트(hacktivist) 그룹은 금전이 아닌 정치·사회적 메시지를 알리기 위해 웹사이트나 정부 시스템을 대상으로 대규모 DDoS 공격을 감행해 사이트를 마비시키려 한다. 일부 자경단 성향의 소프트웨어 개발자는 특정 지역 시스템에만 피해를 주도록 의도적으로 프로그램을 설계해 금전적 이득이 아닌 자신의 주장을 부각하기도 한다.

데이터 유출 및 침해 모니터링

HIBP(HaveIBeenPwned) 같은 데이터 유출 모니터링 서비스는 다크웹과 해커 포럼에 등장하는 유출 데이터 덤프를 지속적으로 추적한다. 사용자는 HIBP 웹사이트에서 이메일 주소만 입력하면 자신의 정보가 데이터 유출에 포함됐는지 무료로 확인할 수 있다. 인텔리전스 X(Intelligence X) 같은 검색 엔진은 연구자나 보안 방어자가 다크웹과 공개된 데이터 유출에서 발견된 암호화폐 지갑 주소, IP, 도메인, 이메일 주소 등 핵심 정보를 조회할 수 있도록 지원한다.

소비자 관점에서는 최근 다크웹 모니터링이 사기 및 신원 도용 모니터링 서비스 형태로 주목받고 있다. 대표적으로 트랜스유니온(TransUnion), 에퀴팩스(Equifax), 익스페리언(Experian) 같은 주요 신용평가사가 이런 서비스를 제공하고 있다.

이들 신용평가사 서비스에 가입할 때 사용자는 본인 확인을 위해 온라인에서 질문에 답한다. 질문은 신용평가사가 보유한 과거 대출·금융 기록을 기반으로 이미 답을 알고 있는 항목이다. 가입이 완료되고 유료 요금제를 등록하면 사용자는 신용카드 번호, 운전면허 정보, 여권·여행 문서, 납세자 식별 번호 등의 민감한 정보를 신용평가사 웹사이트에 등록할 수 있다. 이 정보는 안전하게 저장되며, 이후 주기적으로 다크웹에서 새로 등장하는 유출 데이터(예 : 해킹된 기업의 데이터베이스)와 대조해 노출 여부를 점검한다.

이 서비스의 핵심은 등록된 민감 정보가 다크웹에서 유통되는 불법 유출 데이터와 일치할 경우, 사용자에게 즉시 알림을 보내 신원 도용 위험을 인지할 수 있도록 돕는 것이다. 이를 통해 사용자는 노출 여부를 빠르게 파악하고 대응할 수 있다.

검열 우회 및 내부 고발

다크웹과 토르, 텔레그램, VPN 같은 기술은 인터넷 사용이 제한되거나 강하게 감시받는 국가에서 내부 고발자가 의존하는 수단이 되기도 한다.

정치적 반체제 인사나 시민단체 활동가는 신원이나 위치가 노출되지 않은 채 목소리를 내기 위해 다크웹을 선택하기도 한다. 다크웹을 통해 자신의 메시지를 전파하거나, 기업이나 정부의 불법 행위 증거를 공개할 수 있다. 이런 활동은 법적·윤리적으로 논란의 여지가 있지만, 다크웹과 관련 기술이 가진 복잡한 양면성을 보여주는 것이기도 하다. 결국 다크웹은 본질적으로 “나쁘다”라고만 단정할 수 없는 공간이다.

VPN 같은 기술은 LGBTQ+ 소셜 네트워크 서비스처럼 특정 국가에서 접속이 차단된 앱이나 웹사이트에 접근할 수 있게 해준다. 대표적으로 가디언 같은 언론사는 동일한 콘텐츠를 제공하는 어니언 버전을 운영한다. 본래 뉴스 사이트가 권위주의 정권에 의해 차단되더라도, 토르를 더 높은 익명성을 유지하며 해당 언론사에 접근할 수 있다.

법 집행

범죄자가 다크웹에 숨어들 수 있다면, 수사기관도 마찬가지다. 미국 연방수사국(FBI), 인터폴, 호주 연방경찰 같은 정부 수사기관은 대규모 사이버 범죄 집단을 조직을 검거한 공로로 자주 언급된다. 최근 사례로는 FBI와 여러 국가의 수사기관이 협력해 맬웨어 탐지 회피(Counter Antivirus) 서비스인 AC체크(AVCheck)를 단속한 것과 수백만 개 비밀번호를 탈취한 서비스형 맬웨어(malware-as-a-service, MaaS) 루마 스틸러(Lumma Stealer)를 무력화한 작전이 있다.

연방 수사기관은 불법 도메인 압수, 랜섬웨어 공격 집단 해체를 넘어, 다크웹을 활용해 마약 밀매 조직과 CSAM(Child Sexual Abuse Material) 범죄자까지 추적한다. 최근 사례로는 랩터 작전(Operation RapTor)이 대표적이다. 이 작전에서 미국, 유럽, 남미, 아시아 수사기관들이 공조해 불법 펜타닐·오피오이드 거래에 연루된 다크웹 판매자, 구매자, 관리자 270명을 검거했다.

연구와 저널리즘

겉으로는 잘 드러나지 않지만, 다크웹은 탐사보도 기자에게도 중요한 도구로 쓰인다. 기자에게 다크웹은 대형 사이버 공격 사건에서 여러 관계자의 발언을 교차 검증하고, ‘물밑에서’ 진행되는 상황을 관찰할 수 있는 흥미로운 통로가 된다. 익명성을 보장하는 다크웹의 소통 채널과 유출 사이트는 때로 데이터 침해의 배후를 자처하는 위협 행위자와 기자를 연결하는 창구로도 활용된다.

물론 위협 행위자의 주장을 무작정 믿는 것은 순진한 접근이지만, 그들이 제공하는 공격 관련 정보나 잠재적 증거는 해당 공격 집단과 피해 기업이 내놓는 주장의 신빙성을 점검하는 데 중요한 참고 자료가 될 수 있다.

이는 특히 기업이 명백한 정황에도 불구하고 보안 사고를 주주나 고객에게 은폐하거나 축소하려는 경우 독립 보도의 핵심 수단이 될 수 있다. 때로는 기업이 아예 사이버 사고 자체를 공개하지 않을 때도 있는데, 이런 경우 다크웹과 랜섬웨어 유출 사이트에서 오가는 대화가 핵심 질문을 던질 단서로 작용할 수 있다.
dl-itworldkorea@foundryco.com