대다수 보안 책임자는 다크웹의 존재를 알고는 있으나, 불법 거래에만 활용되는 인터넷의 음지로만 여기는 경우가 많다. 그러나 이런 생각은 사실과 다르다.

랜섬웨어 공격과 자격 증명 유출을 주도하는 사이버 범죄 집단은 주로 다크웹에서 활동하며, 다크웹 사이트는 보안 전문가에게 중요한 맥락을 제공한다. 또한 다크웹은 침해가 발생했는지, 혹은 곧 타깃이 될지를 조기에 알려주는 신호를 제공할 수 있다.

여러 보안 전문가와의 대화를 통해 다크웹 활동을 모니터링하는 방법, 관찰해야 할 요소, 발견한 정보를 실제 방어 조치로 전환하는 방안을 확인했다.

다크웹 모니터링이 필요한 이유

다크웹에서의 정보는 실시간 조기 경보 시스템 역할을 할 수 있다. 기업이 이미 침해됐거나 곧 타깃이 될 수 있다는 첫 신호를 제공하기 때문이다.

사이버 보안 업체 나이트윙(Nightwing)의 사이버 사건 대응 관리자 닉 캐럴은 “다크웹에서 데이터를 발견했다는 것은 침해가 있었지만 탐지되지 않았다는 뜻일 수도 있다. 그러므로 즉각 대응이 필요하다”라고 설명했다. 이어 “데이터의 진위를 확인하고, 노출 범위를 평가해야 한다. 만약 유출이 현재 진행 중인 침해에서 비롯됐다면 즉각적인 차단이 중요하다”라고 조언했다. 또 증거 보존, 법적 요구사항에 따른 피해자 통보, 잠재적인 금전 갈취 시도에 대비해야 한다고 덧붙였다.

캐럴은 “다크웹은 빠르게 변한다”라며 지속적인 모니터링의 필요성을 강조했다. 모니터링은 과거 침해 탐지뿐 아니라 현재 진행 중인 공격 징후를 파악하는 데도 중요하다. 캐럴은 “나이트윙에서는 랜섬웨어 그룹의 운영과 유출 피해자 데이터 게시를 정기적으로 추적한다. 이런 방식으로 위협 헌터는 공격자의 타깃 산업을 식별하고, 조직의 방어 우선순위를 설정할 수 있다”라고 말했다.

침해 공격 시뮬레이션 업체 피쿠스 시큐리티의 보안 연구 엔지니어 실라 오제렌은 “도난 로그, 브랜드 언급, RDP나 VPN 접근 권한을 파는 초기 침투 브로커를 주시하라”라고 조언했다. 오제렌에따르면 이러한 신호는 랜섬웨어 배포 훨씬 이전에 나타나며, 실제로 자신이 표적임을 알아차리고 공격을 차단한 사례가 있다.

오제렌은 또 최고정보보호책임자에게 “이러한 정보를 사건 대응 매뉴얼에 반영하고, 실제 공격 행위를 가정한 시뮬레이션을 통해 방어 체계가 얼마나 잘 버티는지 검증하라”라고 권고했다.

다크웹 모니터링은 기업을 직접 언급하지 않더라도 전략적 인텔리전스를 제공할 수 있다. 예를 들어, 특정 산업이나 지역을 노리는 공격 그룹을 파악하면 보안팀이 자원을 더 효율적으로 배분할 수 있다.

기술 자문 업체 ISG의 수석 컨설턴트 제임스 우드는 “활동 중인 그룹을 알면 패치와 탐지 활동의 우선순위를 정하는 데 도움이 된다”라고 설명했다. 또 “위협 인텔리전스 피드에 가입하고, 산업별 정보 공유 및 분석 센터(ISAC)에 참여해 랜섬웨어 동향과 관련 침해 지표를 선제적으로 확보해야 한다”라고 덧붙였다.

사이버프루프의 CEO 토니 벨레카도 ISAC과 컴퓨터 비상대응팀(CERT)의 중요성을 강조했다. 산업별 랜섬웨어 사고 현황과 경고를 정기적으로 공개하는 곳이기 때문이다.

벨레카는 또 “해당 산업에서 일반적으로 사용하는 소프트웨어의 신규 취약점을 추적해야 한다”라고 조언했다. 취약점이 실제 랜섬웨어 공격에 어떻게 악용되는지를 특정 산업군별로 매핑하는 위협 인텔리전스 피드도 활용해야 한다.

산업별 타깃팅은 랜섬웨어 그룹의 모집 패턴에서도 드러난다. SaaS 게이미피케이션 마케팅 플랫폼 업체 윈데이(Winday.co)의 공동 창업자 알렉산드르 아다멘코는 “서비스형 소프트웨어나 ‘고객관계관리’ 파트너를 찾는다는 모집 광고가 나온다면 해당 산업이 직접 타깃이 되고 있다는 신호”라고 지적했다. 최고정보보호책임자가 다크웹 활동과 기업 위협을 연결하는 데 유용한 지표다.

사이버 회복력 플랫폼 할시온(Halcyon)의 최고정보보호책임자 스테이시 캐머런은 “다크웹 모니터링은 즉각적인 위협이 없더라도 공격자 운영 방식을 이해하는 데 도움을 준다”라고 말했다. 또한, “패치되지 않은 취약점이나 제로데이 취약점 논의, 특정 운영체제·VPN·원격접근 도구와 연계된 위협, 클라우드 및 서비스형 소프트웨어 플랫폼 계정 정보 유출 거래”를 대표적 사례로 꼽았다.

다크웹을 모니터링하는 방법

이 모든 정보에 접근하는 일은 말처럼 쉽지 않다. 많은 이들에게는 진입 장벽처럼 느껴질 수도 있다. 가장 기본적으로는 무료 도구를 통해 제한적 가시성을 확보할 수 있다.

시스딕의 사이버보안 전략가 크리스털 모린은 “이메일 주소가 알려진 침해에 연루됐는지 확인할 수 있는 신뢰할 만한 무료 서비스”라며 Have I Been Pwned’를 소개했다. 이어 “기업 도메인과 연계된 모든 이메일 주소를 감시하는 유료 서비스도 제공한다”라고 덧붙였다.

그러나 고급 기능은 다크웹 깊은 영역에 지속적으로 접근해야 한다. 모린은 “다크웹을 효과적으로 모니터링하려면, 여러 포럼과 텔레그램 채널, 유출 덤프 사이트 등을 추적해야 한다. 일부는 가입 심사가 필요하거나, 특정 언어에 능통해야 접근할 수 있다. 그래서 많은 기업이 플래시포인트(Flashpoint)나 레코디드 퓨처(Recorded Future) 같은 위협 인텔리전스 플랫폼에 의존한다”라고 말했다.

ISG의 우드는 이러한 플랫폼이 “지하 포럼, 마켓플레이스, 유출 덤프를 지속적으로 스캔해, 기업 데이터가 등장하면 경고한다”라고 설명했다.

상용 솔루션 중에는 스파이클라우드(SpyCloud)와 다크아울(DarkOwl)이 자주 언급된다. 윈데이의 아다멘코는 “스파이클라우드는 자동화된 유출·자격 증명 보호 솔루션으로, 다크웹과 포럼, 덤프, 비공개 데이터베이스를 자동 감시해 유출된 자격 증명, 쿠키, 세션, 토큰을 탐지한다”라고 소개했다. 기존 보안관제센터(SOC)와 통합해, 기업 계정이 블랙마켓에 노출되면 실시간으로 경고를 제공하기 때문이다.

반면, 다크아울은 분석과 전략적 인사이트에 더 중점을 둔다. 아다멘코는 “구글처럼 작동하는 다크웹 검색 엔진을 보유하고 있으며, 유출 유형·위치·발생 시점 등 조건으로 필터링된 맥락 기반 질의를 할 수 있다”라고 말했다. 아다멘코에 따르면, 스파이클라우드가 계정 보호, 피싱 방지, 파트너 검증에 적합하다면, 다크아울은 컴플라이언스 팀, 위협 인텔리전스 애널리스트 등 조기 경보 체계를 구축하려는 이들에게 더 알맞다.

아다멘코는 “어떤 플랫폼을 사용하든 전문성이 핵심이다. 내부에 숙련된 보안 애널리스트가 없다면, 통합 단계에서 외부 전문가를 반드시 참여시켜야 한다. 그렇지 않으면 경고만 쌓이고, 이를 해석하거나 대응하지 못할 위험이 크다”라고 덧붙였다.

심층 분석이 필요하다면, CSO의 팀 페릴이 작성한 “다크웹 모니터링 도구 12가지”를 참고할 수 있다.

더욱 적극적인 위협 탐지를 원하는 기업은 허니팟이나 카나리아 토큰 같은 기만 기술을 활용할 수 있다.

IEEE(Institute of Electrical and Electronics Engineers)의 시니어 멤버 샤일라 라나는 유출 데이터베이스에 등장하면 경고가 울리도록, 허니팟 이메일 주소나 허위 직원 자격 증명을 설정하라고 조언했다. 또 다른 방법으로는 접근 시 신호를 보내는 추적 기능이 포함된, 실제처럼 보이지만 가짜 문서인 ‘카나리아 토큰’을 만드는 것이 있다. 이런 미끼는 내부자 위협을 감지하거나 손상된 내부 자산이 온라인에서 유통되는 것을 포착하는 데 특히 유용하다.

윈데이의 알렉산드르 아다멘코도 허니팟 활용을 지지하지만, 잘못 구현할 경우 오히려 위험이 커질 수 있다고 경고했다. 허니팟은 매우 효과적인 도구이지만 설정 오류가 생기면 득보다 실이 많기 때문이다. 경험 있는 보안팀이 없는 기업이라면 이미 입증된 설정과 대응 논리를 갖춘 전문 외부 업체에 맡기는 것이 더 나을 수도 있다.

반면 보안 운영이 성숙한 기업은 더 나아갈 수 있다. 아다멘코는 “이미 내부에 데브섹옵스 팀이나 자체 보안관제센터(SOC)가 있다면, 허니팟을 독립적으로 구현하는 것이 가능하고 바람직하다”라고 설명했다. 적절히 보안 정보 이벤트 관리(SIEM)나 확장 탐지 대응(XDR) 도구와 통합하면, 허니팟은 표적화된 활동을 조기에 탐지하는 지표 역할을 할 수 있다.

보안팀은 검증된 다크웹 애널리스트 커뮤니티에 참여해 가시성을 높일 수도 있다. 아다멘코는 “비공개 텔레그램 채널과 피드에서, 위협·해킹·브랜드나 인프라 언급이 공공 소스로 나오기 전에 먼저 확인된다”라고 말했다.

기업이 어떤 수준으로 다크웹에 관여하든, 강력한 운영 보안 관행을 반드시 지켜야 한다. 크롤의 사이버 위협 인텔리전스 부문 부이사 에드 커리는 신뢰할 수 있는 토르 브라우저, 가상사설망(VPN), 전용 기기를 사용하고, 신원 노출 위험이 있는 스크립트는 비활성화하라고 권고했다. 커리는 다크웹 접근은 합법이고, 보안 전문가에게는 필수적인 도구이기도 하지만 공포에 기반한 대응이 아니라, 위협 인텔리전스를 기반으로 한 전략적 접근이 필요하다고 강조했다.

다크웹에서 주목할 요소

다크웹 모니터링 도구가 가동되고 있다고 가정해보자. 보안팀은 무엇을 주시해야 할까? 첫 단계는 다크웹판 ‘구글링’을 하는 것이다.

사이버프루프의 토니 벨레카는 “현대적인 다크웹 모니터링 플랫폼은 포럼, 마켓플레이스, 페이스트 사이트를 지속적으로 스캔하며 기업 맞춤형 정보를 찾는다”라고 말했다. 이 도구는 기업 도메인, 경영진 이메일, 최고경영자 이름이나 사회보장번호 일부 등의 맞춤 검색어를 탐지할 수 있다. 벨레카는 “사소해 보여도 이런 정보가 다른 손상된 데이터와 결합되면 치명적인 사회공학적·금융 공격으로 악용될 수 있다”라고 경고했다.

우리 기업 데이터가 다크웹에 올라와 있을까? 다크웹 유출 여부를 확인하는 방법과 유출된 경우 취해야 할 조치를 짚어본다.

Sıla Özeren / Picus Security

기업을 둘러싼 위협 전반을 식별하려면, 다크웹에서 초기 접근 브로커(IAB)가 무엇을 판매하는지 주의 깊게 살펴야 한다. 나이트윙의 닉 캐럴은 고객의 위험 프로필과 일치하는 항목이 있는지 확인하기 위해 IAB(Initial Access Broker) 게시물을 정기적으로 모니터링한다고 설명했다. 애널리스트는 VPN과 RDP 접근 권한, 관리자 자격 증명, 특정 기업 인프라의 취약점 등이 포함된 IAB 게시물을 상시 추적한다.

윈데이의 아다멘코는 “기업 접근 권한을 판매하는 마켓플레이스와 포럼을 모니터링하라. 도메인, IP 주소, 일반 사용자명 등이 ‘RDP 접근’, ‘VPN 판매’ 섹션에 언급되는지 확인하라. 브로커는 자신이 어떤 기업의 초기 접근 권한을 보유하고 있는지 명확히 밝히는 경우가 많다”라며 실질적인 조언도 덧붙였다.

다크웹을 효과적으로 모니터링하려면 자사뿐 아니라 외부 요소까지 살펴야 한다. 디지털 포렌식 업체 사이버 닥터(The Cyber Doctor)의 창립자 스티븐 보이스는 서드파티 위험은 점점 더 커지는 문제라고 강조했다. 또한 “다크웹 행위자는 더 작은 공급업체, 관리형 서비스 제공업체, 서비스형 소프트웨어 업체, 심지어 로펌까지도 노린다. 이들은 모두 귀사의 시스템이나 데이터에 접근할 수 있다”라고 지적했다. 따라서 “기업 이름뿐만 아니라, 주요 업체와 기술 스택도 모니터링해야 하며, 특히 통합 인증(SSO) 제공업체, 고객관계관리(CRM) 시스템, 클라우드 인프라처럼 권한 접근을 가진 대상을 주시하라”라고 권했다.

보이스는 파트너급의 접근 권한이 판매되고 있다면, 측면 이동(lateral movement)을 통해 기업을 공격하려는 전조일 수 있다며 “이 위협을 조기에 식별하면 업체와 연락해 노출을 평가하고, 핵심 시스템을 격리해 공격자가 옆문으로 침투하기 전에 방어할 수 있다”라고 조언했다.

다크웹 인텔리전스를 실천으로 전환하기

다크웹에서 수집한 인텔리전스는 활용 방법을 알고 있을 때만 가치가 있다. 효과적인 보안 프로그램은 다크웹 모니터링을 별도의 활동으로 두지 않고, 탐지·대응 워크플로에 직접 통합한다.

클라우드 보안 기업 미티가의 최고운영책임자 아리엘 파르네스는 “기업은 다크웹에서 찾은 정보를 내부 모니터링에 반드시 통합해야 한다”라고 강조했다. 파르네스에 따르면, 인증 로그, 신원 변경, 아마존웹서비스, 애저, 옥타(Okta), 마이크로소프트 365 같은 플랫폼 전반에서 나타나는 이상 행위와 자동으로 교차 검증해야 한다.

도난된 세션 토큰이나 노출된 관리자 자격 증명 같은 의심스러운 징후가 발견되면 즉각 조치해야 한다. 파르네스는 “즉시 조사 워크플로를 발동하고, 접근 권한을 취소하거나 다중 인증(MFA)을 다시 등록하며, 영향을 받은 서비스를 격리해야 한다”라고 말했다.

ISG의 제임스 우드도 외부 인텔리전스를 내부 프로세스와 연계하라고 강조했다. 그는 “사건 대응 매뉴얼을 마련해, 다크웹에서 데이터가 판매되거나 금전 갈취에 활용될 경우 즉시 대응할 수 있도록 준비해야 한다”라고 조언했다.

이 준비에는 징후를 정확히 파악하는 것도 포함된다. 앞서 언급했듯 초기 접근 브로커(IAB)는 특정 기업을 노리고 VPN과 RDP 접근 권한을 판매하는 경우가 많다. 기업이 IAB의 표적이 된 사실을 알게 되면, 바로 이런 유형의 공격에 대비해야 한다.

우드는 “비정상적인 원격 접근 시도가 늘어나거나, VPN·RDP 사용량이 급증하거나, 자격 증명이 여러 시스템에서 재사용되는 패턴은 결코 우연이 아니다”라며 “개별 해커가 아니라 사이버 범죄 공급망의 행태를 보여주는 서명”이라고 설명했다.

외부 신호(다크웹 게시물, 공격자 대화, 자격 증명 유출)를 내부 환경의 실시간 텔레메트리와 연계하면, 보안팀은 공격 발생 시점뿐 아니라 공격이 기획되는 단계에서도 탐지할 수 있다. 결국 다크웹 모니터링은 그저 그림자 속을 관찰하는 활동이 아니다. 내부 경계를 비추는 빛이 되어, 있어서는 안 될 징후를 조기에 식별하는 역할을 한다.
dl-itworldkorea@foundryco.com