# 10월 3일 더불어민주당홈페이지가 분산서비스거부(디도스·DDos)공격으로 먹통이 됐다. 디도스 공격이 발생하기 며칠 전 다크웹 일본 커뮤니티에서 디도스 공격 관련 글이 발견됐다. 9월 30일부터 '사무라이' 커뮤니티에서는 한국에서 발생하는 보수단체 시위와 맞물려 사이버 공격을 시행하자고 부추겼다. 실제 이달 3일 민주당홈페이지에 장애가 발생했다. 사무라이 커뮤니티는 디도스 공격 성공을 자축했다.
# 20만건이 넘는 한국인 여권 정보가 다크웹에서 발견됐다. 동남아 항공사를 이용한 한국인 개인정보는 여권번호, 여권만료기간까지 포함됐다. 게다가 개인정보 유출여권은 공무원 관용 여권 125건, 외교관 40건 등 종류도 다양했다. 이들 정보를 악용해 보이스피싱 등 2차 공격까지 이어질 수 있어 관련 기관 등에 비상이 걸렸다.
최근 다크웹을 통해 발생하는 사이버범죄가 개인정보유출뿐 아니라 사이버 공격 모의까지 위험수준으로 치닫는다. 국내도 안전지대가 아니다. 다크웹에서 마약거래 사이트를 운영한 범죄자가 구속됐다. 일평균 이용자도 1만명이 넘는다.
과거 일반 사용자와 관계없던 영역으로 치부됐던 다크웹이 암호화폐 활성화를 타고 일상생활과 밀접하게 연계되면서 다크웹 관련 연구뿐 아니라 범죄를 차단할 수 있는 대비책을 마련해야 한다는 목소리가 높다.
◇다크웹이란
다크웹은 우리가 일반적으로 접속하는 포털 등과는 다른 경로를 통해 접속하는 공간이다. 일반적으로 인터넷은 표층웹으로 이뤄진다. 익스플로러, 구글 크롬 등 웹브라우저를 이용해 우리가 원하는 검색 플랫폼에 접속해 웹사이트로 연결된다. 이들 웹사이트는 국가별로 한국은 .kr, 일본 .jp, 미국 .com 등으로 분류된다. 다크웹은 이들 표층웹과 다른 경로로 접속돼 일반인에게 공개되지 않는 웹이다. '딥웹(Deep Web)'은 일반 접속경로와 다른 접속방법을 갖는 특수영역이다. 개인이메일, P2P, 사내 내부망 등 다양하다. 딥웹 내에는 합법적인 정보도 다수 유통된다. 인터넷 검열이 극심한 국가에서는 정부 통제를 피한 정치적 표현 창구로 활용된다.
다크웹은 딥웹 일종으로 토르와 같은 특정 브라우저를 통해 접근 가능하다. 일반적인 검색 플랫폼이 아닌 히든 위키(Hidden Wiki) 등을 통해 다크웹 사이트로 접근 가능하다.
다크웹 사이트 주소는 일반 웹사이트 도메인과 달리 '.onion' 형태를 갖고 있으며, 온라인 상거래에도 암호 화폐를 사용한다.
◇익명성 앞세운 '범죄자 천국'...국내도 안전지대 아냐
특히 다크웹은 과거 일부범죄자, 해커 등만 이용하는 공간으로 치부됐으나 최근 하루 평균 다크웹 접속자만 세계적으로 300만명(토르 기준)을 넘어섰다. 비트코인 등 암호화폐가 거래수단으로 안정적으로 자리잡으며 사용자가 폭발적으로 늘어났다. 이곳에서 발생하는 범죄 대부분은 마약이 주를 이루고 있으며 이외 해킹툴, 사기, 음란물 등이 뒤를 잇는다.
2018년 유엔마약범죄사무소(UNODC)가 발간한 '세계 마약 보고서'에 따르면 주요 다크웹 마켓플레이스에서 수집된 범죄 행위 62%가 마약과 관련 상품이었다. 이외 총기 및 무기, 사기, 위조, 해킹, 악성코드 등도 주요 거래 도구로 나타났다.
우리나라도 마찬가지다. 토르 브라우저를 통해 다크웹을 접속 통계를 제공하는 '토르메트릭스'에 따르면 2019년 1월초 1만명을 하회하던 접속비율은 올해 7월을 기점으로 2만명에 육박하는 인원으로 급증했다. 최근 접속자는 소폭 하락세를 보였지만 여전히 일평균 1만3000여명 접속률을 나타냈다.
실제 다크웹에서 활동하는 음란물과 마약 유통 범죄자가 검거되기도 했다. 지난해 5월 처음 다크웹에서 아동음란물을 유통하던 범죄자가 경찰에 적발됐다. 범죄자는 다크웹에서 아동음란물을 제공하는 사이트를 운영했다. 이용자에게는 비트코인을 받아 챙겼다. 경찰에 따르면 해당 사이트에서 아동음란물을 올리거나 다운받은 이용자만 156명이었다.
또 다른 범죄자는 지난해 3월부터 11월까지 다크웹에서 마약전문 판매사이트를 개설해 판매상등과 공모 18차례가량 마약류를 판매했다. 지난해 12월 이 같은 협의로 구속기소됐고 최근 항소심재판에서 징역 8년 중형을 선고받았다. 다크웹에서 발생하는 세계 범죄흐름과 크게 다르지 않았다.
업계관계자는 “국내서도 다크웹에서 마약류를 암호화폐로 결제한 뒤 클럽 등에서 만나 현물을 받는 형태로 암암리에 많은 거래가 일어난다”면서 “다크웹 내 운영자 등은 추적 가능하지만 실제 이를 구입한 사람, 이용자 등은 잡아낼 수 없는 것이 현실”이라고 설명했다.
◇검찰, 경찰 다크웹 추적 시작...기술·조사 연구는 아직
다크웹 범죄가 지속 확대 움직임을 보이고 있으나 대응과 연구가 부족하다. 게다가 해외 선진국이 국가 기밀 등을 이유로 다크웹 추적 정보를 공유하지 않아 단기간 수사능력을 키우는 것도 어렵다.
국내 수사기관은 이제 막 관련 사실에 대해 위험성을 인지하고 대응을 시작했다. 검찰은 지난해 7월 서울 동부지검에 사이버수사부를 신설했고 올해 9월 서울중앙지검에도 다크웹전문 수사팀을 편제했다.
경찰청은 사이버안전국과 각 지방청 사이버 안전과에서 다크웹 관련 범죄를 수사한다. 최근 '다크넷 내 불법정보 수집 추적 시스템' 도입을 진행한다. 추적시스템은 다크넷에서 생성되는 불법정보를 자동으로 추출한 뒤 경찰 내부망과 연동해 추적하는 방식이다. 마약, 해킹 등 범죄 관련 키워드를 수집 분석해 운영자 신원확보 등을 수사에 활용한다는 계획이다.
업계 관계자는 “경찰과 검찰도 최근 발생한 강력 범죄가 다크넷과 연계 돼 있다는 점을 인지하고 관련 수사 인력을 확보하고 시스템을 도입 시작했다”면서 “다만 아직까지 이들 역량을 해외와 비교해 걸음마 단계로 많은 역량 보강이 필요한 것이 현실”이라고 지적했다.
수사기관 외 민간 연구, 조사 등은 여전히 부족하다. 한국인터넷진흥원(KISA), 과학기술정보통신부 등은 관련 기술 수요에 대응하는 수준이다. 별도 조사를 진행하는 등 활동은 따로 하지 않고 있다.
KISA 관계자는 “다크웹은 익명성을 기반으로 접속자조차 추적이 어려우며 기술 수준도 매우 높다”면서 “경찰, 검찰 등 주요 수사기관에서 기술개발이 필요한 분야에 대해 연구개발(R&D) 등을 실시하는 정도”라고 덧붙였다.
정영일기자 jung01@etnews.com