다크웹이란?
다크넷(DarkNet)이라고도 알려진 다크웹(DarkWeb)은 IP 주소가 의도적으로 숨겨진 웹사이트들로 구성된 공간이다. 다크웹의 콘텐츠는 공용 인터넷을 사용하는 암호화된 오버레이 네트워크를 통해 접속할 수 있으며, 이러한 네트워크에 접근하려면 특별한 소프트웨어가 필요하다.
다크웹은 범죄자나 블랙마켓의 구매자뿐 아니라, 법 집행 기관과 언론인들도 사용하므로 긍정적 측면과 부정적 측면이 모두 존재한다. 긍정적인 측면에서 다크웹은 정부 기관이 기밀 정보를 공유할 수 있게 한다.
부정적인 측면에서는 다크웹이 불법 상품과 서비스를 거래하는 시장이 되었으며, 사용자는 공공 인터넷처럼 제품과 서비스에 대해 리뷰도 남길 수 있다.
다크웹은 기존 검색 엔진이 크롤링하지 않는 웹 콘텐츠를 설명하는 데 사용되는 용어인 ‘딥웹(DeepWeb)’의 하위 집합이다. 반면, 검색 엔진에서 색인되고 접근 가능한 웹 콘텐츠는 ‘클리어웹(ClearWeb)’ 콘텐츠라고 한다.
다크웹은 불법 상품과 서비스의 거래 장소로 악명 높다. 이는 숨겨져 있으며 비밀스럽고, 대체로 매우 불쾌감을 준다.
다크웹이란 무엇일까? 지금부터 그 실체와 특징에 대해 자세히 알아보자.
인터넷 vs. 웹
일상 대화에서 우리는 “인터넷”과 “웹”을 혼용하여 사용하곤 한다. 누군가에게 “인터넷에 접속해” 또는 “웹에 접속해”라고 말할 때, 우리는 같은 의미로 사용하며 이는 브라우저를 켜는 것으로 시작된다. 하지만 실제로는 인터넷과 웹은 완전히 다른 개념이다.
인터넷은 컴퓨터들의 상호 연결된 네트워크로, 다양한 서비스를 지원한다. 그중 하나가 월드 와이드 웹(WWW), 즉 “웹”이다. 웹사이트를 상점, 공장, 영화관, 도서관과 같은 건물로 생각한다면, 인터넷은 이들을 연결하는 도로와 고속도로다.
인터넷은 네트워크 트래픽이 웹사이트에 도달할 수 있도록 하는 인프라로, 도로가 사람들이 쇼핑몰로 이동할 수 있게 해주는 인프라인 것과 비슷하다.
인터넷은 웹 외에도 이메일, 원격 데스크톱 프로토콜(Remote Desktop Protocol), 도메인 이름 시스템(Domain Name System), 네트워크 뉴스 전송 프로토콜(Network News Transfer Protocol)과 같은 서비스를 지원한다. 이러한 서비스는 모두 인터넷을 통해 제공되며, 웹사이트는 아니다. 이들은 인터넷 인프라를 사용하지만 웹 페이지를 제공하지는 않는다.
클리어웹 vs. 딥웹, 다크웹
우리가 알고 있는 웹, 즉 구글(Google), 빙(Bing), 야후(Yahoo) 등 검색 엔진에서 색인된 웹사이트들은 약 550억 개의 웹 페이지로 구성된다. 이를 클리어웹이라고 한다.
이는 놀라울 정도로 많은 숫자이지만, 검색 엔진에서 색인화되지 않아 공개적으로 볼 수 없는 자료는 인터넷에 훨씬 더 많이 존재한다. 예를 들어, 지메일(Gmail), 구글 드라이브(Google Drive), 마이크로소프트 오피스 365(Microsoft Office 365), 원드라이브(OneDrive), 아마존 웹 서비스(Amazon Web Services), 마이크로소프트 애저(Microsoft Azure) 플랫폼의 백엔드 데이터 저장소는 인터넷에 연결되어 있지만 일반 대중이 접근할 수 없다.
승인 받은 특정 데이터 소유자와 사용자만이 이러한 데이터에 접근할 수 있다.
정부, 군대, NASA, 그리고 많은 기업들은 권한 있는 사용자만이 인터넷을 통해 접근할 수 있는 비공개 데이터를 보유하고 있다. 이 데이터는 나머지 사회 구성원에게는 숨겨져 있다. 이러한 유형의 비공개이지만 인터넷에 연결된 데이터는 딥웹이라고 불리는 곳에 저장된다. 딥웹은 클리어웹보다 400~550배 더 큰 것으로 추정된다.
다크웹은 딥웹의 일부다. 다크웹은 그 안에 위치한 웹사이트와 해당 사이트 사용자들에게 익명성을 제공한다. 다크웹은 합법적이거나 불법적인 다양한 목적으로 사용되며, 오버레이 네트워크의 집합 위에 구축된다.
오버레이 네트워크
인터넷에 연결된 컴퓨터들이 여기저기 흩어져 있다고 상상해보자. 이 컴퓨터들은 일반적인 네트워크 프로토콜을 사용하지 않기 때문에 표준 네트워크 프로토콜로는 접근할 수 없다. 대신, 그들만의 고유한 암호화된 프로토콜을 사용한다. 다른 컴퓨터들이 그 프로토콜을 이해하지 못하기 때문에, 일반적인 인터넷 라우팅과 데이터 전송 서비스로는 이들의 트래픽을 처리할 수 없다. 그래서 이 특별한 프로토콜을 사용하는 컴퓨터들의 소유자는 그들의 트래픽을 이해하고 처리할 수 있는 전용 라우팅 노드를 운영할 지원자가 필요하다. 이 노드들이 컴퓨터들 간에 트래픽을 주고받는 수단을 제공한다.
이를 오버레이 네트워크라고 하며, 인터넷 인프라를 사용하지만, 인터넷을 사용하는 다른 모든 것과는 완전히 분리되어 있다. 즉, 눈에 보이지 않는다.
다크웹은 여러 개의 오버레이 네트워크로 이루어져 있다. 각각은 독립된 다크웹처럼 작동하며, 토르(Tor, The Onion Router), I2P(Invisible Internet Project), 테일즈(Tails) 운영체제와 같은 특정 소프트웨어 도구를 사용해 접근할 수 있다. 토르 오버레이 네트워크의 웹사이트에는 “.onion”이라는 접미사가 붙고, I2P 오버레이 네트워크의 웹사이트에는 “.i2p”라는 접미사가 붙으며 “이프(eep)”라고 발음된다. 이러한 웹사이트는 구글에 표시되지 않으며, 일반 인터넷 브라우저로는 볼 수 없다. 오직 다크웹 브라우저로만 접근할 수 있다.
토르 오버레이 네트워크는 아마 가장 큰 다크웹 네트워크일 것이다. 토르는 원래 미국 해군 연구소의 수학자와 컴퓨터 과학자들이 안전한 익명 네트워크 통신을 제공하기 위해 개발했다.
토르는 ‘어니언 라우팅(onion routing)’이라는 기술을 사용하여 자발적으로 운영되는 약 7,000개의 토르 노드를 통해 암호화된 트래픽을 전송하여 매우 안전한 익명성을 제공한다.
사람들이 다크웹을 이용하는 이유
다크웹이 범죄자들에게 매력적인 장소가 되는 이유는 바로 이러한 익명성 때문이다. 이로 인해 다크웹은 마약 판매, 총기 판매, 불법 포르노, 신용카드 번호 도용, 신원 도용, 사이버 범죄의 대명사가 되었다.
멀웨어, 랜섬웨어, 가상화폐 탈취 소스 코드와 툴킷을 쉽게 구매할 수 있어 사이버 범죄자들이 쉽게 범죄 활동을 시작할 수 있다. 다크웹에는 수천 개의 .onion 및 .i2p 웹사이트가 마켓플레이스 역할을 하고 있으며, 각 웹사이트는 이베이(eBay)의 지옥 버전이라고 할 수 있다.
공급자는 마약, 도난 당한 신용카드 정보, 무기 등 그들이 제공하는 상품에 따라 여러 범주로 나뉜다. 사용자는 원하는 카테고리를 선택하고, 여러 목록을 검색하여 선택할 수 있다.
구매를 하려면 지정된 가상화폐로 결제해야 한다. 마켓플레이스에서 “일반인”을 대상으로 판매하는 경우, 주로 비트코인(BTC)으로 결제하도록 요구한다. 비트코인은 일반인이 가장 쉽게 구할 수 있는 가상화폐이기 때문이다.
범죄자 간의 거래 또는 매우 민감한 자료의 거래는 주로 모네로(Monero)와 같은 다른 가상화폐로 이루어진다. 모네로는 다른 가상화폐로만 구매할 수 있기 때문에 범죄자들이 자신을 숨기기 더욱 좋은 수단이 된다. 이는 그들이 숨을 수 있는 모호성을 한층 더 높여준다.
범죄자들이 운영하는 마켓플레이스이기 때문에, 다크웹에는 사기 거래도 성행한다. 예를 들어, 누군가가 마약을 대량으로 주문했지만 이를 받지 못했을 경우, 소비자 보호 기관에 불만을 제기할 수는 없다.
이를 방지하기 위해 보다 정교한 마켓플레이스는 구매자가 판매자에게 별점을 남기고, 제품의 품질, 배송 속도, 신뢰도에 대한 피드백을 제공할 수 있게 한다. 일부 다크웹 웹사이트는 에스크로(escrow) 시스템을 통해 거래 대금을 보관하고, 구매자가 물건을 받으면 판매자에게 대금을 지급한다.
서비스형 사이버 범죄
다크웹을 통해 서비스형 사이버 범죄(Cybercrime-as-a-Service)를 제공하는 범죄 서비스 제공업체와도 거래할 수 있다. 이 새로운 서비스 산업은 모든 규모의 비즈니스에 걸쳐 위협 환경을 극적으로 변화시킨 주요 교란 요인 중 하나다.
다크웹 마켓플레이스에는 대가를 받고 랜섬웨어, 가상화폐 탈취 공격, 디도스(DDoS, Distributed Denial-of-Service) 공격을 대신 수행해주는 범죄자들로 가득하다.
특히, 랜섬웨어 공격의 경우, 선불로 돈을 요구하지 않는 경우가 많다. 서비스 제공자는 단순히 수익의 일부를 가져갈 뿐이다. 이는 누구나 이러한 파괴적인 공격을 활용할 수 있으며, IT 기술이나 재정적 투자가 전혀 필요하지 않음을 의미한다.
더 정교한 서비스형 사이버 범죄 서비스 제공자는 고객이 로그인할 수 있는 대시보드를 제공하여, 랜섬웨어 캠페인의 진행 상황과 성공률을 모니터링할 수 있게 한다.
다크웹에 접속하는 방법
다크웹에 안전하게 접속하려면, 암호화된 네트워크를 탐색할 수 있는 특정 도구가 필요하다. 우선, 토르 프로젝트 공식 웹사이트에서 토르 브라우저를 다운로드해야 한다. 이 특수 브라우저는 토르 네트워크에 접속할 수 있게 하여 .onion 웹사이트에 접속할 수 있게 해준다.
토르가 설치되면, 브라우저를 열기 전에 VPN(가상 사설망)에 연결해야 한다. VPN은 IP 주소를 숨겨 추가적인 보안과 익명성을 제공한다. 토르 브라우저가 열리면, 접속하려는 웹 사이트의 전체 .onion URL을 입력해 다크웹에 접속할 수 있다. 클리어웹과는 달리, 다크웹 사이트는 검색 엔진에서 색인되지 않으므로 구글이나 빙에서 이러한 주소를 찾을 수 없다. 대신, 다크웹 내의 특정 디렉토리나 포럼을 통해 이러한 사이트를 찾을 수 있다.
다크웹을 탐색할 때는 주의해야 한다. 알 수 없는 파일을 다운로드하거나 광고를 클릭하지 말고, 합법적인 범위 내에서만 활동해야 한다. 다크 웹에는 합법적 활동과 불법적 활동이 혼재되어 있기 때문이다.
다크웹의 합법적 사용
다크웹의 대부분은 눈살을 찌푸리게 할 만한 콘텐츠로 가득하지만, 이 기술이 훌륭하게 활용되는 경우도 있다.
시큐어드롭(SecureDrop)은 미디어 기관들이 익명의 소스로부터 문서를 안전하게 수신할 수 있게 해주는 오픈 소스 고발자 제출 시스템으로, 토르 네트워크에서 실행된다. AP 통신, 워싱턴 포스트, 뉴욕 타임즈, CBC, 프로퍼블리카 등 여러 기관이 이 서비스를 이용하고 있다.
억압적인 정권 하의 언론인들은 토르를 사용해 외부 세계에 사회적 불의와 인권 침해를 알린다.
토르는 법 집행 기관이 흔적을 남기지 않고 의심스러운 웹사이트와 서비스를 방문할 수 있게 해준다. 정부나 법 집행 기관의 IP 주소가 웹사이트 로그에서 발견되면, 해당 사이트가 감시되고 있음이 드러날 수 있기 때문이다.
또한, 토르는 국가 검열을 우회하는 데도 사용된다. 터키에서 ProtonMail(안전하고 암호화된 이메일 서비스)에 대한 접근이 차단되었을 때, 터키 주민들이 이 서비스를 이용할 수 있는 유일한 방법은 ProtonMail의 .onion 사이트를 이용하는 것이었다.