[블랙 트라이앵글 ①]

#1. 지난 8월 25일 대마 유통·판매책 12명 등 마약사범 178명 검거. 다크웹에 광고 게시 후 텔레그램·암호화폐 이용해 거래.

#2. 지난 10월 4일 텔레그램에서 판매 대화방 개설하고 암호화폐 이용 거래한 마약 혐의자 53명 검거.

#3. 지난달 22일 40대 A씨 구속. 90여명의 텔레그램·다크웹을 통해 내려받은 아동·청소년 성착취물 등 재편집·유출 혐의.

#4. 지난달 23일 '제2 n번방' 사건 주범 '엘'로 지목된 용의자 검거. 미성년자 9명 협박해 만든 성착취물 1200여개 텔레그램에 유포.

최근 극성을 부리고 있는 마약범죄나 디지털성범죄에선 빠지지 않는 삼박자가 있다. 다크웹·보안 메신저·암호화폐. 이른바 ‘블랙 트라이앵글’이다. 3개 요소의 다양한 조합은 인터넷 공간의 편익을 고스란히 이용하면서도 익명성을 극대화에 적발 가능성을 낮추는 ‘악(惡)의 플랫폼’으로 성장해 대한민국 범죄의 한 축으로 자리잡았다. 김용판 국민의힘 의원이 경찰청으로부터 제출받은 자료에 따르면 ‘다크웹·가상자산을 이용한 마약류사범 검거 현황’은 2018년 85명, 2019년 82명, 2020년 748명, 2021년 832명, 2022년 9월 기준 811명으로 집계됐다. 2020년을 기점으로 폭발적으로 증가한 것이다.

블랙 트라이앵글, 악(惡)의 플랫폼으로 정착

다크웹(Dark web)은 정보가 공개되고 검색이 가능한 표면웹(surface web)과 달리 네이버나 구글 등으로는 찾을 수 없는 딥웹(deep web)의 일종이다. 우리가 일반적으로 쓰는 ‘크롬’이나 ‘익스플로러’ 같은 브라우저로는 접근이 불가능하다. 1990년대 중반 미국 해군 연구소가 개발한 IP 추적 회피 기술을 토대로 2002년 출시된 TOR(The Onion Rauter·토르) 등 특수한 브라우저를 통해서만 접속 가능하다. 양파 껍질처럼 겹겹이 3중으로 암호화가 되어 있어 한국에서 접속해도 이를테면 독일-미국-네덜란드 방식으로 우회 경로를 거치게 돼 사이트 운영자와 접속자가 모두 실제 IP주소를 노출하지 않은 채 활동할 수 있다. 고도의 익명성이 보장되는 다크웹은 독재 국가에서 인터넷 검열을 피하려는 반정부 인사들의 활동 공간으로도 주목받았지만 곧 범죄자들의 해방구(解放區)라는 의미가 더 커졌다.

중앙일보는 전문 분석업체 S2W와 함께 다크웹을 서핑해봤다. 세계 각국의 범죄자들이 찾는 주요 다크웹 사이트 중 한 곳인 ‘Rxxxxxx MARKET’에 접속해보니 첫 화면에 “당신의 패스워드 등이 도용될 수 있는 가짜 사이트가 많다”(Our store has a lot of fake sites that steal your passwords and 2FA authorization)는 주의 공지가 떴다. 해당 다크웹 사이트 링크와 비슷한 주소의 다른 가짜 링크를 클릭할 경우 개인 보안 정보를 탈취당할 수 있다는 취지다. 문제의 링크들 예시도 나왔다. 사이트 좌측에는 개인 신용카드 정보와 특정 사이트에 접속할 수 있는 ID, 패스워드 등을 종류별로 판매하는 목록이 나타났다. 한 게시판에 들어가보니 8개 사이트에 접속할 수 있는 아이디와 비밀번호를 10달러에 판매한다는 내용이 있었다. S2W 관계자는 “다크웹 사이트는 사라졌다가 다시 또 생겨나기도 한다. 경찰 수사가 강화될 때는 활동이 잠시 위축되기도 하지만 최근엔 다시 활성화되는 추세”고 말했다.

다크웹 ‘정보’, 텔레그램 ‘거래’, 암호화폐 ‘결제’

2009년 비트코인 등장, 2013년 보안 메신저 텔레그램 출시 등과 맞물리면서 다크웹·암호화폐·텔레그램이라는 ‘블랙 트라이앵글’이 당양한 조합을 이뤄 각종 범죄에 활용되고 있다. ‘악(惡)의 플랫폼’이 구축된 것이다.

2019년 지인의 권유로 대마초를 시작했다가 3년간 마약 투약을 했다는 김성훈(21·가명)씨는 “2020년 5월 해외사이트를 통해 대마초 씨앗을 밀반입해 오피스텔에서 키운 뒤 판매했다”며 “텔레그램 채널을 개설해 운영하면서 다크웹 사이트와 트위터, 구글 등에 마약 판매 광고를 올렸고, 거래 단계에서는 암호화폐를 이용했다”고 설명했다. 다크웹 자체에서 거래가 직접 이뤄지기보다 게시판에 각종 불법행위를 홍보한 뒤 보안 메신저인 텔레그램, 위커(Wickr) 등으로 이동한 뒤 암호화폐를 사용해 거래를 하는 방식이 일반적이다.



아예 다크웹을 사용하지 않고, 보안 메신저와 SNS등에서 판매자와 접촉해 암호화폐로 거래하는 경우도 적지 않다. 2017년부터 5년간 마약 투약 후 재활중인 윤성수(26·가명)씨는 “다크웹은 복잡하고 어려워 판매자나 운영자만 들어가는 것 같다”며 “보안 메신저 채널을 통해 마약을 구입했다. 코인사업자 계좌에 무통장 입금으로 현금을 보내면 ‘대행사’가 자금 세탁을 하고, 판매자에게 (코인을) 보내주는 구조였다”고 설명했다. 20대 초반부터 4년간 마약 투약을 했다고 밝힌 박성규(25·가명)씨는 “포털 사이트에 마약 은어를 검색하면 나오는 텔레그램 아이디로 연락해 딜러와 접촉했다”며 “딜러로부터 마약을 받는 데까지 30분밖에 걸리지 않았다”고 말했다.



디지털성범죄물과 기업·개인정보 거래에도 블랙 트라이앵글의 다양한 조합이 활용되고 있다. 디지털 성범죄 대응 기업 ‘라바웨이브’의 한 관계자는 “접속 기록이 남지 않는 다크웹의 특성과, 수사에 비협조적인 보안 메신저 운영 기업의 태도 등으로 인해 수사기관도 구체적인 디지털 성범죄 규모를 파악하기 어렵다”며 “가해자들은 온라인 그루밍, 몸캠피싱 등의 범죄로 불법 음란물을 손에 넣은 뒤, 불법 음란물 사이트와 다크웹 게시판, 보안 메신저를 이용해 구매자를 모집하고 암호화폐로 거래한다”고 설명했다.



‘암호화폐’는 범죄가 온라인상에서 완결될 수 있게 해주는 핵심 매개체다. 거래 추적 뿐 아니라 소유자의 신원을 특정하기조차 어렵게 만들기 때문이다. 수신인과 송신인 이름을 포함해 거래내역 파악이 어려운 모네로(XMR), 대시(DASH), 제트캐시(ZEC) 등 ‘다크코인’이 주로 쓰인다. 최상명 정보보안업체 엔에스에이치씨(NSHC) 수석연구원은 “최근 암시장 거래자들은 암호화폐 추적을 피하기 위해 보안에 더욱 신경 쓰는 분위기”라며 “암호화폐 대행소를 통해 자금세탁을 하거나 자금 출처를 찾기 어렵도록 믹싱 기법(믹싱 앤드 텀블러·암호화폐를 쪼개고 섞는 행위)을 사용하는 등 수법이 고도화되고 있다”고 설명했다.