마약·성범죄자 몰린 ‘악의 플랫폼’…다크웹·보안메신저·암호화폐 3중 익명화 [밀실]

중앙일보

입력

업데이트

지면보기

종합 06면

#1. 지난 8월 25일 대마 유통ㆍ판매책 12명 등 마약사범 178명 검거. 다크웹에 광고 게시 후 텔레그램ㆍ암호화폐 이용해 거래.
#2. 지난달 22일 40대 A씨 구속. 90여명의 텔레그램ㆍ다크웹을 통해 내려받은 아동ㆍ청소년 성착취물 등 재편집ㆍ유출 혐의.

일러스트= 김지윤 기자 kim.jeeyoon@joongang.co.kr

일러스트= 김지윤 기자 kim.jeeyoon@joongang.co.kr

2009년 비트코인, 2013년 텔레그램 출시와 맞물려 범죄화 

최근 극성을 부리고 있는 마약범죄나 디지털성범죄에선 빠지지 않는 삼박자가 있다. 다크웹ㆍ보안 메신저ㆍ암호화폐. 이른바 ‘블랙 트라이앵글’이다. 3개 요소의 다양한 조합은 인터넷 공간의 편익을 고스란히 이용하면서도 익명성을 극대화해 적발 가능성을 낮추는 ‘악(惡)의 플랫폼’으로 성장해왔다. 그 결과 지금은 대한민국 범죄의 한 축으로 자리 잡았다.

다크웹(Dark web)은 정보가 공개되고 검색이 가능한 표면웹(surface web)과 달리 네이버나 구글 등으로는 찾을 수 없는 딥웹(deep web)의 일종이다. 1990년대 중반 미국 해군 연구소가 개발한 IP 추적 회피 기술을 토대로 2002년 출시된 TOR(The Onion Routerㆍ토르) 등 특수한 브라우저를 통해서만 접속 가능하다. 예를 들어 독일-미국-네덜란드 식으로 우회 경로를 거치게 돼 사이트 운영자와 접속자가 모두 실제 IP주소를 노출하지 않은 채 활동할 수 있다. 다크웹은 2009년 비트코인 등장, 2013년 보안 메신저 텔레그램 출시 등과 맞물리면서 각종 범죄에 활용되고 있다.

관련기사

그래픽=박경민 기자 minn@joongang.co.kr

그래픽=박경민 기자 minn@joongang.co.kr

디지털성범죄〉마약〉기업정보 유출 순 

중앙일보는 전문 분석업체 S2W와 함께 다크웹을 서핑해봤다. 토르 브라우저는 누구나 내려받을 수 있지만, 암거래가 활발한 다크웹 사이트 주소와 현황은 분석업체가 실시간으로 파악하고 있어서다. 현재 널리 사용되는 토르3 버전은 보안성을 강화하기 위해 모든 사이트가 56자리의 주소로 운영되고 있다. S2W가 올해(1~10월) 한국어로 된 다크웹 사이트의 게시글 2만7859건 대상 키워드를 분석한 결과, 디지털성범죄 관련 정보는 48.3%, 마약 32.5%, 기업정보 유출 등 기타가 19.2% 순이었다.

‘XX회사 XXX(이름) 좋아하는 사람 없나.’ 지난달 2일 한국어로 된 ‘△△△’ 다크웹 사이트에는 피해 여성의 이름과 직업을 특정한 영상물 홍보글이 올라왔다. “영상을 어디서 구할 수 있냐”는 질문이 담긴 댓글이 연이어 게시됐다. N번방, 박사방, 학교 등을 함께 거론하며 미성년자로 추정되는 피해 여성들의 이름, 주소, 전화번호 등이 공유되고 있었고 텔레그램 등 보안 메신저에 개설된 채팅방으로 들어오라는 안내글들도 많았다. 지난 7월 이 사이트의 게시글은 5건에 불과했지만 지난 10월에는 5023건으로 급증했다.

성범죄 영상물 판매자들은 영상 일부에 텔레그램 ID등이 담긴 배너를 삽입해 불법 음란물 사이트와 다크웹 등에 유포한다. 이를 본 구매 희망자가 보안 메신저를 통해 연락해오면, 수사기관이 아닌지 ‘확인’을 거친 뒤 판매가 이뤄진다. 디지털성범죄피해 회복을 돕는 보안업체 라바웨이브 관계자는 “다크웹에는 FBI 등 수사기관의 함정 수사가 많은 편이라 실제 거래는 다크웹 내부보다 텔레그램 같은 보안메신저를 이용하는 경우가 많다”고 설명했다.

그래픽=박경민 기자 minn@joongang.co.kr

그래픽=박경민 기자 minn@joongang.co.kr

마약 유통 범죄자들에게도 블랙 트라이앵글은 필수 도구가 됐다. 지난해 8월 개설된 마약 판매를 위한 한국어 다크웹 사이트 ‘X코리아’의 하루 이용자수는 대략 2000여명 선(지난달 14일 기준). 게시글 수 4000여건, 답변수는 누적 1만1000여건이었다. 이 사이트에는 “XX 사고 싶다” “무통장은 받지 않고, 암호화폐만 받는다” “엑스터시, XXX(필로폰 은어) 강남 30분 내 드랍(던지기 방식의 수법)” 등 글이 수시로 올라온다. 거래 시 비트코인이 아닌 다크코인(거래내역 추적을 어렵게 만든 암호화폐)을 이용하라는 광고를 띄우기도 했다.

마약류 범죄는 다크웹 자체에서 거래가 직접 이뤄지기보다 게시판에 각종 불법행위를 홍보한 뒤 보안 메신저인 텔레그램, 위커(Wickr) 등으로 이동한 뒤 암호화폐를 사용해 거래를 하는 방식이 일반적이다.

기업을 해킹해 얻은 각종 개인 정보도 다크웹과 보안 메신저로 이뤄지는 암시장에서 대량 거래되는 아이템이다. 2020년에는 한 랜섬웨어 조직이 국내 유명 기업의 개인정보 200만건을 탈취했다고 주장하며 약 445억원 상당의 비트코인을 요구하는 일이 발생했다. 이에 응하지 않자 해당 조직은 다크웹에 약 10만건의 카드정보를 공개했다.

국제 공조가 관건…텔레그램은 본사·서버 소재지 파악 안 돼

다크웹을 통한 범죄에 대한 수사는 서버 자체를 확보하거나 서버에 저장된 정보나 가상자산을 추적하는 방식으로 나뉜다. 서버 추적과 암호화폐 모두 해당 국가와의 협력이 관건이다. 암호화폐도 국제 공조가 잘 되는 국가의 거래소에서 돈이 출금되면 용의자 식별이 쉽지만 소규모이거나 국제 공조가 안되는 개발도상국의 거래소에서 인출됐다면 수사가 지연되기 쉽다. 다크웹과 함께 익명 범죄 수단으로 널리 악용되는 보안 메신저인 텔레그램의 경우 본사와 서버 소재지가 파악되지 않아 관련 수사에 어려움이 반복되고 있다.

경찰 등에 따르면 다크웹 접속 경로를 역추적해 사용자를 찾아내는 건 사실상 불가능하다. 경찰청은 다크웹에 올라와 있는 정보들이 수사 중인 범죄와 유사성이 있는지 없는지 분석해주는 다크웹불법정보추적시스템을 수사에 활용하고 있다. 경찰 출신인 김기범 성균관대 과학수사과 교수는 “디바이스 분석 위주의 디지털 포렌식 개념을 확장해 다크웹 추적에 도입할 수 있을 것”이라며 “다크웹 전문가를 양성해서 누구나 첩보가 있으면 지원해서 추적할 수 있게 해야 한다”고 말했다.

미국 등에선 다크웹 사이트를 통째로 접수한 뒤 드나드는 이용자를 검거하는 함정수사를 펼치기도 한다. 국내 수사기관 관계자들 사이에선 아동·청소년 대상 디지털 성범죄에 한정된 위장수사 대상과 방식을 넓히는 게 우선이라는 이야기가 나온다.

그래픽=김경진 기자 capkim@joongang.co.kr

그래픽=김경진 기자 capkim@joongang.co.kr

온라인상에서 범죄가 완결될 수 있게 해주는 핵심 매개체인 암호화폐 거래를 추적하는 기술 개발도 시급하다. 다크웹에 있는 데이터를 분석하는 민간 기업을 육성해 수사기관과 협력케 할 필요성도 제기된다. 서상덕 S2W 대표는 “국내 수사기관은 게시물을 보는 정도의 수동적인 방법을 수행하지만 기업들은 가상 자산에 관한 자금 경로를 추적하거나 게시되지 않은 글들을 통계적으로 분석해 얻은 정보를 축적하고 있다”며 “범죄 대응에 있어 기업 역할을 넓혀준다면 국가의 사이버안보 역량 확충에 도움이 될 것”이라고 말했다.

ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
ADVERTISEMENT
Innovation Lab