보안이 취약한 익명의 온라인 공간 '다크웹'에서 기업과 개인이 범죄에 노출되고 있다. 특히 추적이 어려운 비트코인 등 가상자산이 등장하면서 마약부터 기업 내부 정보 거래까지 이뤄지는 암시장이 활발하게 형성되면서, 다크웹에서 유출되는 정보에 대한 보안 중요성이 커지고 있다. 기업과 정부 기관 등이 범죄 예방 및 보안 시스템 구축을 위해 다크웹 모니터링을 확대하면서 보안기업도 관련 시장에 주목하고 있다.
다크웹은 일반 웹브라우저가 아닌 특수한 프로그램으로만 접속할 수 있는 온라인 공간이다. 모든 접속 과정은 데이터 암호화와 함께 이뤄져 인터넷주소(IP)를 추적할 수 없으며 익명성이 보장된다. 이 때문에 초기엔 국가기관 검열을 피해 자유롭게 의견을 개진하고 기밀을 폭로하는 공간으로 사용됐다. 그러나 가상자산이 등장한 이후 다크웹 내 기축 통화로 자리 잡으면서 개인정보·마약·성착취물·위조증명서·살인청부의뢰부터 기업의 기밀정보까지 가상자산으로 거래하는 암시장이 생성됐다.
다크웹 전용 브라우저인 토르 분석 업체 토르메트릭스에 따르면 전 세계 다크웹 이용자수는 2012년 62만2000명에 불과했으나 비트코인 등 가상자산이 활발하게 사용되면서 2013년 200만2000명까지 대폭 증가한 후 현재까지도 꾸준히 하루 평균 접속자 수 200만명대를 유지하고 있다.
1일 보안업계에 따르면 다크웹의 느슨한 보안을 악용한 범죄가 증가하고 있다. 서울경찰청 마약범죄수사대는 다크웹과 소셜미디어(SNS)에서 가상자산으로 대마를 유통한 일당 12명과 이들로부터 대마를 구매해 투약한 166명 등 총 178명을 검거했다고 지난 25일 밝혔다. 다크웹과 가상자산의 익명성을 무기로 범죄에 가담하는 이들이 증가하면서 서울경찰청 마약범죄수사대는 2020년 '다크웹·가상자산 전문수사팀'을 신설하는 등 관련 조사를 확대하고 있다. 지난해 아파트 700여곳의 월패드(주택관리용 단말기)가 해킹돼 집 내부를 찍은 영상이 온라인으로 유포된 곳 역시 다크웹이었다.
기업 보안시스템에 침투하는 해커들 역시 다크웹을 범죄 공간으로 활용하고 있다. 지난 3월 삼성전자와 LG전자 등 국내 주요 기업을 해킹했던 해커집단 랩서스 역시 다크웹을 해킹에 적극적으로 활용하고 있다. 한국인터넷진흥원(KISA)은 지난 7월 발표한 '2022년 상반기 사이버위협 동향 보고서'를 통해 "랩서스는 다크웹을 통해 공격 대상 임직원의 정보를 구매하거나 구매한 정보를 이용 공격 대상지에 계정 유출 기능 악성코드를 포함한 피싱메일을 발송한다"라고 밝혔다. 실제 지난 3월 랩서스는 텔레그램을 통해 마이크로소프트, 애플 등 기업망 침입을 도울 내부자를 구인하기도 했다. 전문가들은 랩서스 등 해킹 조직에 대한 대응책으로 자사 정보가 다크웹 등에서 어떻게 유통되는지 모니터링하고 계정 변경 및 시스템 점검을 주기적으로 할 것을 권고하고 있다.
정부 기관과 기업이 사이버공격에 대비하기 위해 다크웹 내 유통되는 정보를 모니터링하기 시작하면서 보안업계도 다크웹에 주목하고 있다. 안랩은 지난달 29일 차세대 위협 인텔리전스 플랫폼 '안랩 TIP'에 딥웹·다크웹 및 언더그라운드 포럼 모니터링(사이버보안 위협요소 수집, 가공) 기능을 도입했다. TIP은 다양한 사이버상 위협 데이터를 수집해 상호 연관 관계를 분석하는 서비스다. 지난해 출시돼 오픈소스 위협 피드, 국내외 협력 기관과 SNS 게시물 등에 있는 정보를 모니터링했으나, 다크웹 내 정보에 대한 고객사 니즈 커지면서 안랩이 최근 다크웹 모니터링 기능을 추가했다.
사이버보안 기업 S2W는 다크웹과 딥웹 내에서 수집한 정보를 분석해 정보를 제공하는 인텔리전스 플랫폼 '퀘이사'를 지난 4월 출시했다. 다크웹 내 임직원 유출 계정 정보, 랜섬웨어 공격 현황, 브랜드 사칭 정보 등에 대한 정보를 제공하겠다는 것이다. 다크웹 내 정보 유통이 활성화되면서 국내외 여러 국가기관과 기업 등의 모니터링 니즈가 급증해 이를 반영했다는 것이 회사 측 설명이다. 지난달 30일에도 크레이그 존스 인터폴 사이버범죄국 총괄 디렉터가 S2W와 다크웹 분석 정보 제공 관련 협력 사항을 논의하는 등 회사는 인터폴과도 다크웹 관련 수사에 협조하고 있다.
해외 기업도 고객사 니즈 커지면서 다크웹 모니터링 사업을 확대하고 있다. 지난 3월 구글이 54억달러(약 7조2327억원)에 인수해 주목받은 사이버보안 기업 맨디언트는 지난 6월 다크웹 모니터링 기능이 포함된 보안 솔루션 '디지털 리스크 프로텍션'을 출시했다. 딥웹, 블로그, 암거래 시장 등 인터넷을 지속적으로 모니터링해 고객사가 자사 브랜드, 고위 임원진, 기술 정보, 제3의 공급자, 파트너사 등에 대한 온라인상 정보를 파악할 수 있도록 돕는다는 것이다. 미국의 사이버보안 기업 레코디드퓨처 역시 '위협 인텔리전스 머신'을 통해 다크웹 등 온라인상 위협 데이터를 수집·처리하고 있다.