기업 정보 유출은 물론, 불법 음란물, 마약 거래까지 이뤄지고 있어
기업 및 유관기관의 협력, 다크웹 모니터링 솔루션 등 도입 필요성 커져

[보안뉴스 이상우 기자] 제14회 국제 시큐리티 콘퍼런스 ISEC 2020이 서울 코엑스에서 열렸다. ISEC 2020은 과기정통부, 행안부 등 유관기관이 공동 후원하고, 한국인터넷진흥원, 더비엔, 세계 최대 규모 보안전문가 단체 (ISC)2 등이 주관하는 국내 최고 권위의 보안 콘퍼런스다. 10월 29일부터 30일까지 열린 이번 행사는 ‘Post-Pandemic Security’를 주제로 비대면 업무 환경 일상화 등 뉴 노멀 시대에 따른 보안 패러다임 변화와 최신 동향을 공유하고, 실질적인 보안 전략을 제시하는 자리가 됐다.


30일 열린 ISEC 2020 이슈분석에서는 최근 사이버 범죄의 온상인 다크웹에 대해 소개하고, 다크웹을 기반으로 이뤄지는 각종 범죄 동향과 대응 방안에 대해 논의했다. S2W LAB 곽경주 이사는 다크웹에서 일어나는 범죄와 기업 정보유출에 대해 소개했다. 곽경주 이사는 “해커는 다크웹을 통해 기업의 취약점이나 인증정보 등을 구매하고, 기업을 공격한 뒤 탈취한 정보를 다시 다크웹에 판매한다. 현재 다크웹에서 거래되고 있는 계정 수는 확인된 것만 약 147억 개로, 실제 유출된 계정은 더 많을 것으로 예상한다”고 말했다.

다크웹은 우리가 일반적으로 사용하는 웹(표면 웹 혹은 서피스 웹)과 달리, 접근 권한이나 특정 소프트웨어를 이용해 접속할 수 있는 웹 공간이다. 익명성을 보장할 수 있어 표현의 자유가 있지만, 익명성을 악용해 각종 범죄에 쓰이는 경우도 있다. 해커가 탈취한 사용자 계정 정보를 거래하기도 하고, 랜섬웨어를 사고 팔기도 한다. 뿐만 아니라 마약거래, 성착취물 유통 등 유해하고 불법적인 일 역시 일어나고 있다.


2020년 10월 28일을 기준으로 랜섬웨어에 공격당한 기업은 공식적으로 951곳이며, 다크웹을 중심으로 활동하는 메이즈 랜섬웨어의 경우 국내 대기업 정보를 해킹해 유포하겠다고 협박하기도 했다. 특히, 이러한 사이버 범죄 조직이 서로 연합해 공격 방식, 인프라 취약점 등을 공유하는 등 거대한 공격조직으로 성장하는 추세다.

곽경주 이사는 “다크웹에서는 금융기관, 정부기관 등에서 유출한 다양한 정보가 거래되고 있다. 실제로 유출된 국내 정보를 보면 금융회사에서 보험가입증서나 자동차보험증권 등이 유출되기도 했고, 재직증명서, 운전면허증 등 제출한 서류가 유출되기도 했다. 이러한 유출은 기업에서 직접 유출되는 것보다는, 협력사를 통해 유출되는 경우가 많다”고 덧붙였다.

또, “국내 많은 기업이 보안에 대해 경각심이 높지만, 최근 해킹포럼에 한국 관련 데이터 판매글 역시 자주 올라오고 있는 상황인 만큼 주의가 필요하다. 또한, 내부 자료 유출은 협력사 등 다양한 경로로 유출될 수 있는 만큼, 기업 내부 보안인력만으로는 감당하기 어렵다. 이 때문에 외부 전문 기업이나 기관 등과 협력하고, 네트워크에 대한 가시성을 높이는 등 능동적인 대처가 필요하다”고 말했다.

NSHC 최상명 수석 연구원은 다크웹 범죄 현황과 대응 방안에 대해 공유했다. 최상명 연구원은 “과거 랜섬웨어 공격은 단순히 금전을 요구하는 정도였지만, 최근에는 공격 후 유출한 정보를 다크웹에 공개하는 사례도 생겨나고 있다. 가장 규모가 큰 조직인 메이즈 랜섬웨어는 직접 보도자료까지 만들어 배포하고 있는 상황”이라고 말했다.


또, “이렇게 유출한 자료를 다크웹에서 경매에 부치고 계속해서 수익을 창출하기도 한다. NSHC에서 다크웹 추적 인텔리전스 플랫폼으로 파악한 결과 현재 약 18개의 기업 정보 유출 조직이 835개 기업 및 기관을 공격한 것으로 나타났다. 주로 공격받는 지역은 미국이나 캐나다가 많으며, 산업 분야의 경우 제조업, 소매업, 물류, 금융 등으로 나타났다”고 덧붙였다.

그는 이러한 다크웹 동향에 대해 기존과는 다른 방식으로 대응해야 한다고 설명했다. 기존에는 해커에게 공격당하지 않는 방안을 고민했지만, 제로데이 공격 등 해커의 침입 경로는 다양하기 때문이다. 최상명 연구원은 “다크웹에 내부 자료가 유출되더라도 내용을 알 수 없도록 DRM을 통한 암호화를 도입해야 한다. 뿐만 아니라 다크웹에 기업 정보가 유출될 경우 이를 빠르게 파악하고 추가적인 피해를 막을 수 있도록 모니터링 솔루션을 개발 혹은 도입해야 한다”고 말했다.

KISA 이동근 단장은 다크웹 대응에 있어 유관기관과 기업의 협력이 중요하다고 강조했다. 그는 “다크웹은 오늘날 보안담당자의 새로운 고민거리가 되고 있다. 과거에는 다크웹에서 일어나는 정보유출을 탐지하는데 초점을 맞춰왔다면, 지금은 프로파일링 및 특정 범죄자 추적 기술로 이를 발전시킬 필요가 있다”고 말했다.


하지만 다크웹에 대한 연구나 모니터링에 대한 우려의 목소리도 있다. 최근 미국 법무부는 다크웹에서 정보 수집에 대한 법적 고려사항이 필요하다고 발표한 바 있다. 실제로 다크웹에는 사이버 범죄뿐만 아니라 각종 유해한 콘텐츠와 마약 등의 유해물이 유통되고 있기 때문에 모니터링 목적으로 접근하더라도 불법성이 발생할 수 있기 때문이다.

이동근 단장은 “중요한 점은 유기적인 협력이다. 보안 기업은 범죄 정보를 획득하면 피해가 확산되지 않도록 수사기관과 공조하고, 연구기관은 다크웹 대응 기술을 개발, 보안 담당자는 보안에 대한 투자를 확대해야 한다”고 강조했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>