조주빈 잡힌 뒤 더 활개친다…교묘해진 악마들의 비밀통로 [밀실]

[블랙 트라이앵글 ②] 

 ‘XXXX(회사) XXX(이름) 좋아하는 사람 없나.’ 지난달 2일 한국어로 된 ‘XXX’ 다크웹 사이트에는 피해 여성의 이름과 직업을 특정한 영상물 홍보글이 올라왔다. “영상을 어디서 구할 수 있냐”는 질문이 담긴 댓글이 연이어 게시됐다. 지난 5월 개설된 이 사이트의 성인 게시판에는 성범죄 피해 영상물 및 마약 판매를 홍보하고 구매 경로를 타진하는 글들로 가득차 있었다. N번방, 박사방, 학교 등을 함께 거론하며 미성년자로 추정되는 피해 여성들의 이름, 주소, 전화번호 등이 공유되고 있었고 텔레그램 등 보안 메신저에 개설된 채팅방으로 들어오라는 안내글들도 많았다. 지난 7월 이 사이트의 게시글은 5건에 불과했지만 지난 10월에는 5023건으로 급증했다. 

다크웹 상에서 가장 활발하게 전개되는 범죄 유형은 ‘디지털성범죄’와 ‘마약범죄’, ‘기업 데이터 및 개인정보 유출 범죄’ 등이다. 다크웹 전문 분석업체 S2W가 올해(1월~10월) 한국어로 된 다크웹 사이트의 게시글 2만7859건 대상 키워드를 분석한 결과, 디지털성범죄 관련 정보는 48.3%, 마약 32.5%, 기업정보 유출 등 기타가 19.2% 순이었다. 

일러스트= 김지윤 기자 kim.jeeyoon@joongang.co.kr

일러스트= 김지윤 기자 kim.jeeyoon@joongang.co.kr

성착취물 피해자 신상정보 붙이고…재유포도 활발  

그래픽=차준홍 기자 cha.junhong@joongang.co.kr

그래픽=차준홍 기자 cha.junhong@joongang.co.kr

 지난해 10월14일 ‘n번방’ 사건의 주범 조주빈에게 징역 42년 형이 확정됐지만 이들이 선보인 블랙 트라이앵글(다크웹·텔레그램·암호화폐)을 활용한 성범죄 영상물 거래는 오히려 확산 일로다. 조주빈 일당은 다크웹을 영상 등의 홍보 채널로, 텔레그램 대화방을 거래의 장으로 활용했고 거래 대금은 비트코인이나 모네로라는 알트코인으로 받았다. 불법 촬영의 피해자 이름·직업·주소 등 신상정보를 함께 공유해 피해를 가중시키는 게 요즘 트렌드다. S2W가 11개의 다크웹 한국어 사이트에 올라온 7만1387개 게시글을 분석한 결과, N번방과 같은 디지털성범죄 피해자의 신상정보가 노출된 게시글 비중은 2020년도 425건(17.0%)에서, 2021년 1261건(50.9%)으로 증가한 것으로 나타났다.  

지난달 14일 다크웹 전문 분석업체 S2W와 한국어로 된 한 다크웹 사이트에 접속했다. 사이트에 디지털성범죄 피해자 신상정보가 거론됐고, 성범죄물을 구하거나 공유한다는 내용의 글이 연이어 올라왔다. 밀실팀

지난달 14일 다크웹 전문 분석업체 S2W와 한국어로 된 한 다크웹 사이트에 접속했다. 사이트에 디지털성범죄 피해자 신상정보가 거론됐고, 성범죄물을 구하거나 공유한다는 내용의 글이 연이어 올라왔다. 밀실팀

디지털성범죄 피해 회복을 돕는 보안업체 라바웨이브 관계자는 “판매자와 다크웹 운영자가 공모해 다크웹에 판매글을 올리고 거래가 완료되면 수수료를 나누거나, 판매자가 사이트를 개설해 구매자를 모으는 방식을 주로 사용한다”면서도 “다크웹에는 FBI 등 수사기관의 함정 수사가 많은 편이라 실제 거래는 다크웹 내부보다 텔레그램 같은 보안메신저를 이용하는 경우가 많다”고 설명했다. 성범죄 영상물 판매자들은 영상 일부에 텔레그램 ID등이 담긴 배너를 삽입해 불법 음란물 사이트와 다크웹 등에 유포한다. 보안 메신저를 통해 성범죄물 구매를 희망하는 사람이 나타나면, 수사기관이 아닌지 ‘확인’을 거친 뒤 판매가 이뤄진다. 아동·청소년 성착취 피해자를 돕는 조진경 십대여성인권센터 대표는 성범죄 영상물이 다크웹 사이트에 유포되면 피해자는 영상이 널리 퍼질 때까지 유포 사실을 모르는 경우가 많다”고 말했다. 

그래픽=김경진 기자 capkim@joongang.co.kr

그래픽=김경진 기자 capkim@joongang.co.kr

마약범죄, 악의 플랫폼 폐쇄·재개하며 추적 피한다    

 마약 유통 범죄자들에게도 블랙 트라이앵글은 필수 도구가 됐다. 2019년 개설돼 1만6000여개의 게시글이 올라왔던 유명 한국어 다크웹 사이트에서 활동하던 마약사범들이 최근 8~9개 사이트로 흩어져 활동하고 있다고 한다. 이들은 경찰이 수사망을 좁혀 오면 언제든 다크웹 사이트와 메신저 대화방을 폐쇄하고 이름 바꿔 다시 개설하는 방식을 반복한다. 한국어로 운영되는 다크웹 사이트 주로 이용하던 마약 사범들이 최근에는 외국어 기반의 글로벌 사이트로 활동 범위를 확대하는 추세라고 한다. 이지원 S2W 부대표는 “텔레그램 마약 채널에서 유행하던 마약 종류가 뒤늦게 다크웹에 등장하기도 한다”며 “텔레그램은 파티용 마약을 구입하고 싶어하는 20~30대가 선호하고, 보안에 민감한 사람들은 다크웹에서 거래하는 경향이 있다”고 설명했다.  


지난해 8월 개설된 마약 판매를 위한 한국어 다크웹 사이트 ‘X코리아’의 하루 이용자수는 대략 2000여명 선(지난달 14일 기준). 게시글 수 4000여건, 답변수는 누적 1만1000여건이었다. 이 사이트에는 “XX 사고 싶다” “무통장은 받지 않고, 암호화폐만 받는다” “엑스터시, XXX(필로폰 은어) 강남 30분 내 드랍(던지기 방식의 수법)” 등 글이 수시로 올라온다. 마약 판매자를 뜻하는 ‘나눔이’와 대마초를 직접 재배하는 ‘농부’라는 은어도 나왔다. 텔레그램 등 보안메신저 ID를 올리며 정보 공유 및 거래 제안, 거래 후기 등도 다크웹에 자주 올라오는 게시글들이다. 거래 시 비트코인이 아닌 다크코인(거래내역 추적을 어렵게 만든 암호화폐)을 이용하라는 광고를 띄우기도 했다.

그래픽=김경진 기자 capkim@joongang.co.kr

그래픽=김경진 기자 capkim@joongang.co.kr

기업 해킹피해도…“대형 보안사고 발화점” 우려

 기업을 해킹해 얻은 각종 개인 정보도 다크웹과 보안 메신저로 이뤄지는 암시장에서 대량 거래되는 아이템이다. 2020년에는 한 랜섬웨어 조직이 국내 유명 기업의 개인정보 200만건을 탈취했다고 주장하며 약 445억원 상당의 비트코인을 요구하는 일이 발생했다. 이에 응하지 않자 해당 조직은 다크웹에 약 10만건의 카드정보를 공개했다. 

최근에는 국군 장병들이 사용하는 ‘나라사랑포털’에서 유출된 아이디, 비밀번호, 웹브라우저 정보, 접속 사이트 스크린샷 등의 정보 1000여건이 다크웹에서 불법 공유되고 있는 것으로 나타났다. 다크웹 상에서 유통된 개인정보는 보이스피싱 등 범죄에 악용되기도 한다. 지난 4월 국정원 발표에 따르면 보이스피싱 범행 대상자 데이터베이스 자료가 건당 5원에서 1만원 사이에 다크웹을 통해 유통되고 있다고 한다. 랜섬웨어로 수집한 개인 정보는 다크웹 암시장에서 각광받는 상품이다. 정보를 탈취한 해커들은 처음엔 정보 유출 피해를 당한 기업이나 정부를 상대로 돈을 요구하고 협상을 벌이기도 하지만 무산되면 유출해버리는 일이 잦다. 

지난 10월 6일에는 러시아 주요 다크웹 사이트 중 한 곳에 한국 홍대에 있는 한 포차의 포스기(결제시스템) 접속 권한을 1200달러에 판매한다는 글이 올라왔다. 해커는 해킹한 포차의 PC 화면을 찍어 올렸는데, 사진에는 카드로 결제할 때 뜨는 테이블별 손님수와 가격이 적혀 있었다. 최상명 NSHC 수석연구원은 “식당 포스기의 접속 권한을 판매하는 해커의 소행”이라며 “이를 구매한 또다른 해커들이 여기에 추가 악성코드를 심어 카드 결제 시 카드 정보를 빼내서 복제 카드를 만드는 등의 추가 범죄로 이어질 개연성이 높다”고 우려했다.

관련기사

서상덕 S2W 대표는 “다크웹은 ‘범죄 기법에 관한 지식 공유의 장’ 역할을 하고 있다”며 “기존 보안 시스템을 무너뜨릴 수 있을 만큼 해킹 기법이 발전하고, 공유 속도도 빠르다보니, 대형 사이버 보안 사고로 이어질 수 있는 발화점이 될 가능성이 높다”고 설명했다.