아직도 떠도는 n번방 영상…美FBI 이렇게 없앴다, 한국은 언제? [밀실]

[블랙 트라이앵글③]

 
 다크웹 내 최대 한국어 커뮤니티 사이트 ‘XXX’. 이곳에선 이용자들이 여전히 텔레그램 n번방의 영상 링크를 주고받고 피해자에 대한 신상정보를 공유한다. 링크 정보가 깨지면 이내 새로운 주소가 다시 댓글로 달린다. 지난달 “n번방 영상을 아직도 못 받은 사람이 있냐”며 초등학생 피해자 사진을 함께 첨부한 게시글엔 “n번방부터 n번방까지 올려달라”며 댓글이 수십여개 달렸다.  

지난해 10월 n번방 주범 조주빈에게는 징역 42년형, 같은 해 11월 n번방 개설자 ‘갓갓’ 문형욱(27)에게는 징역 34년형이 확정됐다. 그로부터 1년이 지났지만 n번방 피해자 신상과 영상은 다크웹에 여전히 남아있었다. 디지털 성폭력 피해 영상 삭제를 지원하는 김현걸 한국사이버보안협회장은 “웹상에서 업로드된 것이기 때문에 그 파일은 누군가의 PC에 저장돼 있다. 다 압수하지 않는다면 완전히 소멸되진 않는다”며 “잠복기를 가지고 몇 년 뒤에 다시 나올 수도 있다”고 말했다.

일러스트= 김지윤 기자 kim.jeeyoon@joongang.co.kr

일러스트= 김지윤 기자 kim.jeeyoon@joongang.co.kr

 

“포렌식 개념 확장해 다크웹 수사에 도입해야”

 다크웹은 익명 범죄에 대한 공급과 수요가 만나는 시장이다. 특수 브라우저를 통해 접속하면 사용자의 로그인 정보가 암호화돼 최초 발신지를 찾기 어려운 네트워크의 환경 속에서 범죄자들은 활보한다. 다크웹은 보안 메신저, 암호화폐와 만나 홍보→거래→결제가 익명성 속에서 완결되는 악(惡)의 플랫폼으로 진화했다. 다크웹 전문분석업체 S2W의 서상덕 대표는 “다크웹에는 각종 불법 거래가 이뤄지는 글로벌 블랙 마켓이 활성화돼 있는데 접근이 너무 쉬워 문제가 심각하다”며 “반면 다크웹을 추적하고 검거하는 과정의 기술적 난이도는 너무 높아 블랙 마켓의 규모는 수익이 갈수록 커지고 막대한 수익이 재투자로 이어지는 악순환이 반복되고 있다”고 지적했다.

관련기사

다크웹 범죄 추적은 서버 자체를 확보하거나 서버에 저장된 정보를 분석하는 방식으로 나뉜다. 경찰 등에 따르면 다크웹 접속 경로를 역추적해 사용자를 찾아내는 건 사실상 불가능하다. 그래서 널리 활용되는 것이 공개출처정보(Open Source Intelligence·OSINT) 기법이다. 경찰청 사이버안전국이 2020년부터 가동중인 다크웹불법정보추적시스템이 대표적이다. 수사관이 개별 다크웹에 직접 접속하지 않아도 불법 정보를 정리할 수 있도록 도와주는 프로그램이다. 경찰청 관계자는 “다크웹상에 올라와 있는 정보들이 수사 중인 범죄와 유사성이 있는지 없는지를 확인할 수 있다”고 설명한다.


오프라인에서 마약 유통책이나 성범죄 피해 영상물 유포자가 붙잡히면 그들이 쓰던 노트북이나 휴대전화를 압수해 분석하는 과정에서 다크웹 범죄에 관한 정보를 얻기도 한다. 경찰청은 최근 다크웹을 이용한 마약 거래가 늘어나면서 6개 지방경찰청 마약범죄수사대에 다크웹 전문수사팀을 배치해 운영하고 있다. 경찰 출신인 김기범 성균관대 과학수사과 교수는 “디바이스 분석 위주의 디지털 포렌식 개념을 확장해 다크웹 추적에 도입할 수 있을 것”이라며 “다크웹 전문가를 양성해서 누구나 첩보가 있으면 지원해서 추적할 수 있게 해야 한다”고 말했다

그래픽=김경진 기자 capkim@joongang.co.kr

그래픽=김경진 기자 capkim@joongang.co.kr

 

미국은 악성코드 심어 다크웹 접속자 정보 확보 

 미국 등에선 다크웹 사이트를 통째로 접수한 뒤 드나드는 이용자를 검거하는 함정수사를 펼치기도 한다. 미 연방수사국(FBI)은 2015년 다크웹 아동·청소년성착취물 사이트인 ‘플레이펜(Playpen)’ 서버를 압수한 뒤 즉각 폐쇄하지 않았다. FBI는 서버를 다른 곳으로 옮겨 운영하면서 플레이펜에 접속한 사용자들의 컴퓨터에 악성코드를 심었다. 위치 정보를 찾아내기 위해서였다. 수사엔 수사기관이 사용자의 컴퓨터에 접근해 저장된 데이터를 가져오는 온라인 수색(Network Investigative Technique·NIT) 기법까지 활용됐다. 온라인 수색은 미국, 독일, 영국 등에서 입법화됐지만 한국에선 사생활 침해 논란 등으로 아직 입법 논의가 무르익지 않은 상황이다. 김기범 교수는 “해킹이나 악성코드, 랜섬웨어 범죄를 검거할 때 가장 첫 번째로 필요한 게 전기통신감청이다. 한국은 감청에 관한 대상 범죄가 280여개(통신비밀보호법 제5조 1항)로 규정돼있는데 범위를 넓히는 논의가 필요해 보인다”고 말했다.

국내 수사기관 관계자들 사이에선 위장수사 대상과 방식을 넓히는 게 우선이라는 이야기가 나온다. 한국의 경우 지난해 9월 ‘아동·청소년의 성보호에 관한 법률’(청소년성보호법) 개정안이 시행되면서 아동·청소년 대상 디지털 성범죄에 대해 위장수사가 가능하다. 경찰관 신분을 밝히지 않고 수사를 하는 비공개 수사와 경찰관이 아닌 다른 신분으로 위장하는 신분위장수사다. 경찰청은 “위장수사 단속 과정에서 ‘성인 피해자’도 확인된다”면서 “향후 디지털 성범죄 근절을 위해서는 성인 대상 범죄도 포함되도록 위장수사 적용 범위를 넓히는 게 시급하다”는 입장이다. 위장수사의 경우 수사기관이 실수했을 때를 대비해 면책조항을 보완할 필요성도 제기된다.

미국은 1980년부터 위장수사 제도가 시행되고 있다. 미 국토안보수사국(HIS)의 경우 온라인 그루밍 수사부터 위장법인을 통해 소유하고 있는 비행기나 항공기 등을 활용하는 위장수사까지 다양한 형태의 위장수사를 진행하고 있다. 최초의 다크웹 폐쇄 사례인 2013년 ‘실크로드(Silk Road)’ 수사 당시에도 위장수사 기법이 활용됐다. 미 FBI 수사관이 직접 살인 청부를 수주하며 운영자에게 접근했다. 마약 등 불법 물품을 거래하는 실크로드는 달러 대신 비트코인으로만 결제가 가능하게 했던 첫 다크웹 사이트였다. 

그래픽=차준홍 기자 cha.junhong@joongang.co.kr

그래픽=차준홍 기자 cha.junhong@joongang.co.kr

 
 서버 추적에선 서버가 있는 해당 국가와의 협력이 운영자 검거의 관건이다. 암호화폐도 국제 공조가 잘 되는 국가의 거래소에서 돈이 출금되면 용의자 식별이 쉽지만 소규모이거나 국제 공조가 안되는 개발도상국의 거래소에서 인출됐다면 수사가 지연되기 쉽다. 유럽연합(유럽연합)의 경우 유로폴을 중심으로 다른 나라의 법 집행기관들의 공동작전이 활발한 것으로 알려져 있다. 경찰청도 유로폴에 수사관 파견을 추진 중이다.

 
다크웹과 함께 익명 범죄 수단으로 널리 악용되는 보안 메신저인 텔레그램의 경우 본사와 서버 소재지가 파악되지 않아 관련 수사에 어려움이 반복되고 있다. 지난달 23일 호주 시드니에서 붙잡힌 ‘제2 n번방’ 사건의 주범 ‘엘’사건도 텔레그램의 비협조적인 태도가 수사 지연의 원인으로 작용했다. 경찰 관계자는 “텔레그램을 뺀 인터넷에 남은 모든 흔적 등을 조각조각 맞추는 방식으로 용의자를 특정했다”고 밝혔다.

국내 수사기관, 미 암호화폐 추적프로그램 사용 

 불법 콘텐트 결제 수단으로 자리잡은 암호화폐 거래를 추적하는 기술 개발도 시급하다. 경찰, 검찰, 국가정보원 등은 미국의 분석업체 ‘체이널리시스(chainalysis)’가 만든 암호화폐 추적 프로그램을 구입해 가상자산 범죄에 도용된 암호화폐 주소를 추적하고 있다. 김승주 고려대 정보보호대학원 교수는 “게시판의 글을 추적하는 게 범죄를 차단할 확률이 높겠는가. 돈을 추적하는 게 범죄를 차단할 확률이 높겠는가”라며 “북한 해커나 랜섬웨어 조직들은 어떤 계좌로 돈을 보내라고 한다. 그런 전자지갑 주소를 모아서 블랙리스트를 정리하는 작업을 해야한다”고 말했다. 

다크웹에 있는 데이터를 분석하는 민간 기업을 육성해 수사기관과 협력케 할 필요도 있다. 서상덕 S2W 대표는 “국내 수사기관은 게시물을 보는 정도의 수동적인 방법을 수행하지만 기업들은 가상 자산에 관한 자금 경로를 추적하거나 게시되지 않은 글들을 통계적으로 분석해 얻은 정보를 축적하고 있다”며 “범죄 대응에 있어 기업 역할을 넓혀준다면 국가의 사이버안보 역량 확충에 도움이 될 것”이라고 말했다.