다크웹에서 활동하는 범죄자를 데이터 기반 공급망 분석으로 추적한다. 다크웹이 가리는 범죄자 신원을 표면웹 등 전체 웹에 흩어진 데이터와 연결해 특정인으로 지목한다.
다크웹은 서비스 제공자와 사용자 간 익명성을 보장하는 웹이다. 애초 언론 자유 등 정치적 목적으로 사용됐지만, 각종 범죄가 확산하는 통로로 악용되고 있다. 총기·마약 거래부터 위조, 살인청부, 아동 음란물 판매까지 횡행한다.
신승원 KAIST 전기전자공학부 교수는 7일 서울 여의도 콘래드호텔에서 열린 금융정보보호콘퍼런스 'FISCON 2019'에서 '현실 세계에 대한 위협 다크웹, 분석과 대처 방안'을 주제로 발표했다.
신 교수는 “다크웹에서 완전한 익명화 가능해 사용자를 '투명인간'에 비유한다”면서 “범죄를 저질러도 특정할 수 없다보니 점점 더 심각한 범죄가 발생하고 있다”고 지적했다. 다크웹은 2009년 비트코인이 부상하면서 사이버 범죄의 글로벌 생태계를 조성했다.
다크웹에서는 △무기 △마약 △장기 △개인정보 등 거래와 △해킹 툴 판매 △해킹 기술 공유 △아동 음란물 판매 △살인청부 등이 이뤄지고 있다. 거래 후에는 일반 웹사이트처럼 후기도 남긴다.
신 교수는 다크웹 내 범죄자를 추적하는 연구를 수행했다. 미국 국방부 방위고등연구계획국(DARPA)의 차세대 검색엔진 기술 프로젝트 '메멕스(MEMEX)'를 접한 후부터다.
메멕스는 미 당국이 기존 시스템으로 감청할 수 없는 잠재적 테러리스트를 감시하기 위해 만든 것으로 인신매매 범죄자를 체포하는 성과 등을 거뒀다. 다크웹뿐만 아니라 소셜네트워크서비스(SNS) 등 딥웹을 포함해 광범위한 영역을 검색할 수 있는 시스템이다. 미 소프트웨어 업체 팔란티어 테크놀로지 역시 빅데이터를 분석해 자카르타 폭탄 테러 수사 당시 테러범을 전원 체포하는 데 일조했다. 메멕스와 팔란티어는 각종 데이터 출처로부터 방대한 데이터를 수집한 후 이를 분석한다.
신 교수는 “이처럼 여러 다른 도메인 정보를 동시에 분석하는 것이 중요하다”고 강조했다. 하나의 데이터만으로는 범죄자를 잡기 어려워 다크웹, 일반 웹사이트, SNS 등에 흩어진 데이터를 모두 종합해 교차분석을 해야한다.
범죄자는 다크웹에서 익명으로 활동하더라도 실제 돈을 받기 위해 비트코인 지갑 주소, 이메일, 텔레그램 아이디 등을 어딘가에 공개한다. 이때 다크웹에서 쓴 ID나 문체, 전화번호, 실수를 표면웹에서도 동일하게 사용할 가능성이 크다. 스스로 의식하기 어려운 습관으로 인해 표면웹에 노출된 정보와 연결될 수 있는 작은 흔적들을 남기는 셈이다.
이 흔적을 모두 연결하면 하나의 '공급망'을 그릴 수 있다. 신 교수는 “범죄자는 암호화폐 거래는 추적할 수 없다고 생각하지만, 암호화폐 거래 전량을 수집해 분석하면 거래 패턴을 바탕으로 추적할 수 있다”고 설명했다.
아울러 “범죄자는 다크웹에서만 활동하지 않는다”면서 “다크웹에서 활동하더라도 실제 누군가와 관계를 맺고 있고 누군가는 활동을 하고 있다”고 언급했다. 범죄 공급망을 형성하는 고리 중 하나만을 판별하고 수사를 시작하더라도 전체 범죄 조직을 밝혀낼 가능성이 커진다.
신 교수는 “특히 다크웹 내 아동 착취 문제는 매우 심각한 상황”이라면서 “범죄를 구성하는 관계도와 공급망을 그릴 수 없으면 범죄자를 검거할 수 없는 만큼 이를 강화해 수사기관에 제공할 것”이라고 했다.
오다인기자 ohdain@etnews.com