다크웹에서는 각종 주제·분야의 데이터들이 공유되거나 거래되는데 데이터 공급자와 수요자들이 만나는 공간들은 '포럼' 또는 '해킹포럼'이라는 게시판 형태로 만들어져 있다. 이곳에서는 정부기관이나 군, 교육기관 관련 자료가 23.7%로 가장 많았고 금융(17.2%) 유통(15.2%) 물류·항공(5.7%) 엔터·미디어·게임(5.6%) 텔레콤(5.6%) 등 산업 관련 데이터들도 많았던 것으로 파악됐다. 해킹을 통해 파일이나 시스템에 암호를 걸어 마비시킨 후 몸값을 요구하는 락빗(Lockbit) 등 랜섬웨어 조직들이 이곳에 게시판을 만들어 데이터 흥정을 하곤 한다.
S2W는 "딥·다크웹 해킹 포럼 내에서 대한민국 관련 유출 사고는 전년 대비 전반적으로 감소한 모습을 보였다"며 "다만 일부 산업에서 민감한 데이터가 유출되는 사고가 발생했다"고 설명했다. 지난해 한국에서는 ICT 업종 관련 데이터 유출이 34%로 가장 많았고 바이오·의료(12.8%) 정부·군·교육기관(10.6%) 등 정보가 주로 유출됐던 것으로 조사됐다. 경찰청 내부 데이터나 병원 환자 정보, 병원 내부 네트워크 접근 권한 관련 정보들이 다크웹에서 주로 유통됐다.
다크웹에서 북한을 언급한 내용도 많았다. 대부분 김정은 국무위원장 등 지도부를 조롱하는 내용이 많았지만 북한 선박 식별 정보나 북한의 인터넷 선동매체인 '우리민족끼리' 계정정보, 북한 정부부처 기관 접근 가능 계정 정보 등이 유출되는 정황도 확인됐다고 S2W는 밝혔다. 북한인 스파이들의 명단을 공개하거나 공유한다는 해커들도 있다. 지난해 '재미동포전국연합회' '재일본조선인총련합회' 등에 가입한 회원들의 이메일 주소와 비밀번호, 자기소개서 등 데이터가 해킹 포럼에 유출된 것이 대표적이다. 북한 인터넷 포털 '광명망' 내부 네트워크 접근 권한을 문의하는 게시물이 올라온 적도 있다고 S2W는 전했다.
━
"다크웹 모니터링, 조기 사후 대응 위해서라도 필수"━
그럼에도 독버섯처럼 불법적 목적의 정보 교류를 도모하는 사이트들은 계속 생겨난다. 정민수 SK쉴더스 EQST 수석은 "각국 수사당국의 적극적 규제로 사이트들이 폐쇄되는 경우도 있지만 곧바로 다른 사이트가 생겨나 유사한 정보를 제공한다"며 "딥웹에 개설된 해킹 포럼 등 사이트들도 갑자기 사라졌다가 비슷한 주소로 다시 개설돼 운용되는 경우가 허다하다"고 했다.
다크웹이라는 공간은 TI(위협정보) 분석 등을 전문으로 하는 기업에게 새로운 사업 기회를 열어주기도 한다. 정 수석은 "랜섬웨어 조직이 다크웹을 데이터 거래·공표 플랫폼으로 삼으면서 다크웹을 모니터링하는 것도 새롭게 개화하는 시장으로 떠올랐다"며 "민감 정보를 다루는 기업일수록 다크웹에 자사의 정보가 돌아다니는지 예의주시할 필요가 있다"고 했다. 국내에서는 안랩, S2W, 쿤텍 등의 기업들이 TIP(위협정보 플랫폼) CTI(사이버위협정보) 등 각종 솔루션을 통해 다크웹에서의 정보 유통 현황이나 기업·기관 계정 데이터의 노출 현황 등을 모니터링해 고객들에게 제공하는 서비스를 운영한다.
또 다른 보안업계 전문가는 "다크웹이나 딥웹에 있는 정보들을 정기적으로 또는 수시로 크롤링(Crawling, 데이터 대량수집)해서 위협정보를 제공하는 솔루션을 만드는 기업들이 이미 왕성하게 활동하고 있다"며 "국내 보안업체들도 관련 솔루션을 제공하는 기업들이 있다"고 했다. 또 "사이버 공격으로 피해를 입었을 때 가장 중요한 것은 가급적 조기에 피해 사실을 파악하고 추가 피해를 방지하는 것"이라며 "이같은 이유로 이미 많은 기관·기업 등이 TI 전문기업의 다크웹 모니터링 서비스를 이용하고 있다"고 설명했다.
[저작권자 @머니투데이, 무단전재 및 재배포 금지]