다크 웹을 조기 경고 시스템으로 활용

귀하가 항공사 임원이라고 상상해 보세요. 평소와 달리 평화로운 월요일 아침에 책상에 앉아 신선한 커피 한 잔을 마시고 있습니다. 상쾌하고 편안한 기분으로 한 주를 맞이할 준비가 되었습니다. 

받은 편지함을 확인하다가 익숙한 탭탭탭 소리의 Slack 알림이 시선을 사로잡습니다. 

창문을 엽니다. 보안 운영 센터(SOC) 책임자에게 메시지가 왔는데, 좋은 소식은 아닙니다. "다크 웹에 우리의 고객 기록을 판매하는 데이터 브로커가 있습니다."

어떻게 하시겠습니까? 회사 리더들의 긴급 회의를 소집하시겠습니까? 경찰에 신고하시겠습니까? 

처음에는 본능적으로 당황할 수 있습니다. 우리의 데이터가 다크 웹에서 판매되고 있어. 이건 심각한 문제야.

하지만 이상적으로는 대응하기에 앞서 위협 인텔리전스 분석가에게 자세히 조사해 달라고 요청하는 것이 좋습니다. 

사이버 범죄자는 신뢰할 수 있는 존재가 아니며, 사이버 범죄자가 판매하는 기록이 주장하는 것과 다를 수 있기 때문입니다. 어쩌면 실제로 가지고 있는 데이터는 당신과 느슨하게 연결된 여행 웹사이트의 타사 데이터일 수도 있습니다. 구매자를 끌어들이기 위해 매우 잘 알려진 귀사의 이름을 사용하고 있을 수도 있습니다.  

즉, 고객 데이터는 안전하게 잘 보관되고 있으며, 엄청난 비용이 드는 공개적 대응을 할 필요가 없다는 뜻입니다. 아무것도 할 필요가 없을 수도 있습니다.

IBM® X-Force가 처리한 실제 인시던트에 기반을 둔 이 사고 연습의 요점은 다크 웹이 사악한 평판과는 달리 생각보다 훨씬 더 일상적이라는 것입니다.

일상적이고 이해가 가능합니다.

확실히 다크 웹에는 수상하고 노골적인 악의적 활동이 많이 존재하지만, 인터넷상에서 이 어두운 존재를 둘러싼 이야기는 사람들의 판단을 흐리게 할 수 있습니다. 

조직은 다크 웹 활동을 면밀하고, 조용하고 그리고 합리적으로 모니터링함으로써 오해를 해소하고 유명한 해커의 안식처인 다크 웹에서 실제로 무슨 일이 일어나는지 정확하게 파악할 수 있습니다. 

그렇다고 해도 다크 웹은 탐색하기 까다로운 영역일 수 있습니다. 실제로 범죄자들은 인사이트 얻거나 데이터 및 은행 계좌에 액세스하기 위해 서로를 감염시킬 수도 있습니다. 공허한 위협과 실제 위험을 구분할 수 있는 자격을 갖춘 사이버 보안 전문가의 지원을 받으면 도움이 됩니다.

불길한 이름과 도시 괴담은 잊으세요. 다크 웹은 궁극적으로 인터넷의 특정 부분일 뿐이며, 의도적으로 모호한 영역입니다.

인터넷에는 다음의 세 가지 계층이 있습니다.

1. 오픈 웹 - 검색 엔진에서 찾을 수 있는 모든 대중 사이트가 포함되어 있습니다.
    
2. 딥 웹 - 검색 엔진이 인덱싱하지 않는 항목이 포함되어 있습니다. 딥 웹은 오픈 웹보다 훨씬 크고 대부분은 무해합니다. 온라인 은행 계좌, 접근 제한이 있는 유료 콘텐츠 등이 딥 웹에 속합니다. 
   
   
3. 다크 웹 - 딥 웹의 하위 섹션으로, 접근하려면 Tor 브라우저와 같은 특수한 브라우징 소프트웨어가 필요합니다. 

다크 웹은 어떤 모습일까요? 오픈 웹과 크게 다르지 않습니다. 사람들이 포럼에 모이고, 마켓플레이스에서 물품을 판매합니다. 가장 큰 차이점은 논의하고 판매하는 물품에 어느 정도의 익명성이 요구된다는 점입니다.

다크 웹에서 일어나는 모든 일이 악의적인 것은 아닙니다. 예를 들어, 언론인은 다크 웹을 사용하여 기밀 정보를 구하거나 공유할 수 있습니다.

하지만 분명히 많은 다크 웹 사용자는 사이버 범죄자입니다. 이들의 포럼은 TV 프로그램이나 틈새 취미가 아니라, 익스플로잇을 거래하거나 새로운 조직원을 모집하는 데 사용됩니다. 이들은 의류와 비디오 게임을 판매하는 대신, 멀웨어, 신용카드 번호, 그리고 매우 많은 도난당한 자격 증명을 판매합니다.

X-Force Threat Intelligence Index에 따르면 유효한 계정 하이재킹은 사이버 공격의 30%를 차지하는 매우 일반적인 초기 데이터 유출 벡터입니다.

2024년 4분기에만 X-Force는 다크 웹에서 120만 개의 자격 증명 세트가 판매되는 것을 확인했으며, 기록당 최저 14달러에도 판매되는 경우도 많았습니다. 다른 해커는 이러한 자격 증명을 구입하여 신원 도용을 저지르거나 기업 네트워크에 침입하는 데 사용합니다. 

일부 사이버 범죄자는 랜섬웨어 및 기타 악성 소프트웨어에 기존의 서비스형 소프트웨어(SaaS) 모델을 적용한 '서비스형 맬웨어'를 제공합니다. 이러한 위협 행위자는 독점 멀웨어를 제휴자에 판매하고, 제휴자는 멀웨어를 사용하여 공격을 시작하고 악의적으로 얻은 수익금의 일부를 제작자와 공유합니다.  

그리고 표적으로 삼은 시스템에 대한 발판을 마련한 후 다른 사이버 범죄자에게 진입점을 판매하는 액세스 브로커가 있습니다. 

데이터, 액세스 권한, 맬웨어 등 무엇을 판매하든, 이러한 사이버 범죄자는 대개 단독으로 활동하기보다는 단체를 구성하여 활동합니다. 하지만 이러한 단체를 감시하는 일은 어렵습니다. 구성된 단체는 빠르게 확장하거나 쇠퇴하는 경향이 있습니다. 예를 들어, 2025년 1분기에 다크 웹에서 가장 활발하게 활동한 랜섬웨어 단체의 절반 이상이 1년이 채 되지 않아 사라졌습니다. 

다크 웹에서 힘의 균형이 항상 변화합니다. 법 집행 기관이 사이버 범죄 단체를 소탕합니다. 소탕된 단체는 분리되어 자체 단체를 조직합니다. 때로는 단체 간 경쟁이 직접적인 공격으로 이어지기도 합니다. 올해 2월에도 이런 경우가 있었는데, 한 라이벌 단체가 악명 높은 Lockbit 그룹의 랜섬웨어 최신 버전 코드를 유출했습니다.

이처럼 빠른 변화 속도와 사이버 범죄 단체 및 마켓플레이스 간의 복잡한 역학 관계는 전문 위협 인텔리전스 분석가와 협력하여 귀사에 대한 다크 웹 거래를 감시해야 하는 이유 중 몇 가지에 불과합니다. 이러한 혼란 속에서는 비즈니스에 대한 활성 위협을 나타낼 수 있는 위험 신호를 놓치기 너무 쉽습니다. 

우리 중 대다수는 낯선 사람의 출처가 없는 소셜 미디어 게시물을 액면 그대로 받아들이지 않습니다. 하지만 사이버 범죄자가 민감한 데이터를 가지고 있다고 말하면 증거가 없어도 그러한 주장을 믿는 경향이 있습니다.

그렇게 해서는 안 됩니다. 다크 웹에서 사실과 허구를 구분하는 일은 전문 위협 인텔리전스 분석가가 도울 수 있는 또 다른 영역입니다.  

사이버 범죄자들은 매우 많은 거짓말을 합니다. 이들은 선도적인 대기업의 데이터를 보유하고 있다고 주장하지만, 실제로는 그렇지 않습니다. 이유가 무엇일까요? 실제보다 더 뛰어난 것처럼 보이게 하여 뛰어난 해커라는 부당한 평판을 쌓기 위해서입니다. 또는 보유하고 있는 덜 매력적인 데이터로 이목을 끌려는 것일 수도 있습니다.

예를 들어, 한 사이버 범죄 단체가 주요 글로벌 브랜드의 데이터를 가지고 있다고 주장할 수 있습니다. 잠재 고객이 오면 해당 데이터는 이미 판매되었다고 얘기하고, 대신에 덜 유명한 기업의 다른 데이터를 제공할 수 있다고 말합니다. 이는 본질적으로 다른 사이버 범죄자를 대상으로 하는 소셜 엔지니어링의 한 형태입니다. 

또는 사이버 범죄자가 실제로 보유하고 있는 데이터를 항상 공개적으로 광고하는 것은 아닙니다. 잡히지 않기 위해 피해자를 혼란스럽게 만드는 경우가 많습니다. X사의 데이터가 있다고 말하는 대신, "Z 평가 가치가 있는 Y 업계의 X 규모 회사의 데이터가 있습니다"라고 말할 수 있습니다. 

조직에 필요한 것은 가짜 유출 데이터와 실제이지만 위장된 위협을 모두 정확하게 식별할 수 있는 정교한 감시 프로그램입니다. 

다크 웹 모니터링에 리소스를 투입하는 궁극적인 가치는 단순히 오해를 해소하고 사이버 범죄자의 거짓말을 간파하는 것이 아닙니다. 오히려 조직은 올바른 툴과 팀이 있으면 다크 웹을 조기 경고 시스템, 즉 공격이 큰 피해를 입히기 전에 감지하는 '탄광의 카나리아'로 전환할 수 있습니다.

조직의 데이터 또는 네트워크 진입점이 다크 웹에서 판매되고 있다면 이미 데이터가 유출되었다는 의미입니다. 하지만 때로는 이때가 공격을 탐지할 수 있는 가장 빠른 시점이기도 합니다.

이는 위협 행위자들이 사용자 계정을 탈취하거나 합법적인 권한을 남용하는 악의적인 내부자와 협력하는 등 더욱 은밀한 공격 방식을 점점 더 많이 채택하고 있는 오늘날에는 특히 그렇습니다. 우리는 다크 웹에서 자신이 데이터가 유출된 회사의 직원 또는 직원의 파트너라고 주장하는 액세스 브로커를 목격했습니다.

또한 공격자들은 더 강력한 악성 공격을 주입하기 위해 작고 '성가신' 멀웨어를 사용하기 시작했습니다(예: 인포스틸러를 통해 랜섬웨어를 몰래 주입). 랜섬웨어는 네트워크 내부에 침투하면 '자급자족'하는 경우가 많습니다. 즉, PowerShell 스크립트, 실제 사용자 계정 등과 같은 합법적인 네트워크 인프라를 사용하여 네트워크에서 이동하고 민감한 자산에 액세스합니다. 

표준 네트워크 보안 툴은 이러한 활동을 악의적으로 보지 않기 때문에 놓치는 경우가 많습니다. 승인된 사용자와 시스템이 승인된 작업을 수행하는 것처럼 보이기 때문입니다.

따라서 때로는 데이터가 다크 웹에 도달하기 전까지는 아무도 문제가 있다는 것을 알지 못합니다. 해당 데이터가 다크 웹에 나타날 때 이를 포착함으로써 조직은 영향을 최소화하기 위한 신속한 조치를 취할 수 있습니다. 손상된 계정의 자격 증명을 변경하거나 알려진 백도어가 있는 서버를 종료할 수 있습니다. 그러면 해당 데이터 덤프는 쓸모없어지고 공격의 전체 범위는 실현되지 않습니다. 

이러한 수준의 모니터링을 달성하려면 위협 인텔리전스 피드나 셀프 서비스 플랫폼을 구입하는 것 이상이 필요합니다. 이를 위해서는 모든 데이터를 어떻게 활용해야 하는지, 사이버 범죄자가 의도적으로 숨기고 있는 위협을 찾는 방법을 알고 있는 전담 분석가가 필요합니다. 이러한 분석가는 결과를 해석하고, 컨텍스트를 추가하고, 실제 위험의 우선순위를 지정하고, 조직을 효과적인 조치로 이끌 수 있습니다.