다크 웹은 프라이버시 중심 네트워크인 "다크넷"에서 존재하는 웹의 한 부분입니다. 일반적인 검색 엔진과 웹 브라우저에서는 숨겨져 있으며, 액세스하려면 특수한 툴과 설정이 필요합니다. 도난 데이터 거래 마켓플레이스와 같은 범죄 활동으로 알려져 있지만, 합법적인 사용 사례도 존재합니다.
다크 웹에는 일반적인 또는 공개 웹과 유사한 웹 페이지, 메시징 채널, 파일 공유 네트워크 및 기타 서비스가 존재합니다. 차이점은 다크 웹 콘텐츠가 특정한 액세스 요건을 가진 인터넷의 익명 하위 영역인 다크넷에 존재한다는 점입니다. 일부 다크넷은 초대 전용입니다. 다른 다크넷은 Tor 브라우저와 같은 적절한 네트워크 설정이나 소프트웨어를 통해 접근할 수 있습니다.
익명성은 다크 웹의 가장 큰 매력입니다. 다크 웹 네트워크는 다중 계층 암호화와 간접 라우팅과 같은 방식을 사용해 사용자의 신원을 숨깁니다. 다크 웹사이트를 방문하는 사람과 이를 호스팅하는 사람 모두 쉽게 식별되지 않습니다.
사이버 범죄자들은 이러한 익명성을 이용해 불법 활동을 은폐합니다. 언론인, 내부 고발자, 일반 인터넷 사용자는 적대적인 정부, 대기업, 광고 네트워크, 예측 알고리즘 및 기타 감시 주체로부터 추적을 피하기 위해 다크 웹을 사용할 수 있습니다.
사이버 보안 전문가들은 다크 웹을 중요한 위협 인텔리전스 소스로 모니터링합니다. 이를 통해 해커들의 동향을 파악하고, 사이버 공격의 대상과 기법을 최신 상태로 유지하며, 신규 및 진행 중인 데이터 유출을 추적할 수 있습니다.
불법 활동 및 불법 콘텐츠와 연관되어 있음에도 불구하고, 많은 관할권에서 단순히 다크 웹에 접속하는 것 자체는 반드시 불법은 아닙니다.
Think 뉴스레터
Think 뉴스레터를 통해 AI, 사이버 보안, 데이터 및 자동화에 대한 선별된 뉴스를 제공하는 보안 리더들과 함께하세요. 받은 편지함으로 직접 제공되는 전문가 튜토리얼과 설명서를 통해 빠르게 배울 수 있습니다. IBM 개인정보 보호정책을 참고하세요.
구독한 뉴스레터는 영어로 제공됩니다. 모든 뉴스레터에는 구독 취소 링크가 있습니다. 여기에서 구독을 관리하거나 취소할 수 있습니다. 자세한 정보는 IBM 개인정보 보호정책 을 참조하세요.
다크넷은 다크 웹 콘텐츠에 대한 액세스를 가능하게 하는 네트워크 인프라로, 상호 연결된 컴퓨터와 기타 장치로 구성됩니다.
"다크넷"과 "다크 웹"이라는 용어는 인터넷과 웹이 혼용되는 것과 마찬가지로 종종 동의어처럼 사용됩니다.하지만 기술적으로 인터넷은 연결된 장치들의 네트워크이고, 웹은 사람들이 인터넷을 통해 액세스할 수 있는 정보 계층(웹사이트, 앱 및 기타 서비스)입니다.
이러한 구분은 다크넷과 다크 웹에도 동일하게 적용됩니다. 다크넷은 인프라이고, 다크 웹은 해당 인프라를 통해 액세스할 수 있는 콘텐츠입니다.
다양한 다크넷이 존재하며, 그중 가장 유명한 것은 Tor 네트워크입니다. (자세한 내용은 “Tor란 무엇인가요?”를 참고하세요.) 기타 다크넷으로는 Invisible Internet Project(I2P)와 Hyphanet이 있습니다.
대부분의 다크넷은 더 큰 네트워크 내에 존재하는 독립적인 서브네트워크인 오버레이 네트워크입니다. 그 더 큰 네트워크는 일반적으로 인터넷 자체입니다.
그러나 다크넷은 공용 인터넷과 분리되어 있으며, Google Chrome, Mozilla Firefox, Microsoft Edge와 같은 일반 브라우저로는 쉽게 접근할 수 없습니다. 사용자는 다크넷에 접속하기 위해 특수한 소프트웨어, 권한 또는 설정이 필요합니다.
Tor와 같은 많은 다크넷은 자원봉사자와 비영리 단체에 의해 운영되며, 사람들이 자신의 장치를 네트워크 노드로 자발적으로 제공합니다. 다른 다크넷은 분산형 피어 투 피어 네트워크이거나 초대 전용 사설 네트워크입니다.
다크넷을 더 넓은 인터넷 및 다른 오버레이 네트워크와 구분 짓는 또 다른 요소가 있습니다. 다크넷은 다중 계층 암호화, 어니언 라우팅 등의 방식을 통해 의도적으로 사용자의 신원을 숨깁니다.
Tor는 “The Onion Router”의 약자로, 네트워크, 브라우저, 그리고 조직을 모두 지칭할 수 있습니다.
Tor 네트워크는 수천 개의 자원봉사자가 운영하는 노드에서 실행되는 특정 다크넷입니다. Tor 네트워크의 웹사이트는 히든 서비스 또는 어니언 서비스라고 불리며 .onion 도메인을 사용합니다.
Tor 브라우저는 Tor 네트워크의 콘텐츠에 액세스할 수 있는 프라이버시 보호 웹 브라우저입니다. Tor 브라우저는 사용자 익명성을 강화하면서 일반 웹 콘텐츠에도 액세스할 수 있습니다.
Tor 프로젝트는 Tor 네트워크, Tor 브라우저 및 기타 관련 툴과 인프라를 개발하고 유지 관리하는 비영리 조직입니다.
Tor 브라우저는 가장 인기 있는 다크 웹 브라우저일 수 있지만, 다크 웹에 접근하는 유일한 방법은 아닙니다. 또한 Tor 네트워크만이 다크 웹 콘텐츠를 위한 유일한 네트워크도 아닙니다. 사람들은 때때로 Tor와 다크 웹을 같은 것으로 여기지만, Tor는 여러 다크넷 중 하나에 불과합니다.
그럼에도 불구하고 Tor의 작동 방식을 이해하면 다크 웹이 전반적으로 어떻게 작동하는지 이해하는 데 도움이 됩니다.
Tor 네트워크의 핵심 원리는 어니언 라우팅으로, 이는 Tor가 IP 주소를 숨기고 사용자를 익명으로 유지하는 방식입니다. 어니언 라우팅은 1990년대 미국 해군 연구소에서 처음 개발되었으며, 트래픽에 여러 계층의 암호화를 적용합니다. 이러한 계층 구조가 이 기술에 “어니언”이라는 이름을 붙이게 했습니다.
어니언 라우팅은 사용자를 목적지로 직접 보내는 대신 일련의 중간 노드를 거치도록 합니다. 각 노드는 트래픽 암호화의 단일 계층만 복호화할 수 있으므로, 어느 한 노드도 트래픽의 전체 경로를 알 수 없습니다.
다크넷 사이트 운영자조차 방문자가 어디에서 오는지 알 수 없으며, 방문자 역시 해당 사이트가 어디에 호스팅되어 있는지 알 수 없습니다.
다크 웹, 딥 웹, 서피스 웹은 웹의 세 가지 서로 다른 영역입니다.서피스 웹은 사용자가 검색 엔진에서 찾을 수 있는 영역입니다. 딥 웹은 검색 엔진에 숨겨져 있지만, 적절한 인증만 있으면 대부분 일반 브라우저를 통해 접근할 수 있습니다. 다크 웹 콘텐츠는 특별한 설정이 필요합니다.
서피스 웹은 오픈 웹이라고도 하며, Google이나 Bing과 같은 일반 검색 엔진에 의해 색인되는 인터넷의 영역입니다. 소셜 미디어 사이트, YouTube 동영상, 공개 블로그, Amazon 상품 목록은 모두 서피스 웹 콘텐츠의 예입니다.
서피스 웹은 인터넷 콘텐츠의 약 5%를 차지하는 가장 작은 영역 중 하나입니다.
딥 웹은 검색 엔진이 색인하지 않는 인터넷의 영역으로, 대부분의 웹 콘텐츠를 포함합니다. 딥 웹에는 다크 웹도 포함되지만, 딥 웹의 대부분은 기본 설정의 일반 웹 브라우저로 접근할 수 있습니다. 예를 들어 비밀번호로 보호된 웹사이트, 유료 뉴스 기사, 사설 데이터베이스 등이 이에 해당합니다.
다크 웹은 딥 웹의 일부이지만, 중요한 측면에서 서로 다릅니다.
다크 웹은 다크넷에 존재하는 딥 웹의 영역입니다. 따라서 다크 웹 브라우저, 적절히 구성된 프록시 또는 기타 수단을 통해서만 접근할 수 있습니다. 대부분의 딥 웹 콘텐츠는 적절한 자격 증명이 있으면 오픈 인터넷에서 접근할 수 있습니다. 다크 웹은 의도적으로 사용자를 익명화하지만, 딥 웹은 그렇지 않습니다.
다크 웹은 토론 포럼, 뉴스 사이트, 마켓플레이스 등 외형상 오픈 웹과 매우 유사합니다. Facebook과 같은 일부 서피스 웹사이트는 공식 다크 웹 버전도 제공합니다.
다크 웹사이트는 다크넷의 성능이 상대적으로 불안정하기 때문에, 오픈 웹사이트보다 부가 기능이 적은 경우가 많습니다. 어니언 라우팅과 같은 기술은 익명성을 유지하지만, 연결 속도가 느려지는 대가를 치릅니다.
IBM의 X-Force 수석 위협 인텔리전스 분석가인 Robert Gates는 “다크 웹은 혼란스러운 대안적 웹 생태계로 볼 수 있습니다. 제품 페이지, 판매자, 피드백을 갖춘 인터넷상의 일반적인 이커머스 사이트를 단순화한 버전입니다.”라고 말합니다. 에스크로 서비스와 평점 시스템도 존재하지만, 이러한 시스템은 판매자들에 의해 조작되는 경우가 많습니다.”
다크 웹사이트는 보통 길고 복잡한 URL을 사용하기 때문에 기억하기가 어렵습니다. 다크 웹을 탐색하기 위해 사용자는 일반적으로 다크 웹 검색 엔진이나 Hidden Wiki와 같은 링크 목록을 활용합니다.
일반적인 다크 웹사이트 유형에는 다음이 포함됩니다.
다크 웹 마켓플레이스에서는 다양한 물품이 판매됩니다.
인포스틸러, 로더, 트로이 목마, 랜섬웨어와 같은 맬웨어. 많은 사이버 범죄자들은 맬웨어 서비스형 모델(MaaS)을 사용합니다. MaaS 조직은 맬웨어 툴과 인프라를 개발 및 유지 관리한 뒤, 이를 다른 해커들인 제휴자에게 판매합니다. 제휴자들은 해당 맬웨어를 사용해 피해자를 공격하고, 수익을 MaaS 조직과 나누는 경우가 많습니다. 랜섬웨어 서비스형 모델(RaaS)은 특히 인기가 많습니다.
액세스. 액세스 브로커는 취약점을 악용하고 백도어를 심어 네트워크에 침입한 뒤, 이러한 액세스 권한을 다른 사이버 범죄자에게 판매합니다.
데이터에는 범죄자가 신원 도용에 사용할 수 있는 도난된 은행 계좌 정보, 신용카드 세부 정보, 로그인 자격 증명 및 기타 민감한 정보가 포함됩니다.
위조 문서와 불법 약물을 포함한 불법 물품.
대부분의 다크 웹 마켓플레이스 거래는 구매자와 판매자의 익명성을 유지하기 위해 비트코인과 같은 암호화폐를 사용합니다.
2011년에 출시된 Silk Road는 최초이자 가장 잘 알려진 다크넷 마켓플레이스로 널리 알려져 있습니다. 2013년 FBI가 이를 압수하고 폐쇄했습니다.
전문 사이버 범죄자와 취미 해커들은 다크 웹 포럼에 모여 팁, 새로운 취약점, 잠재적 공격 대상에 대한 정보를 공유하고 자신의 성공 사례를 자랑합니다.
사이버 보안 전문가들 역시 이러한 포럼을 모니터링하며 사이버 위협 환경을 파악합니다.
유출 사이트는 해커들이 침해를 통해 탈취한 데이터를 과시하는 곳입니다. 사이버 범죄자들은 일부 샘플 데이터를 게시하고, 피해자가 몸값을 지불하지 않으면 나머지를 공개하겠다고 협박합니다.
일부 조직은 자체적인 유출 사이트를 운영합니다. 다른 조직들은 대형 조직이 제휴자와 동맹에게 자신의 사이트에 탈취 데이터를 게시하도록 허용하는 서비스형 갈취 모델을 채택했습니다. 더 유명한 대형 조직의 유출 사이트를 사용하면 피해자에게 더 큰 압박을 가할 수 있습니다. 다른 서비스형 모델과 마찬가지로, 대형 조직은 보통 몸값의 일부를 가져갑니다.
기업, 정부 기관 또는 기타 기관을 고발하는 내부 고발자들은 정보를 익명으로 공개하기 위해 다크 웹 포럼과 메시징 서비스를 자주 사용합니다.
마찬가지로 언론인들도 익명성이 필요한 취재원과 연결하기 위해 다크 웹 서비스를 활용합니다. 활동가들은 정부의 검열과 감시를 피하기 위해 다크 웹을 사용할 수 있습니다.
다른 다크 웹사이트들은 훨씬 평범합니다. 이는 운영자와 사용자가 추적을 피할 수 있도록 다크 웹을 활용하는 소셜 미디어 사이트, 뉴스 사이트 및 기타 일반적인 서비스입니다.
법적 또는 규제적 감독이 없고 모두가 익명인 네트워크에서, 다크 웹은 Gates가 말하는 평판 경제를 기반으로 운영됩니다. 해커와 거래자들은 과거 활동을 통해 신뢰도를 쌓습니다. 많은 마켓플레이스에는 리뷰 시스템이 있으며, 일부는 대금 지급을 보장하기 위해 에스크로 서비스를 제공합니다.
그러나 이러한 평판 경제는 사이버 범죄자들이 피해자와 서로에게 거짓말을 하도록 유인하기도 합니다. 예를 들어, 실제보다 더 대규모의 인상적인 데이터 세트를 탈취했다고 주장하며 거래를 유도하거나 피해자를 압박하거나 더 유능해 보이려 할 수 있습니다.
또한 생성형 AI의 등장으로, 침해 규모를 실제보다 더 크게 보이게 하기 위해 가짜 데이터를 생성함으로써 거짓을 더욱 그럴듯하게 만들 수 있습니다.
Gates는 그들이 보유한 문서와 데이터를 AI에 입력해 “이 세트를 확장해서 더 큰 컬렉션처럼 보이게 하라”고 지시할 수 있다고 설명합니다. "많은 데이터가 가짜로 판명되었지만, 실제로 그 차이를 구분할 수는 없습니다."
또한 사이버 범죄자들은 서로를 상대로 노골적인 사기를 치는 것도 마다하지 않습니다.
Gates는 "특정 포럼의 관리자가 충분한 돈을 모은 뒤 사라지는 출구 사기를 벌이는 사례를 본 적이 있습니다."라고 말합니다. "그 결과 마켓이 폐쇄되고, 모두가 무슨 일이 벌어졌는지 알 수 없는 상태에 놓이게 됩니다."
이러한 온갖 부정 거래와 배신의 결과로 다크 웹은 매우 빈번한 변동을 겪습니다. 웹사이트와 사이버 범죄 조직은 끊임없이 나타났다가 사라집니다. 이는 일부는 법 집행 기관의 단속 때문이지만, 종종 서로를 배신하기 때문이기도 합니다.
Gates는 "다크 웹에서는 권력의 균형이 항상 변하고 있습니다."라고 말합니다. "버림받은 제휴자들은 분리되어 자신들만의 조직을 만듭니다. 누군가의 자존심이 문제를 일으키거나, 개인 간 갈등이 발생하기도 합니다."
익명성이 다크 웹의 가장 큰 매력이지만, 사용자의 신원을 밝혀낼 수 있는 방법도 존재합니다. 예를 들어 타임스탬프를 기준으로 Tor 네트워크로 보내는 트래픽과 특정 사이트로 향하는 트래픽을 연관 분석하면, 법 집행 기관과 보안 전문가는 해당 사용자의 활동을 추정할 수 있습니다.
트래픽을 은밀히 감시하는 손상된 노드인 오염된 노드 역시 익명성을 깨뜨릴 수 있습니다. 사용자가 다크 웹 브라우저나 네트워크를 잘못 설정하거나 부적절하게 사용함으로써 스스로 신원을 노출할 수도 있습니다.
다크 웹 모니터링은 많은 위협 인텔리전스 활동의 핵심 요소입니다. 다크 웹 포럼과 소셜 네트워크를 주시함으로써 위협 인텔리전스 분석가는 최신 맬웨어, 실제 공격에 악용되고 있는 취약점 및 기타 동향을 파악할 수 있습니다.
사이버 보안 전문가는 조직 간 경쟁으로 인한 후폭풍을 활용할 수도 있는데, 이는 해커들이 서로의 웹사이트를 훼손하거나 배신하거나 소스 코드를 유출하는 결과로 이어지기도 합니다. 예를 들어 2025년 2월, 경쟁 조직이 악명 높은 Lockbit 조직의 최신 랜섬웨어 버전 소스 코드를 유출했습니다.
"이는 방어자에게 기회를 제공합니다."라고 Gates는 말합니다. "갑자기 많은 모방 소프트웨어가 등장했지만, 운영 보안이나 맬웨어의 작동 방식에 대한 이해는 개발자만큼 숙련되지 않았을 수 있습니다." 그래서 제대로 사용하지 못할 수도 있습니다."
방어자들은 이러한 소스 코드나 기타 유출 정보를 확보해 직접 분석할 수 있습니다.
다크 웹을 면밀히 모니터링하면 사이버 보안 팀이 침해 사실을 더 빨리 파악하는 데 도움이 됩니다. 조직이 침해 발생을 빨리 알수록, 더 신속하게 대응하고 확산을 막을 수 있습니다. IBM 데이터 유출 비용(CODB) 보고서에 따르면 침해를 식별하고 억제하는 데 평균 241일이 걸리기 때문에, 매 순간이 중요합니다.