딥웹으로 통하는 ‘문’ ‘토르’ 브라우저의 세계

[일요신문] 정보기관도 고개를 설레설레 젓는 인터넷 브라우저가 있다. 흔히 알려진 인터넷 익스플로러나 크롬, 파이어폭스 등과는 전혀 다른 세계다. 이 브라우저를 통해 인터넷에 접속하면 자동으로 사용자의 흔적이 숨겨진다. 즉 인터넷상의 감시와 검열이 일반화돼 있는 ‘표면’에서 이를 피할 수 있는 ‘지하세계’로 들어가는 통로다. 익명이 보장되고 흔적을 숨길 수 있어 초창기엔 내전 중이거나 인터넷에 대한 규제가 엄격한 국가의 사용자들이 주로 활용했다. 그렇지만 최근엔 아동 음란물, 고어물 등의 유통부터 마약, 총기, 무기제작법의 거래까지 익명으로 이뤄지며 범죄자들의 해방 공간이 되고 있다. ‘깊숙한 지하세계로 통하는 문’인 이 브라우저의 이름은 ‘토르(Tor:The Onion Routing)’다. 
 
“사실 태평양 한가운데서 손으로 물고기를 잡고 있는 것과 다름없는 거죠.” 

한 IT 보안 전문가가 ‘널리 쓰이는 인터넷’을 두고 표현한 말이다. 구글, 네이버 등에서 접속할 수 있는 사이트는 인터넷 세상의 ‘표면’의 불과하다는 것이다. 그는 <네이처>에 실린 한 논문을 인용하며 “일반인들은 어떤 방식으로 검색해도 인터넷상에 존재하는 정보의 0.03% 이상은 볼 수 없다”고 말했다. 

그는 나머지 99% 이상의 정보는 보안장치로 보호되면서 허가된 사람들만 접근이 가능한 페이지들이라고 했다. 쉽게 말해 개인 홈페이지부터 대기업의 데이터베이스뿐만 아니라 구글, 네이버 등 일반 검색엔진으로는 절대로 접근하거나 찾을 수 없는 페이지들이다. 일부 전문가들은 이 페이지들의 규모가 일반 대중들이 접속 가능한 ‘표면 웹(Surface Web)’의 500배에 달하는 것으로 추정하기도 한다. 

앞서의 IT 보안 전문가는 “표면 아래에 위치한 앞서의 페이지들이 있는 곳을 ‘딥웹(DeepWeb)’이라고 부른다”고 설명했다. 그는 “일반적으로 접근 및 검색할 수 없는 ‘깊숙한 지하세계’에 위치해 있다 보니, 보통의 인터넷상에서는 존재할 수 없는 페이지들이 만들어져 있다”며 “아동 음란물과 잔혹한 고어물 유통부터 마약, 무기 등의 거래 페이지가 대표적”이라고 말했다. 

이를 가능케 하는 것은 딥웹으로 들어가는 ‘문’인 토르 브라우저의 특징 때문이라고 한다. 토르는 한마디로 내가 누구인지, 어디서 온 것인지도 알 수 없는 네트워크 환경을 만들어 준다. 온라인상에서 IP 주소추적이나 트래픽 분석 등을 불가능하게 해 익명성을 보장하는 것.
 
토르는 수천 개의 중계서버(Onion Router)로 구성돼 있다. 사용자의 흔적은 목적지까지 한 번에 전달되지 않고 토르 중계서버를 거쳐 전송된다. 각 중계서버는 통과할 때마다 암호화되고 이동 경로에 관한 정보는 자동으로 삭제된다. 결국 사용자가 어디서 출발했는지, 최종 목적지는 어디인지 알 수 없게 되는 것. 추적이나 분석을 하려해도 사용자 서버에 한참 못 미치는 중계서버 중 하나에 머물 뿐이다. 여기에 토르를 사용하는 페이지들은 ‘.com’이 아닌 ‘.onion’이라는 도메인 주소를 사용한다. 페이지 주소도 단어나 문자가 아닌 16자리 영어와 숫자를 이용한 독특한 ‘코드’라 미리 알고 있지 않으면 찾는 것도 어렵다. 이 때문에 각종 범죄의 중계소, 또는 거래처로 악용되기도 한다. 

이를 확인하기 위해 <일요신문>은 토르 브라우저를 통해 직접 딥웹에 접속했다. 토르 브라우저에서 가장 먼저 눈에 띄는 것은 인터넷 접속이 느리다는 점이다. 마치 전화선을 이용해 ‘PC통신’을 했던 1990년대 후반으로 돌아간 것 같았다. 수천 개의 중계서버를 거치고 우회통로가 많기 때문인 것으로 보인다.      
 
딥웹에서의 검색은 보통 한글화가 된 ‘히든위키’를 이용한다. 일반 인터넷과 비교하자면 구글과 같은 검색엔진과 비슷하다. 백과사전으로 잘 알려진 ‘위키피디아’ 페이지 형태가 그대로 차용돼 있다. 히든위키는 메인페이지부터 충격적이다. 음란물 페이지들의 링크가 수십 개 걸려 있었고 마약 등 불법 거래 커뮤니티 사이트들을 소개하고 있다. 이에 더해 주의 사항으로 ‘함정 피하는 법’이라는 설명을 곁들여, 수사기관의 수사방법과 이를 우회하거나 피하는 방법을 적어 놓기도 했다.

주의 사항을 눈여겨 본 뒤, 가장 첫 번째로 사이트 주소 링크가 걸려있는 아동 음란물 페이지에 들어가 봤다. 대부분이 한글화가 된 페이지로 소개됐다. 하지만 절반 이상이 열리지 않았다. 마약, 총기 등 거래 커뮤니티도 마찬가지였다. 열리지 않는 링크 옆에는 “FBI, 또는 콥스 등 국제 수사기관에 의해 차단됐다”는 설명이 있었다. 

실제로 지난해 11월 FBI와 유로폴이 공조해 IP주소를 숨기는 기술을 사용한 웹 사이트 400여 개를 폐쇄시켰다. ‘실크로드’로 표현되는 암시장을 비롯해 마약, 총포류, 폭탄 등의 거래 사이트가 폐쇄됐다. 뿐만 아니라 아동 음란물 공유 사이트도 폐쇄 사이트 목록에 포함됐다. 앞서의 IT 보안 전문가는 “사용자들의 활동이 활발한 유명 커뮤니티 사이트 대부분이 그 대상이었다”며 “어나니머스 등 해커들의 공격으로 막힌 곳도 있다”고 말했다. 

하지만 수사기관에 의해 ‘막히지 않은 사이트’를 찾는 것은 어려운 일이 아니었다. 검색창에 음란물을 입력하니 16자리 영어와 숫자로 이뤄진 사이트 목록이 나왔다. 가장 위에 검색된 사이트 몇 군데에선 경고 없이 음란물들이 화면에 나타났다. 

모두 FBI 등에 의해 폐쇄된 사이트에서 글자 몇 개만 바꿔 그대로 올려놓은 것들이었다. 사진과 영상 등을 다운로드 받을 수 있는 방법도 소개돼 있었고, 해당 게시물 아래에는 “더 올려 달라” “감사합니다” 등 한글 댓글도 쉽게 찾을 수 있었다. 아동 음란물은 국내를 비롯해 세계 각국의 수사기관이 공유하는 추적 프로그램 ‘콥스(COPS·Child Online Protective Services)’로 IP주소와 실제 주소가 지도상에 표시될 정도로 강력히 단속하고 있지만, 이곳에서는 이를 비웃듯 유통이 활발하게 이뤄지고 있었다.

이번엔 앞서와 같은 방법으로 한국어 마약 거래 커뮤니티에 접속했다. 이 사이트에는 총 4명의 판매자가 있었는데 이들을 통해 대마초를 구입한 사람들의 후기와 대마초를 구입하는 방법, 구입할 때 주의사항 등이 담겨있었다. 해당 사이트 이름을 각각 한글과 영어로 구글에 입력해 검색해 봤지만 나타나지 않았다.

구입 절차는 복잡했다. 해당 사이트 운영자는 공지사항에 “추적을 피하기 위한 방법이다. 이것도 못하면 차라리 대마초를 하지 말라”고 경고했다. 거래 방법은 판매자에게 이메일, 또는 텔레그램 등 SNS 메신저를 통해 접촉한 후 돈을 먼저 지불하는 방식이다. 

다만 특이한 점은 돈을 지불하는 것은 대포통장 등에 계좌이체를 하는 것이 아니라 가상 화폐인 ‘비트코인’을 이용한다는 것이다. 이곳에는 비트코인을 환전하는 방법, 환전소 위치, 비트코인을 입·출금할 수 있는 ‘가상지갑’ 코드 생성 방법 등이 구체적으로 적혀 있었다. 

실제로 한 판매자와 텔레그램을 통해 접촉해 봤다. 텔레그램은 상대가 메시지를 확인하면 예약 등을 통해 해당 메시지를 바로 삭제할 수 있다. 그는 이 SNS를 통해 가격을 알려주며 “출금할 비트코인 주소를 알려달라”고 했다. “그 전에 거래 방법에 대해 알고 싶다”고 말하자 “퀵이나 던지기”라고 짧게 대답했다. 직거래를 하자고 제안했지만 판매자는 “처음 대면인데 사장님이 어떤 분인지 모르는 상태에서 나갈 수는 없다. 형사면 답이 없지 않느냐”고 말했다. 모든 메시지는 기자가 읽는 즉시 자동으로 삭제됐다. 

이에 대해 서울지방경찰청 광역수사대 김석환 마약2팀장은 “최근 토르 브라우저 등 인터넷을 통한 신종 마약 거래가 늘고 있으며, 비트코인을 통해 거래하는 것도 확인해 사이버수사대 등 관련 부서와 협조해 추적하고 있다”며 “마약 공급책은 고정돼 있는 경우가 많아 그 연결 고리를 찾는 데도 수사력을 모으고 있다”고 말했다.

총기 거래도 마약과 비슷했다. 총기 소지가 합법인 미국 사이트가 주를 이뤘지만, 일부 한국어 사이트들도 눈에 띄었다. 한 판매자는 “러시아제는 실탄 구하기도 어렵고 구형이 많아 취급하지 않는다”며 “필리핀에서 들여오거나, 부산항 등을 거쳐 일본이나 중국으로 들어가는 배에서 거래한다”고 설명했다. 비트코인만으로 거래할 수 있었으며 구체적인 구입 절차를 묻자 연락이 끊겼다. 부산의 한 경찰관계자는 <일요신문>에 “우리가 입수한 총기 밀수 첩보 가운데에도 토르 브라우저 관련 건이 있어 확인 중”이라고 밝혔다.

이밖에도 의약품, 여권·면허·학위 등 위조 서류, 위조지폐 등의 거래도 활발히 이뤄지고 있는 것도 확인할 수 있었다. 모두 영문 사이트였지만 위조 서류 등에선 국내에서 주로 쓰이는 토익, 토플 등의 거래도 눈에 띄었다. 악성코드나 맞춤형 바이러스를 제작해준다는 곳도 있었다. 

하지만 토르를 통해 접속한 딥웹에서는 어떤 것도 정확히 확인할 수 없고 그 누구도 믿을 수 없었다. 모든 것이 비정상적이었다. 거래가 활발히 이뤄지는 커뮤니티에서도 때때로 ‘사기’ 또는 ‘짝퉁’이라는 댓글이 달려 있었다. 앞서의 IT 보안 전문가는 “간혹 ‘더 불법적인 것을 숨기기 위한 위장이 아닌가’라는 의심이 들 정도로 허무맹랑하거나 충격적인 사이트, 콘텐츠 등이 많다. 깊이 파고들수록 더 알 수 없는 곳이기도 하다”고 말했다. 그는 “그만큼 안정적이지 않다는 뜻”이라며 “범죄에 악용하려 했다가 반대로 사기만 당하고 쫓겨날 수 있다”고 경고했다.

문상현 기자 moon@ilyo.co.kr
 

토르 이용 해킹·악성코드 유포 사례 청와대 홈피까지…‘잡을 테면 잡아봐’ 지난 7월 “인생은 짧다. 바람을 피워라”라는 슬로건으로 알려진 ‘애슐리매디슨’의 회원정보가 유출됐다. 스스로를 ‘임팩트 팀’이라고 부른 해커들이 애슐리 매디슨을 해킹해 회원 3789만 명의 개인 정보를 빼냈다고 주장하고 나선 것. 실제 이들은 토르를 통해 접속할 수 있는 딥웹에 일부 회원의 이름, 주소, 전화번호, 신용카드 내역 등 상세 정보를 ‘본보기’로 공개하기도 했다.    청와대 홈페이지 최근 화면. 국내에서 악성코드를 심은 ‘공격자’가 토르를 사용하기도 했다. 한국인터넷진흥원(KISA)은 지난 4월 21일 “오전 1시 40분께부터 약 9시간 동안 랜섬웨어의 하나인 ‘크립토락커’(Cryptolocker) 한국어 버전이 국내 대형 온라인 커뮤니티에서 유포됐다”고 발표했다. 공격자는 이 악성코드로 감염된 PC의 시스템 파일을 제외한 문서, 사진 등 대부분의 파일을 무단으로 암호화한 후 해독해 주는 조건으로 96시간 내에 돈을 지급하도록 유도했다. 그는 추적을 피하려고 토르를 사용하고 비트코인으로 돈을 지급하도록 했다.  지난 7월 해킹 의혹을 받은 국정원도 “토르를 이용했다”는 주장이 제기되기도 했다. <한겨레>는 지난 7월 29일 네덜란드 악성프로그램 탐지 전문 벤처기업인 ‘레드삭스’의 메일 답신을 인용해 “(국정원의 접속으로 파악된 인터넷 주소) 109개는 모두 ‘토르’(Tor)의 인터넷주소(IP address)였다”며 “(국정원의 위장 이름인) ‘5163부대’는 해킹팀 고객 지원 포털에 접속할 때 항상 토르 네트워크를 이용했는데 실제 위치를 숨기기 위한 것”이라고 보도했다. 지난 2013년 6월엔 청와대 홈페이지 화면이 변조되는 사건이 발생하기도 했다. 악성코드가 웹 하드 업체의 설치 파일인 것처럼 위장돼 유포된 것. 이 악성코드는 추가 악성코드를 내려 받고 토르를 이용하기 위한 도구를 내려 받는 역할을 했다. 또 오피스 프로그램의 매크로 기능에 토르 네트워크 도구를 내려 받고, 이를 이용해 추가 악성코드를 내려 받는 오피스 파일이 발견되기도 했다. 앞서의 IT 보안 전문가는 “‘악성코드의 온상’이라는 것은 토르의 한 단면이다. 악성코드 유포지나 경유지에 대한 차단 및 조치는 거의 불가능하다”며 “최근 토르를 통해 ‘랜섬웨어’나 좀비PC로 만드는 악성 코드도 무차별적으로 유포되고 있어 단순 호기심만으로 접속하면 위험하다. 이용하더라도 사용하는 프로그램이나 운영체제의 최신 보안 패치를 유지하고, 백신 프로그램 사용을 생활화해야 한다”고 말했다. [문]