뭐든지 할 수 있어

다크웹이란 트래픽 추적과 네트워크 감시를 피하기 위한 정보통신 보호를 목적으로 설계되었다. 

대표적으로 tor 브라우저를 사용하게 되는데, 이는 그리 어렵지 않게 설치가 가능하기에 약간의 컴퓨터 지식만 있으면 다크웹에 접근할 수 있게 된다. 

이는 '추적이 불가능한 익명성'이라는 수식어 아래 많은 사람들의 범죄 수단이 되었다.

필자가 직접 조사를 위해 히든위키에 접속하여 확인한 결과 대다수의 사이트가 범죄와 관련된 사이트였다.

*히든위키란? 
-검색으로 접근할 수 없는 사이트들(딥웹)을 모아 둔 곳

(https://thehiddenwiki.org)

많은 사람들이 '딥웹'이라고 하면 다 토어로 접속해야 하고, 불법적인 던전이 있을 거라 기대하는데

사실 딥웹은 우리가 검색 엔진에 검색하였을 때 검색되지 않는 모든 웹을 말한다.

예를 들어 카카오톡이나, 개인 메일함 등이 있겠다.

한 층 더 분류해보면 '다크웹'이라는 개념이 나오는데, 

이게 토르 브라우저로 접속하여 온갖 불법 거래가 이뤄지는 곳을 일컫는 말이다.

오해 없기를 ^^

다크웹 검거 사례 (FBI)

제일 유명한건 '실크로드' 사건이 아닌가 싶다. 

실크로드는 토어 네트워크를 사용하여 익명으로 운영되었고,  토어 네트워크는 아까 설명했다싶이 중개 서버(relay server)를 사용하여 사용자의 ip 주소를 숨기고 사용자의 데이터를 암호화하여 보관하엿다,

또, 실크로드에서는 비트코인을 사용하여 거래가 이루어졌다. 비트코인은 블록체인 기술을 사용하여 거래 내역을 안전하게 기록했으며, 거래가 익명으로 이루어진다. 그러므로 누가 어떻게 얼마를 구매했는지 추적이 어려워졌다.

(언젠가 내가 비트코인의 블록체인 기술에 대해 완벽하게 이해하게 된다면 이에 관해서도 포스팅하겠다)

실크로드 검거 시 사용된 기술은 탐지 기술 (양방향 탐지 | bi-directional detection) 이 사용되었다. 이 방식은 사용자가 인터넷을 이용할 때, 해당 사용자와 서버 간의 송수신 패턴을 분석하여 양쪽의 신호를 감시하는 방식이다.

- 양방향 탐지에 관한 게시물은 내일 작성해보려 한다

탐지 기술 뿐만이 아니라 경찰은 실크로드를 장기 추적했다.

경찰이 사이트 내부의 관리자로 위장하여, 깊숙히 침투해 수개월동안 추적하였다고 한다

다크웹 검거 사례 (한국)

강원지방경찰청은 2017년 대마를 유통시키며 비트코인을 받아 챙긴 판매자와 대마를 구매한 70여명을 검거하였고, 2018년 서울지방경찰청은 밀반입한 마약을 다크웹에서 판매한 판매자와 구매자 80여명을 검거했다. 또, 2017년 8월 울산지방 경찰청은 약 4조 8천억원 상당의 마권을 발행해 다크웹에서 도박 프로그램을 운영한 사람들을 검거하였다.

https://news.mt.co.kr/mtview.php?no=2022082516355618162 

토르 추적 방식

이는 응용 프로그램 수준에서의 추적과 네트워크 수준에서의 추적으로 나누어진다.

응용프로그램 수준에서의 추적은 네트워크 자체의 문제에서 답을 찾는 것이 아니다. 

네트워크 사용자가 본인의 ip 주소를 실수로 노출시키거나, 멀웨어에 감염되어 토르네트워클르 거치지 않고 특정서버에 접속하는 경우 등이다. 

네트워크 수준에서의 추적은 주로 노드를 여러개 장악하여 트래픽 , 모니터링 패킷의 패턴, 시간 차를 분석하여 실제 히든서비스를 추적하는 방식이다. 

기회가 된다면 네트워크 수준에서의 추적 또한 깊게 공부해보고 싶다

익명성을 보장하기 위한 무료 오픈소스 브라우저

토어 네트워크를 사용하여 인터넷 연결을 중계하고,

사용자의 IP 주소를 숨겨준다.

비슷한 게 많다고 들었는데 아마 토어가 제일 유명한 것 같다.

정확한 발음은 토어인데, 한국 사람들은 토르라고 많이 부르곤 한다.

토르 브라우저가 추적하기 어려운 이유에는 여러가지 토르의 동작 방식들이 있다.

1. 중개 서버

토어 네트워크는 중개 서버(relay server)를 사용한다. 사용자가 인터넷에 연결할 때, 사용자의 연결 정보를 받아서 해당 정보를 다른 중개 서버로 전달한다. 이렇게 중개 서버를 거쳐서 연결이 이루어지면, 사용자의 IP 주소는 감추어지게 된다

*자발적으로 중개 서버('출입 노드 (entry node)')를 운영하는 사용자들도 있다.

사용자들의 연결이 토어 네트워크로 들어오는 곳에 위치한다. 이 노드를 통해 중개 서버 네트워크에 접속해, 익명으로 활동한다

- 이때 다중 중개 서버 경로 즉 여러 개의 중개 서버를 사용하여 사용자의 연결 정보가 하나의 중개 서버에 집중되지 않고 여러개를 걸쳐 나눠져 전달되게 한다. 이로 인해 사용자의 정보를 추적하기가 어려워진다.

-중개 서버는 무작위이다.

말 그대로 랜덤 그 자체.

+추적이 더 어려워진다

2.데이터의 전송 과정에서 암호화

데이터가 전송되는 과정에서 암호화되어버리기에 중개 서버를 거쳐 전달되는 데이터가 혹시나 노출되더라도 사용자의 정보가 드러나지 않는다.

그 외에도 중개 서버 운영자 모드 , 쿠키, 히스토리 , 캐시 등을 자동 으로 삭제하는 '개인 정보 보호 모드'  등이 있다.

일반적으로 토르의 트래픽은 세가지의 노드를 거쳐간다 (입구노드, 중간노드, 출구노드)

노드를 지날 때 마다 각각 공개키로 암호화되며, 

이때 노드는 출발지 ip (자신에게 보낸 ip) , 목적지 ip (담에 보낼 ip) 만 알기에 보안성이 더 강화된다.

예를 들어

대한민국 부산에서 접속 - 캐나다 네트워크 경유 - 아르헨티나 경유 - 미국 경유 - 일본 경유 - 베트남 경유

이런식으로 하여서 결론적으로 나는 베트남에서 접속한것으로 확인되는 것이다.

참고로 필자가 조사하기 위해 토르 브라우저를 사용해본 결과 정말 속이 터지게 느리다. 

다음 포스팅에선 다크웹 자체에 대해서 더 알아보겠다.