국내에서 익명 네트워크인 다크웹과 암호화폐 거래 서비스 이용자 추적 기법을 연구한 결과가 나왔다. 온라인에서 신원을 숨기려 하는 사이버 범죄자 추적과 수사에 활용될 수 있을지 주목된다.
지난달 30일 서울 고려대학교에서 열린 'IoT 큐브 컨퍼런스 2019'에서 허준범 고려대학교 컴퓨터학과 교수가 발표한 내용이다.
허준범 고려대 교수는 SW보안국제공동연구센터(CSSA) 연구 성과 발표 세션에서 이같은 내용을 소개했다.
■"한국어 기반 다크웹 사이트, 실질적으로 3개"
다크웹은 일반적인 검색 엔진으로는 찾을 수 없어 주로 불법적인 정보가 거래되는 심층 웹이다. 네트워크가 익명화되기 때문에 범죄자의 IP 추적이 어렵다.
국제전략연구소에 따르면 다크웹 전용 브라우저 '토르'를 이용한 불법 거래 사이트 중 마약 거래, 불법 금융,극단주의, 음란물 등이 주요한 비중을 차지했다.
다크웹 이용 현황을 연구하기 위해 허준범 교수는 다크웹 콘텐츠 크롤링용 웹 로봇을 개발, 다크웹 내 범죄 사이트 도메인과 콘텐츠를 수집, 색인, 검색하는 시스템을 구축했다.
이를 통해 다크웹 범죄 사이트를 유형별로 분류하고, 딥웹의 위키 사이트인 히든위키와 다크웹 사이트에서 홍보·검색되는 범죄 사이트를 수집하는 방식으로 접근 패턴을 연구해 초기 수집 대상을 선정했다. 사이트별로 내용을 추출하고, 웹 화면은 이미지 파일로 변환해 저장했다.
지난 2017년부터 2년간의 다크웹 분석 과정에서 허 교수는 사이트 3천여개, 58만6천여개 웹페이지에 대한 정보를 수집했다. 그 중 1천500개 사이트의 정보 수집율이 90%를 기록했다고 밝혔다.
다크웹 범죄자 프로파일링 시스템도 개발했다. 새 활동이 발생하면 범죄 특성치 정보를 추출해 구문 형태소를 토큰화하고, 유해정보를 파싱한다. 이를 통해 범죄 용어와 유해정보를 추출하고 범죄 특성 정보를 생성하게 된다.
허 교수는 "우리나라 중심으로 프로파일링을 실시했을 때 10개 내외의 사이트가 도출됐다"며 "그 중 실질적으로 큰 거래가 이뤄지고 사용 데이터가 많은 사이트는 3개 미만이며, 사이트 하나가 두드러지는 경향을 보였다"고 설명했다.
이어 "다크웹 이용자의 신원을 다크웹 내에선 알 수 없지만, 일반적으로 접근 가능한 '서피스웹'에서 얻은 정보와 결합하면 보다 세밀한 신원정보를 얻을 가능성이 높아진다"고 덧붙였다.
■암호화폐 믹싱 거래 내역 추적 기술 개발..."기술 이전 중"
불법 암호화폐 거래 추적에 대해 허 교수는 "상당한 난제"라며 "비트코인(암호화폐) 자체가 익명성을 특징으로 하고 있기도 하고, 특히 코인 유통 정보를 알 수 없게 하는 '믹싱' 때문에 더 어렵다"고 설명했다.
믹싱을 이용해 비트코인을 송금할 경우 비트코인 값을 다른 코인과 섞어서, 어느 정도의 시간을 두고 수수료를 차감한 뒤 전송하게 돼 유통 정보가 드러나는 것을 막는다.
허 교수는 블록체인에 있는 모든 거래 입·출력 내용을 분석하는 방법을 택했다.
우선 공개된 비트코인 주소들을 웹사이트 포럼 등에서 수집하고, 알고리즘을 이용해 동일한 사람의 지갑으로 모았다. 이 결과 평균 7.32개의 주소가 하나의 지갑으로 묶였다.
이후 믹싱 서비스의 입·출력 내용을 토대로 출력 시간, 비트코인 값을 기준으로 연관성 없는 출력 거래를 제했다. 입력 시간보다 앞서 출력되거나, 입력된 비트코인 값보다 많은 경우를 제거하는 식이다.
관련기사
- 美 SEC "암호화폐도 증권법 예외 없어"2019.09.02
- "블록체인 가이드라인 없으면 선진국 힘들다"2019.09.02
- 페북 리브라 등장에 10살 된 블록체인 갈림길 섰다2019.09.02
- "사이버범죄 대응 첩보, 다크웹에서 찾겠다"2019.09.02
조건을 만족하는 출력 거래들로 가능한 조합들을 계산해 1개만 남으면 해당 내용을 빼고 다시 이같은 절차를 수행해 조합을 찾아내는 식으로 알고리즘을 구성했다.
비트코인이 매우 세밀한 단위까지 유효 숫자로 표현되기 때문에 해당 알고리즘으로 정확도 높은 분석이 가능했다는 설명이다. 실험 결과 총 700개 텍스트 데이터 중 694개의 데이터 조합이 도출됐다. 허 교수는 "99.14%의 정확율을 보였다"며 "현재 기술 이전 중"이라고 말했다.