다크웹(Dark Web)

다크웹이란?

접속 허가가 필요한 네트워크나 특정 소프트웨어로만 접속할 수 있는 오버레이 네트워크(Overlay Network)는 다크넷(Darknet)이라고 부릅니다. 다크넷 가운데, 웹만을 따로 다크웹(Dark Web)이라고 합니다. (딥웹⊃다크넷⊃다크웹, 딥웹 : 검색 엔진에 걸리지 않는 웹을 의미)

 

 

처음부터 다크웹이 범죄를 위해 고안된 것은 아니였습니다. 지구상의 몇몇 국가(중국, 시에라리온, 벨라루스, 북한 등)는 감시와 검열을 통해 개개인의 이념과 사상을 억제하고 탄압합니다. 이러한 시스템을 바꾸기 위해 도전하는 사회운동가나 언론인, 내부고발자는 일반적인 인터넷을 사용할 경우 정부기관의 추적으로 체포되어 고문받거나 살해당할 수 있습니다. 이런 사람들에게 보안과 익명, 프라이버시가 절실하게 필요했기 때문에 기관이 쉽게 추적할 수 없는 암호화된 지하 네트워크, 즉 다크웹으로 숨어들기 시작했습니다.

 

 

반면 이렇게 신념 때문에 목숨을 건 싸움을 하는 사람들 외에도 위조지폐, 무기 암거래와 같은 위험한 범죄를 저지르는 범죄자들 또한 서구권의 네오 나치도 기관의 추적을 피할 수 있는 다크웹으로 숨어들기 시작했습니다. 이런 과정에서 다크웹은 범죄자들이 불법정보를 매매하는 인터넷 암시장으로 변질되었습니다.  다크웹에는 온갖 포털 검색에도 걸리지 않는 그들만의 리그가 있으며, 그곳에서 돌아다니는 내용이란 (나쁜 쪽으로) 우리의 상상을 훨씬 넘나 듭니다. 다크웹에서는 공식적인 경로로는 구할 수 없는 상품이나 서비스, 예를 들면 불법무기류, 마약, 스너프 필름, 고어 및 소아음란물, 성착취동영상 등을 구할 수 있어 사회문제가 되고 있습니다. 또한 다크웹에서는 전세계 수십만의 신용카드번호나 테러 정보가 거래되기도 합니다. 그래서 각국의 정보기관이 다크웹 추적을 위해 많은 힘을 쏟고 있습니다. 하지만, 다크웹의 규모나 현황 정보는 추정만 할 뿐 정확히 파악하기 힘듭니다. 누구나 마음만 먹으면 다크웹에 접속하거나 사이트를 구축할 수 있기 때문입니다.

 

다크웹의 이런 특징은 어떤 원리로 동작할까요? 다크웹은 VPN(Virtual Private Network, 가상사설망)처럼 콘텐츠와 정보 제공자, 이용자 사이 통신 내용을 감청할 수 없습니다. 일종의 다중 프록시(P2P 인터넷 릴레이 채널)를 통해 서로의 IP주소가 은닉되어 있기 때문입니다. 일반적으로 특정 암호화 툴을 사용해 사이트 전체가 암호화되어있으며, 이를 보려면 해당 암호화툴을 복호화할 수 있는 커스텀 브라우저를 사용해야합니다.

 

 

그 대표적인 브라우저가 토르(TOR, The Onion Router)입니다. 일반적인 인터넷 통신은 사용자의 PC가 ISP를 통해서 목적지(서버, 또는 타 PC)에 연결해서 데이터를 주고 받는 식으로 이루어집니다. 이 경우 트래픽을 전달하는 중계자(망)가 국가, 또는 준국가 기관이기 때문에 쉽게 검열(특정 사이트 차단)을 할 수 있고, 원한다면 (원칙상 대다수의 국가에서 불법이긴 하지만) 얼마든지 누가 누구에게 통신하고 있는지를 감청할 수 있습니다. TOR는 목적지까지 한 번에 통신하지 않고, 중간에 같은 TOR 라우터를 실행하고 있는 노드들을 여러개 거쳐서 보냅니다. 즉, A→Z 가 아니라 A→B→C→D→E→Z 로 빙빙 돌려서 보내는 방식으로  통신이 진행됩니다. TOR가 일반 브라우저에 비해 심각하게 느린 이유가 바로 이 방식때문입니다. 게다가 이름(양파 라우터)처럼 패킷을 양파 껍질처럼 겹겹이 암호화 해서 보내고, 이때 각각의 노드의 공개키를 통해 암호화하므로, 패킷의 출발지와 최종 목적지를 알아내려면 거의 모든 노드를 장악해야 합니다. 예를 들면 위의 예시에서 정부기관(또는 해커)이 C 노드를 장악했다고 해도, "B에서 왔음, D로 보내시오"라는 정보밖에 알 수 없습니다. 설상가상으로 노드가 전세계에 걸쳐서 랜덤하게 흩어져 있으므로, 전세계 상당수의 PC를 장악하지 않는 이상 TOR를 이용한 통신은 사실상 추적이 불가능합니다. 출발지 근처 또는 도착지 근처의 노드가 장악당한 경우, 통신 속도를 이용해서 '바로 전(전전, 전전전..)노드가 출발지다' 또는 '바로 다음(다다음,...)노드가 도착지다'는 것을 비교적 높은 확률로 추측할 수가 있었습니다. 하지만 이것도 통신 사이 사이에 랜덤하게 딜레이를 넣어주는 기능이 추가되어서 어렵게 되었습니다. 또한, 일반적인 프록시 우회방식과 다르게 프로그래밍된 DNS 패치 등을 사용해 3중 4중으로 보호되는데, 이 때문에 오직 TOR 유저만 접속할 수 있는 일종의 인트라넷이 형성되어있습니다. 해시암호.onion 형식의 도메인을 쓰는데 일반적인 브라우저로는 표시되지 않습니다.