Dark Web

Web의 4가지 종류

사람들이 검색엔진을 통해 접근하는 웹은 실제 웹의 5% 미만에 불과합니다.

 

 

Surface Web

일반적으로 사람들이 구글, 네이버 등을 통해서 쉽게 접근할 수 있는 웹입니다. 일반적인 정보를 탐색하기 위한 용도로 사용됩니다. 검색 엔진에 의해 색인된 데이터만 포함됩니다.

 

Deep Web

일반 브라우저를 통해 접근할 수 있지만 검색 엔진에 의해 인덱싱 되지 않아 검색 엔진으로 찾을 수 없습니다. 인증 또는 특정 권한이 필요한 페이지가 대부분입니다.

• 예: 인터넷 뱅킹, 의료 기록 시스템, 기업 내부 포털 등
• 대부분 합법적인 정보로 구성되어 있으며, 개인 정보 보호와 보안을 Surface Web보다 더 중요시합니다.

 

Dark Web

Deep Web의 하위 개념으로, 특수한 브라우저와 네트워크를 통해서만 접근할 수 있는 익명성이 극대화된 공간입니다.

• 일반 브라우저로는 접속이 불가능하며, Tor, I2P 등의 특수 브라우저가 필요합니다.
• .onion 도메인을 사용하며, URL 자체가 무작위 해시 문자열로 되어 있어 추적이 어렵습니다.
• 일부 합법적인 목적(언론 보호, 표현의 자유 등)도 존재하지만, 익명성과 비추적성을 악용한 불법 활동이 빈번히 발생합니다.

*I2P : 서버에 익명으로 접근하는 Tor와 달리 사용자간 양방항 익명 통신에 특화됨

 

 

Gray Web

공격자들이 많이 사용하는 Gray Website는 겉보기에는 일반 웹사이트처럼 보이지만, 사용자에게 다크웹과 연결된 정보를 전달하거나 다크웹으로 유도하는 기능을 가진 사이트입니다. 즉, surface web과 dark web을 이어주는 중간다리 역할을 합니다.

Gray Website가 신뢰 가능한 접근 지점(Trusted Access Point) 으로 분류되기 위해서는 다음 두 가지 조건을 충족해야 합니다.

• 조건 1 : surface web과 외관이 유사해야 합니다.
• 조건 2 : surface web을 운영하는 주체랑 동일한 주체가 사이트를 운영해야 합니다.

예를 들어, Tor 네트워크에서는 누구나 .onion 주소를 만들 수 있습니다. 이 점을 악용해 공격자가 facebook과 비슷한 주소의 피싱 사이트를 만들 수 있습니다. 사용자는 이를 진짜로 착각하고 접속할 수 있기 때문에, Facebook은 직접 공식 .onion 주소를 개설하여 사용자 혼동을 방지하고 있습니다.

 

💡 .onion은 Gray Web?

아닙니다❌

.onion 도메인은 Dark Web에 속하는 주소입니다. 일반 브라우저로는 접근할 수 없고, Tor 브라우저와 같은 특수 브라우저를 통해서만 접속 가능하기 때문입니다.

하지만, .onion 주소가 일반 웹사이트(Surface Web)에 공유되거나 소개될 경우, 그 일반 웹사이트는 Gray Web으로 간주될 수 있습니다. 겉은 평범하지만 내부적으로 다크웹과 연결된 통로가 되는 사이트들이 Gray Web에 해당합니다.

즉, .onion 자체는 Dark Web이고, 그것을 소개하거나 연결하는 Surface Web이 Gray Web 역할을 하는 것입니다.

 

구분	설명	예시
Surface Web	일반 웹, 검색엔진에 노출됨	Google, Naver
Deep Web	검색엔진에 안 잡히지만 합법적	인터넷 뱅킹, 병원 포털
Dark Web	익명 브라우저(Tor 등) 필요	.onion 사이트, 불법 마켓
Gray Web	겉은 일반 웹처럼 보여도 다크웹 연결 통로 역할	일반 포럼에 .onion 주소가 있음

 

---

 

Onion Service Address

.onion 도메인은 Tor 네트워크 상에서만 접근 가능한 **Top-Level Domain (TLD)**입니다. 일반 브라우저에서는 접속이 불가능합니다.

TLD (Top Level Domain)

.onion 으로 Tor 네트워크에서만 동작하는 도메인입니다. 일반 브라우저에서는 접속이 불가능합니다.

 

2LD (Second Level Domain)

.onion 주소의 앞부분입니다. 서비스의 공개키에서 파생된 값인데요. Tor v3 기준으로 56자(256비트 공개키 + 체크섬, 버전정보 등) 로 이루어져 있습니다.

• 예시 : facebookcorewwwi.onion, protonirockerxow.onion

주소값이 기본적으로 임의의 문자열 처럼 보이지만 어떤 onion주소들을 보면 의미있는 단어처럼 보이는 경우가 있지만 실제로는 공격자가 랜덤하게 만들어지는 2LD domain이름을 만들기 위해 brute-force한 방법으로 많은 노력을 한 결과 입니다.

 

---

 

Dark Web의 실제 사용 사례

합법적 사용

• 언론의 정보 보호: 내부 고발자(whistleblower), 언론사 보호 목적.
• → 예: WikiLeaks, SecureDrop, ProPublica의 onion 서비스 등
• 검열 회피 목적: 표현의 자유 보장을 위해 사용하는 경우

 

불법적 사용

• 마약 및 무기 거래: Silk Road, AlphaBay 등의 사례
• 해킹툴, 개인정보 유통: 유출된 계정 정보, 금융정보, 랜섬웨어 키 판매
• 불법 콘텐츠 유통: 아동 착취물, 폭력 콘텐츠 등

 

불법거래의 절차

불법 거래는 익명성 보장을 위한 Tor 네트워크 + 암호화폐 조합을 통해 이루어집니다.

• Tor Services : Tor network을 이용해서 web service 를 운영하면 익명 routing을 하므로 누가 접속하는 지 모른다.
• Cryptocurrency : 블록체인 기반 디지털 지갑이며 개인의 계좌나 지갑 정보를 본인이 생성한 public key 또는 private key에 의존해서 생성하므로 본인의 신원을 특정하기 어렵다. 비트코인, 모네로 등이 있다.

 

 

1. 범죄자는 거래하려는 물건을 dark web에 올리고 surface 또는 deep web에 광고를 게시한다.
2. 고객들이 게시물을 발견하고 접속하게 된다.
3. 물건을 거래할 때, Cryptocurrency가 사용된다.
4. 범죄자가 제공하는 지갑 주소를 받으면 고객들이 입금하고 범죄자가 상품을 발송하거나 디지털 정보를 제공한다.

 

Dark Web 모니터링과 대응

• Tor 네트워크의 익명성을 뚫기 위해 Tor Exit Node 분석, 잠입 수사, 운영 서버 위치 추적 등의 기법을 활용합니다.
  • 단기간에 이루어지지 않고, 수개월~수년에 걸친 장기 추적을 통해 가능해집니다.
• 글로벌 보안 솔루션 기업들은 다크웹을 크롤링하거나 머신러닝 기반 분석 도구를 이용해 위협 정보를 수집합니다.
  • "다크웹 모니터링 서비스" 를 통해 기업 고객의 이메일, 계정 정보, 내부 문서가 유출되었는지 실시간으로 탐지합니다.

 

기업명	특징
Recorded Future	머신러닝 기반 실시간 위협 감지, 전방위 수집
DarkOwl	다크웹 중심 크롤링 & 인텔리전스 제공
KELA	사이버 범죄자의 패턴 분석 및 예측에 특화

 

---

 

결론

다크웹은 익명성과 보안성이 강력한 만큼, 표현의 자유를 지키는 공간이 될 수도 있지만, 동시에 불법 거래와 범죄가 이뤄지는 위험한 공간이기도 합니다.

이러한 양면성 때문에 정부와 보안 기업들은 다크웹을 추적하고 대응하는 기술을 계속 발전시키고 있으며, 위협을 조기에 감지하려는 노력이 이루어지고 있습니다.