텔레그램·다크웹 속 범죄자 어떻게 찾아낼까

n번방 사건처럼 텔레그램,다크웹 등 익명성이 강화된 인터넷 서비스를 악용하는 사이버범죄가 사회 문제로 대두됐다. 이에 기술적 수사 가능성에 대한 관심이 집중되고 있다.

텔레그램은 익명성을 강조하며 등장한 메신저 서비스다. 텔레그램은 이용자에게 휴대폰 번호 외 어떤 정보도 요구하지 않는다. 종단 간 암호화를 통해 발신자와 수신자만 메시지 내용을 확인할 수 있게 하는 '비밀 채팅' 기능을 내세운다. 메시지 로그는 서버에 저장되지 않고, 사용자가 읽은 메시지는 일정 시간 이후 발신자와 수신자 기기에서 삭제된다.

다크웹은 일반적인 검색 엔진으로는 찾을 수 없고, 전용 브라우저 등을 사용해야 접근 가능한 웹이다. 접근 수단 중 가장 알려진 것은 '토르'다. 토르는 암호화 접속으로 여러 네트워크를 거치면서 사용자의 IP 주소가 드러나지 않도록 해준다.

사용자 신원을 보호해주는 서비스 특성 탓에 범죄 행위가 나타나더라도 수사가 어렵다는 인식이 일반적이다. 그러나 다크웹, 텔레그램 등 익명 서비스 사용자를 기술적으로 추적하는 것이 불가능하지만은 않다는 게 보안업계의 시각이다.

■"텔레그램 수사, 연락처 동기화 기능·디지털 포렌식 활용 가능"

텔레그램은 서비스 이용 과정에서 휴대폰 번호, 이메일 등 개인정보를 외부에 공개할 필요가 없다는 점 때문에 범죄 수단으로 악용되는 정황이 나타나고 있다. 특히 최근 텔레그램 대화방 입장료를 받고 미성년자 성 착취물을 유포한 'n번방' 중 하나를 운영한 혐의를 받는 조주빈㉔씨가 구속되면서 수사가 가속화될 수 있을지 관심이 크다.

n번방 사건처럼 단체 대화방에 참여한 전원을 수사해야 할 때, 참여자의 휴대폰 번호를 찾아낼 방법이 없진 않다.

텔레그램은 사용자가 휴대폰 번호를 비공개로 설정했더라도, 대화방 참여자가 이 사용자의 번호를 휴대폰 연락처에 등록해둔 상태라면 휴대폰 정보를 연계해 보여준다. 대화방에 일단 잠입한 후, 대량의 전화번호 목록을 휴대폰에 등록하면 대화방 참여자의 휴대폰 번호를 알아낼 수도 있는 것이다. 다만 '대포폰' 등을 활용했을 경우엔 휴대폰 번호를 알아낸다 하더라도 실제 사용자의 신원을 파악하기는 어려울 수 있다.

디지털 포렌식을 활용하는 방법도 있다. 보안업계 관계자는 "휴대폰, PC 등 대화방 운영자의 기기를 대상으로 디지털 포렌식 작업을 수행하면 기기에 자동 삭제되지 않고 남아 있는 대화방 기록, 입장료 입금 내역 등을 확인할 수도 있을 것"이라며 "특히 n번방 중 고액의 입장료를 받은 대화방의 경우 은밀한 운영을 위해 운영자가 전체 대화방 참여자에 대한 신원확인을 거쳤기 때문에 수사 정보 수집에 용이할 것"이라고 설명했다.

업계 다른 관계자도 "운영자의 휴대폰을 압수해 텔레그램 계정 정보를 확인하고, 로그인을 할 수 있다고 가정하면 자동 삭제 되지 않은 경우에 한해 메시지 내역을 알 수 있을 것"이라며 "메시지 내역에서 상대방의 휴대폰 번호가 드러나 있다면 신원 파악이 가능하겠지만, 단순히 대화명만 언급된 정도라면 신원 파악이 어려울 것"이라고 언급했다.

이번 사건처럼 암호화폐를 통한 거래 행위가 이뤄졌을 경우 거래 현황을 추적하는 방법도 존재한다. 다만 암호화폐 거래 내역을 추적한다 해도 실제 신원 파악까지 가능하려면 추가 정보 수집이 필요하다.

허준범 고려대 교수는 "암호화폐 거래 흔적이 있다면 '클러스터링' 기법을 활용해 어느 정도 추적이 가능하지만, 믹싱(암호화폐 값을 다른 코인과 섞어 시간을 두고 전송하게 해 유통 정보를 감추는 기법)이 돼 있다 하면 추적이 매우 어려워진다"며 "클러스터링이 된다고 해도 현실에서 암호화폐 소유자를 찾아내는 것은 별개의 문제로, 암호화폐가 어떤 지갑에 속했는지 주소를 찾아내도 이 지갑의 소유자를 찾으려면 일반 웹 상에서의 정보를 갖고 교차 검색 또는 추적을 실시하는 등의 추가적인 접근이 필요하다"고 덧붙였다.

보안업계 관계자는 "암호화폐 거래 내역을 추적하기 어려운 건 맞지만 입수한 암호화폐를 현금화하기 위해 거래소를 이용한 현황 등이 포착되면 신원 확인이 가능할 수도 있다"며 "조씨가 운영한 '박사방'의 경우 입장료가 150만원이었는데, 이처럼 일정한 금액만 입금되는 계좌를 추적하는 식의 방법도 시도할 수 있다"고 말했다.

■일반 웹 정보와의 교차 분석 통해 다크웹 사용자 이메일 찾아내기도

다크웹도 음란물, 개인정보, 해킹 도구 거래 등 다양한 불법 행위가 이뤄지는 사이버 공간으로 악용되는 상황이다. 텔레그램과 마찬가지로, 접근하는 모든 이용자들을 완벽히 추적하긴 어렵다. 그러나 다양한 정보들과의 연계 분석을 수행하면 신원 확인의 여지가 있다.

보안업계 관계자는 "원칙적으로는 다크웹 이용자를 찾기 어렵지만, 다크웹 상의 설정 실수나 취약점을 이용해 IP나 이메일 정보를 알아낼 수 있는 기술들이 존재한다"며 "의지가 강력한 일부 해외 수사 당국에서는 다크웹 상에 악성코드를 심어 범죄자를 찾아내기도 한다"고 언급했다.

한성원 에스투더블유랩 상무는 "다크웹 상에 게재된 내용을 수집해 데이터베이스로 구축한 뒤 일반 웹 데이터나 암호화폐 지갑 주소 등과의 교차 분석을 통해 특정 사용자에 대한 행위 내역을 추적하는 기술을 보유하고 있다"며 "신원확인까지는 어렵지만 특정 사용자가 타 사이트의 어떤 계정을 쓰는지도 확인이 가능한 경우도 있었다"라고 답했다.

허준범 교수는 "다크웹을 분석하기 위해서는 일단 다크웹에 접근하기 위한 별도의 다크웹 검색 기술이 필요하다"며 "다크웹에 접근한 이후부터는 다양한 방법들이 가능한데, 먼저 다크웹 상의 웹 취약점으로 인해 개인을 특정지을 수 있는 이메일 주소나, 이메일 암호화에 사용되는 PGP 키, 비트코인 등의 암호화폐 주소 등이 드러날 수 있다"고 설명했다.

관련기사

이어 "이런 정보를 바탕으로 일반 웹 등과의 교차 검색을 통해서 얻을 수 있는 정보가 있다면 이 또한 개인을 특정짓는데 활용할 수도 있다"며 "간혹 비트코인 주소의 소유자를 분석해 해당 소유자를 찾아낼 수도 있다"고 첨언했다.

다만 다크웹을 통해 IP 주소를 완벽히 찾아내는 것은 토르의 무력화를 전제로 하기 때문에 현실적으로 불가능하다고 봤다.