none028

한국 다크웹에서 첫 마약 딜러 / 구매자 검거

해당 한국 다크웹 사이트는 베리마켓이다. 베리마켓에 대한 내용은 [Projects] 한국 다크웹 - 02. 한국 다크웹 마켓 및 거래 방식 정리를 참고하도록 한다. 

한국 다크웹 사이트인 베리마켓에서 활동 중인 딜러 / 구매자가 검거된 사례이다. 관련 기사의 핵심 내용은 이러하다. [1]

최씨 등 마약 구매자들은 지난해 8월부터 올해 8월까지 1년간 '베리마켓'이라는 이름의 딥웹 사이트에서 모두 합해 대마 5.513㎏, LSD 689장, 몰리 80g, 코카인 50g을 사들여 투약한 혐의를 받고 있다.

정모(27·구속)씨는 마약을 구매하다가 직접 재배하면 더 많은 이익을 챙길 수 있을 거라고 판단해 지난해 11월부터 올해 6월까지 강원 철원군에서 주택을 임대해 대마 40여 주를 재배해 팔아 2천만원의 이득을 챙긴 혐의도 받는다.

이 후, 베리마켓이 사라지고 난 다음, 베리마켓을 사용하던 일부 사용자들이 시기 상, 새로 생긴 동부전선과 하이코리아로 넘어갔을 것으로 추정된다. 두 사이트 모두 마약을 판매하며, 동부전선은 종합 마켓이며, 하이코리아는 대마초 전문 마켓이다.

다크 웹에서 발견된 XX대학교 사이버 교육 시스템 내, 개인정보 유출 사건

한국인터넷진흥원에 개인정보 유출 사건을 제보한 익명의 제보자에 따르면, 토르 네트워크에 있는 다크 웹 모니터링 서비스 Freshonion을 통해 한국 다크 웹을 모니터링하는 과정에서 학생 찾기 – 검색 이라는 title을 가진 한국 다크 웹을 발견하였다고 한다.

발견 당시, 경찰의 수사 과정을 통해 2016년 3월, 특정 대학교의 사이버 교육 시스템에서 해커가 총 4만 3천여명의 개인정보를 유출한 것으로 확인되었다고 한다. 학생 찾기 – 검색 운영자는 해당 대학교의 석사 과정에 재학중인 학생이였으며, 개인 VPN 서버를 통해 토르 네트워크 내에서 한국 다크 웹을 운영 중이었다.

자세한 사건의 경위와 내용은 에서 대전대학교 해킹범 검거... 4만 3,413명 개인정보 유출 확인할 수 있다. [2]

아동 성애 포르노 판매, 웰컴 투 비디오 운영자 검거

웰컴 투 비디오의 운영자는 아동 성애 포르노를 비트코인을 이용하여 판매하고 수익을 얻었다. 하지만 다크 웹을 운영하던 도중, 웹 사이트의 소스에서 비디오를 업로드 하는 스크립트에서 서버로 전송하는 form을 체크하는 부분에서 실제 웹 사이트 운영 서버의 IP가 노출되었다.

결국 운영 서버의 IP를 이용하여 운영자가 한국 충남 당진시 한 아파트에서 해당 사이트를 운영하고 있는 것으로 밝혀지고, 한국 경찰청과 미국 국토안보수사국(HSI), 영국 국가범죄청(NCA) 등 32개국 수사기관이 공조하여 웰컴 투 비디오의 운영자 및 사용자 310명의 신원을 추적해내는데 성공하였다.[3]

참고 자료

[1] 연합뉴스, 인터넷 암시장에서 비트코인으로 마약 구매…80명 검거 https://www.yna.co.kr/view/AKR20161019037600004

[2] 보안뉴스, 대전대학교 해킹범 검거... 4만 3,413명 개인정보 유출 https://www.boannews.com/media/view.asp?idx=69215&page=1&kind=1

[3] 중앙일보, 희대의 아동포르노···세계 경악케한 한국인 죗값 https://news.joins.com/article/23612197

수염 대회 참가로 인해 검거된 드림 마켓 운영자

Miami Herald의 Nabbed on way to beard-growing contest, 'OxyMonster' to plead to drug charge in Miami [1] 기사에 따르면, Gal Vallerius는 프랑스 출신의 붉은 수염을 가진 38세 남성이다. 다크 웹에서 그의 닉네임은  OxyMonster로 코카인, 헤로인 등을 포함한 불법 마약 시장인 드림 마켓 (Dream Market)의 관리자로 활동하였다. 

DEA ( Drug Enforcement Administration )는 Gal Vallerius를 검거하기 위해 마약을 판매하는 딜러로 부터 직접 마약을 구매하여 OxyMonster가 거래 시에 특정 비트코인 주소만 사용한다는 단서를 확보하였다.

그들은 곧 특정 비트코인 주소에서 들어오고 나가는 거래를 분석하였고, 비트코인 거래의 대부분이 Localbitcoins.com에서 Vallerius로 갔다는 것을 발견하였다.

또한, OxyMonster가 Gal Vallerius라는 여러 가지의 단서 중 하나인 온라인 상에서의 글쓰기 스타일은 Gal Vallerius의 인스타그램, 트위터 계정에서의 글쓰기 스타일과 OxyMonster의 글쓰기 스타일을 비교한 결과, “cheers”라는 단어를 사용하는 것과 빈번하게 사용하는 따옴표 및 프랑스 관련 게시물을 통해 많은 유사점을 발견하였다고 한다.

 그 결과, Gal Vallerius는 텍사스의 오스틴에서 열리는 수염 대회에 참가하러 가던 도중, 2017년 8월 31일 미국 애틀란타에서 체포되었다.

[1] Miami Herald, Nabbed on way to beard-growing contest, 'OxyMonster' to plead to drug charge in Miami

https://www.miamiherald.com/news/local/crime/article212144194.html

한국 다크 웹 마켓

전체 다크 웹 중, 한국어로 운영되는 다크 웹이 차지하는 비중은 그리 크지 않다. 하지만 불과 4년 사이에 크고 작은 한국 다크 웹 마켓들이 생겨나고, 사라지고, 이슈화되고, 실제 운영자, 구매자와 판매자가 검거된 사례가 기사화되고 있다.

토르네트워크에 접속한 한국인 사용자의 수도 2016.02.20 – 2020.02.20 사이에서 2016년의 중순 쯤 대폭 감소한 다음, 2017년 하순부터 꾸준히 증가한 사실을 확인할 수 있다. 본 포스트에서는 2016년을 기준으로 생성된 한국 다크 웹에 대한 내용을 다루고자 한다.

[1] 베리마켓

베리마켓은 한국 다크 웹 중, 아동 포르노를 제외한 모든 품목을 판매하는 것을 처음으로 시작한 블랙 마켓이다. 아래 베리마켓 규칙에 의하면, 베리마켓 내에서 활동을 하기 위해서는 반드시 등업 과정을 거쳐야하고, 거래 시에는 이메일, 카카오톡, 텔레그램 등과 같은 표면 웹에서 사용되는 프로그램이 아닌 GPG 암호화를 통한 거래 방식을 이용할 것을 당부한다.

 베리마켓은 처음으로 모든 품목을 판매한 블랙 마켓이지만, 처음으로 다크 웹의 블랙 마켓에서 활동한 판매자와 구매자가 검거된 블랙 마켓이다. 현재 베리마켓은 존재하지 않고, 폐쇄된 상태이다. 

[2] 하이코리아

하이코리아는 한국 다크 웹에서 가장 오래된 마약 판매 마켓이며 아직까지도 거래가 활성화되어 있는 마켓이다. 아래 로그인 페이지에서 로그인 계정 없이도 접근할 수 있는 게시판이 5개 정도 활성화되어 있으며, 5개의 게시판에서는 잡담과 공지에 대한 내용들을 포함하고 있다.

다음 그림은 하이코리아 회원 등급에 대한 정보이다. 보통 일반적으로 등업 신청을 하면 가장 처음에 주어지는 등급이 하이코리아 Marine 이다. 하이코리아에서는 총 8가지의 회원 등급이 존재한다. 회원 등급별 설명은 아래와 같다.

회원 등급에 따라 활성화되는 게시판의 수도 다르다. 하이코리아 Marine 은 일반 정회원에 해당되는 등급이다. 대마초에 대한 후기, 재배 방법에 대한 정보를 얻을 수 있으며, 3개월 이상 활동 후에는 그림 3과 같이 SCV 마켓과 HIGH 경매 포럼에 접근할 수 있는 권한을 가진 하이코리아 Ghost 로 등업 신청을 할 수 있는 게시판이 활성화 된다.

Ghost 등업 조건에서 보이는 글은 하이코리아 Marine 으로 등업 후, 활성화되는 게시판에 있는 글 중 하나이다. 다음은 대마초 재배 방식을 공유하는 대마재배 게시판이다. 실제 대마초와 같은 마약과 관련된 재배방법, 재배용품, 재배사진과 재배강좌와 같이 다양한 하위 포럼들로 이루어져 있다.

[3] 666 LETOM

666 LETOM은 베리마켓과 같이 아동 포르노를 제외한 모든 품목을 판매하는 블랙 마켓이다. 정회원으로 등업하기 위해 진행되는 등업 신청 방식은 하이코리아의 등업 신청 방식과 유사하다. 현재 666 LETOM은 존재하지 않고, 폐쇄된 상태이다.

[4] 동부전선

동부전선은 베리마켓 다음으로 가장 큰 규모의 대형 종합 마켓이다. 베리마켓은 아동 포르노를 제외한 모든 품목을 판매하였지만, 동부전선에서는 아동 포르노까지 포함한 모든 품목을 판매하였다. 회원 가입을 위해서 동부전선에서 활동하는 판매자를 통해서만 받을 수 있는 리퍼러 코드가 필요하다. 현재 동부전선은 존재하지 않고, 폐쇄된 상태이다.

[5] 천리안

천리안은 현재 하이코리아와 같이 마약을 판매하는 마켓이다. 다른 마약 판매 사이트와는 달리, 마약 거래에 필요한 GPG의 개념과 사용법 숙지, BTC 지갑 준비에 대해 상세하게 안내하는 공지 글을 볼 수 있다.

등업 신청 시에는 운영자가 질문하는 질문에 대한 답변을 PGP 공개키로 메세지를 암호화하여 작성해야 한다. 등업 신청에서 답변이 필요한 질문은 총 2가지이다.

다음 문단에서는 한국 다크웹에서 마약을 거래하는 방식과 자금 추적을 피하기 위해 가상화폐를 세탁하는 방식을 다루고자 한다.

한국 다크 웹에서의 마약 거래 방식

[1] 한국 다크 웹 거래 방식

한국 다크 웹 내에서의 구매자와 판매자의 거래 방식은 크게 두 가지, 다이렉트와 에스크로로 나뉜다. 이 중, 제 3자 (중개자)를 통해 거래하는 에스크로 방식을 도입한 마켓의 안전도가 구매자와 판매자가 바로 거래하는 다이렉트 방식보다 안전하다.

[2] 일대일 거래 방식

다이렉트: 다이렉트는 중개자없이 구매자와 판매자가 직접 거래하는 방식이다. 구매자가 판매자에게 지불한 후에는 판매자가 구매자에게 던지기 방식으로 마약을 전달한다.

[3] 제 3자를 통한 거래 방식

에스크로[1]: 에스크로는 구매자와 판매자 사이에 제3자가 중개자로서 구매 대금을 임시로 맡은 다음, 거래가 성사된 후에 중개자가 판매자에게 구매 대금을 전달하는 방식이다. 중개자가 판매자에게 구매 대금을 전달한 후에는 판매자가 구매자에게 던지기 방식으로 마약을 전달한다.

*보통 중개자가 5% 정도의 수수료를 가져간다.

*던지기: 판매자가 임의의 장소에 마약을 두고, 구매자에게 주소와 위치를 알려준 다음에 구매자가 찾아가는 방식이다. 예) xx시 xx동 XX빌라 앞, 자전거 바구니

한국 다크 웹에서의 가상화폐 세탁 방식

다크 웹에서는 비트코인, 이더리움, 모네로 등과 같은 가상화폐를 활용하여 거래한다. 물론 가상화폐가 익명성이 보장된다는 점 때문에 주로 사용하지만, 혹시 모를 상황을 위해 가상화폐 믹싱 서비스를 제공하는 사이트가 존재한다.

“한국 다크 웹에서는 어떤 가상화폐 믹싱 서비스가 있었을까?” 라는 의문을 시작으로 한국 다크 웹에서 서비스되었던 가상화폐 믹싱 서비스들을 크게 두 가지로 정리한다.

[1] 마켓 내, 회원전용 서비스

하이코리아의 운영자 Neo는 비빔밥 게시판에서 비트코인 믹싱 서비스를 회원들에게 제공하였다.

현재 하이코리아에서 비트코인 믹싱 서비스 (비빔밥)는 제공하지 않고 있다.

비트코인 믹싱 서비스를 제공할 당시, 아래 사진과 같이 제목 (“비빔밥 한 그릇”)과 PGP키를 활용하여 비트코인 믹싱을 한 다음에 받을 비트코인 지갑 주소를 작성하여 비빔밥 게시판에 등록하면 비트코인 믹싱 서비스를 신청할 수 있다.

[2] 비트코인 믹싱 전문 사이트

LAVADORA는 비트코인 믹싱 서비스를 제공하는 한국 다크 웹 사이트이다. 회원제로 운영되며, 해당 서비스에 가입한 회원들의 정보를 열람할 수 있다. 하지만 사이트의 운영 기간이 짧아 히든위키 코리아에는 기록된 데이터가 없다. 현재 LAVADORA는 존재하지 않고, 폐쇄된 상태이다.

[1] docker stats [docker guide]

Display a live stream of container(s) resource usage statistics

실시간으로 컨테이너들이 시스템에서 사용 중인 리소스를 보여준다.

• CPU 사용량 | Memory 사용량 & Limit | I/O | PID

docker stats {컨테이너명} {컨테이너 ID} 

• CPU 사용량 | Memory 사용량 & Limit

docker stats --all --format "table {{.Container}}\t{{.CPUPerc}}\t{{.MemUsage}}" {컨테이너명} {컨테이너명} {컨테이너명}

[2] Runtime options with Memory, CPUs, and GPUs [docker guide]

By default, a container has no resource constraints and can use as much of a given resource as the host’s kernel scheduler allows. Docker provides ways to control how much memory, or CPU a container can use, setting runtime configuration flags of the docker run command. This section provides details on when you should set such limits and the possible implications of setting them.

Many of these features require your kernel to support Linux capabilities. To check for support, you can use the docker info command. If a capability is disabled in your kernel, you may see a warning at the end of the output like the following:

WARNING: No swap limit support

Consult your operating system’s documentation for enabling them. Learn more.

기본적으로 컨테이너에는 리소스 제한이 없으며 호스트의 커널 스케줄러가 허용하는 한 지정된 리소스를 많이 사용할 수 있습니다. Docker는 docker run command 의 런타임 플래그를 통해 컨테이너가 사용할 수있는 메모리 또는 CPU 양을 제어하는 ​​방법을 제공합니다. 이 섹션에서는 이러한 제한을 설정해야하는 시기와 설정의 의미에 대해 설명합니다.

이러한 기능 중 다수는 Linux 기능을 지원하기 위해 커널이 필요합니다. 지원 여부를 확인하기 위해 docker info명령을 사용할 수 있습니다 . 커널에서 기능이 비활성화 된 경우 다음과 같이 출력 끝에 경고가 표시 될 수 있습니다.

메모리 액세스 제한 (커널 메모리 설명도 있지만 여기선 다루지 않았습니다.)

• -m or --moemory= 

컨테이너가 사용할 수있는 최대 메모리 양. 이 옵션을 설정하면 허용되는 최소값은 4m(4MB)입니다.

• --memory-swap*

이 컨테이너가 디스크로 스왑 할 수있는 메모리 양입니다. 자세한 --memory-swap내용을 참조 하십시오 .

• --memory-reservation

--memoryDocker가 호스트 시스템에서 경합 또는 메모리 부족을 감지 할 때 활성화되는 것보다 작은 소프트 한계를 지정할 수 있습니다. --memory-reservation를 사용하는 경우, 우선 순위 --memory보다 낮게 설정해야합니다. 한계이므로 컨테이너가 한계를 초과하지는 않습니다.

CPU

기본 스케줄러 구성

• 초당 최대 CPU 50% (docker 1.13 이상)

docker run -it --cpus=".5" ubuntu /bin/bash

-cpus="1.5"하면 컨테이너는 최대 1/5의 CPU를 보장합니다. 이것은 설정 --cpu-period="100000"과 동일합니다.

• docker 1.12 이하

docker run -it --cpu-period=100000 --cpu-quota=50000 ubuntu /bin/bash

• --cpu-period CPU CFS 스케줄러 기간

--cpu-quota. 기본값은 100 마이크로 초입니다. 대부분의 사용자는 이것을 기본값에서 변경하지 않습니다.

• --cpu-quota CPU CFS 할당량

--cpu-period컨테이너 당 제한 시간 (마이크로 초) 은 제한 전에 제한됩니다.