none028

한국 다크웹에서 첫 마약 딜러 / 구매자 검거

해당 한국 다크웹 사이트는 베리마켓이다. 베리마켓에 대한 내용은 [Projects] 한국 다크웹 - 02. 한국 다크웹 마켓 및 거래 방식 정리를 참고하도록 한다. 

한국 다크웹 사이트인 베리마켓에서 활동 중인 딜러 / 구매자가 검거된 사례이다. 관련 기사의 핵심 내용은 이러하다. [1]

최씨 등 마약 구매자들은 지난해 8월부터 올해 8월까지 1년간 '베리마켓'이라는 이름의 딥웹 사이트에서 모두 합해 대마 5.513㎏, LSD 689장, 몰리 80g, 코카인 50g을 사들여 투약한 혐의를 받고 있다.

정모(27·구속)씨는 마약을 구매하다가 직접 재배하면 더 많은 이익을 챙길 수 있을 거라고 판단해 지난해 11월부터 올해 6월까지 강원 철원군에서 주택을 임대해 대마 40여 주를 재배해 팔아 2천만원의 이득을 챙긴 혐의도 받는다.

이 후, 베리마켓이 사라지고 난 다음, 베리마켓을 사용하던 일부 사용자들이 시기 상, 새로 생긴 동부전선과 하이코리아로 넘어갔을 것으로 추정된다. 두 사이트 모두 마약을 판매하며, 동부전선은 종합 마켓이며, 하이코리아는 대마초 전문 마켓이다.

다크 웹에서 발견된 XX대학교 사이버 교육 시스템 내, 개인정보 유출 사건

한국인터넷진흥원에 개인정보 유출 사건을 제보한 익명의 제보자에 따르면, 토르 네트워크에 있는 다크 웹 모니터링 서비스 Freshonion을 통해 한국 다크 웹을 모니터링하는 과정에서 학생 찾기 – 검색 이라는 title을 가진 한국 다크 웹을 발견하였다고 한다.

발견 당시, 경찰의 수사 과정을 통해 2016년 3월, 특정 대학교의 사이버 교육 시스템에서 해커가 총 4만 3천여명의 개인정보를 유출한 것으로 확인되었다고 한다. 학생 찾기 – 검색 운영자는 해당 대학교의 석사 과정에 재학중인 학생이였으며, 개인 VPN 서버를 통해 토르 네트워크 내에서 한국 다크 웹을 운영 중이었다.

자세한 사건의 경위와 내용은 에서 대전대학교 해킹범 검거... 4만 3,413명 개인정보 유출 확인할 수 있다. [2]

아동 성애 포르노 판매, 웰컴 투 비디오 운영자 검거

웰컴 투 비디오의 운영자는 아동 성애 포르노를 비트코인을 이용하여 판매하고 수익을 얻었다. 하지만 다크 웹을 운영하던 도중, 웹 사이트의 소스에서 비디오를 업로드 하는 스크립트에서 서버로 전송하는 form을 체크하는 부분에서 실제 웹 사이트 운영 서버의 IP가 노출되었다.

결국 운영 서버의 IP를 이용하여 운영자가 한국 충남 당진시 한 아파트에서 해당 사이트를 운영하고 있는 것으로 밝혀지고, 한국 경찰청과 미국 국토안보수사국(HSI), 영국 국가범죄청(NCA) 등 32개국 수사기관이 공조하여 웰컴 투 비디오의 운영자 및 사용자 310명의 신원을 추적해내는데 성공하였다.[3]

참고 자료

[1] 연합뉴스, 인터넷 암시장에서 비트코인으로 마약 구매…80명 검거 https://www.yna.co.kr/view/AKR20161019037600004

[2] 보안뉴스, 대전대학교 해킹범 검거... 4만 3,413명 개인정보 유출 https://www.boannews.com/media/view.asp?idx=69215&page=1&kind=1

[3] 중앙일보, 희대의 아동포르노···세계 경악케한 한국인 죗값 https://news.joins.com/article/23612197

한국 다크 웹 마켓

전체 다크 웹 중, 한국어로 운영되는 다크 웹이 차지하는 비중은 그리 크지 않다. 하지만 불과 4년 사이에 크고 작은 한국 다크 웹 마켓들이 생겨나고, 사라지고, 이슈화되고, 실제 운영자, 구매자와 판매자가 검거된 사례가 기사화되고 있다.

토르네트워크에 접속한 한국인 사용자의 수도 2016.02.20 – 2020.02.20 사이에서 2016년의 중순 쯤 대폭 감소한 다음, 2017년 하순부터 꾸준히 증가한 사실을 확인할 수 있다. 본 포스트에서는 2016년을 기준으로 생성된 한국 다크 웹에 대한 내용을 다루고자 한다.

[1] 베리마켓

베리마켓은 한국 다크 웹 중, 아동 포르노를 제외한 모든 품목을 판매하는 것을 처음으로 시작한 블랙 마켓이다. 아래 베리마켓 규칙에 의하면, 베리마켓 내에서 활동을 하기 위해서는 반드시 등업 과정을 거쳐야하고, 거래 시에는 이메일, 카카오톡, 텔레그램 등과 같은 표면 웹에서 사용되는 프로그램이 아닌 GPG 암호화를 통한 거래 방식을 이용할 것을 당부한다.

 베리마켓은 처음으로 모든 품목을 판매한 블랙 마켓이지만, 처음으로 다크 웹의 블랙 마켓에서 활동한 판매자와 구매자가 검거된 블랙 마켓이다. 현재 베리마켓은 존재하지 않고, 폐쇄된 상태이다. 

[2] 하이코리아

하이코리아는 한국 다크 웹에서 가장 오래된 마약 판매 마켓이며 아직까지도 거래가 활성화되어 있는 마켓이다. 아래 로그인 페이지에서 로그인 계정 없이도 접근할 수 있는 게시판이 5개 정도 활성화되어 있으며, 5개의 게시판에서는 잡담과 공지에 대한 내용들을 포함하고 있다.

다음 그림은 하이코리아 회원 등급에 대한 정보이다. 보통 일반적으로 등업 신청을 하면 가장 처음에 주어지는 등급이 하이코리아 Marine 이다. 하이코리아에서는 총 8가지의 회원 등급이 존재한다. 회원 등급별 설명은 아래와 같다.

회원 등급에 따라 활성화되는 게시판의 수도 다르다. 하이코리아 Marine 은 일반 정회원에 해당되는 등급이다. 대마초에 대한 후기, 재배 방법에 대한 정보를 얻을 수 있으며, 3개월 이상 활동 후에는 그림 3과 같이 SCV 마켓과 HIGH 경매 포럼에 접근할 수 있는 권한을 가진 하이코리아 Ghost 로 등업 신청을 할 수 있는 게시판이 활성화 된다.

Ghost 등업 조건에서 보이는 글은 하이코리아 Marine 으로 등업 후, 활성화되는 게시판에 있는 글 중 하나이다. 다음은 대마초 재배 방식을 공유하는 대마재배 게시판이다. 실제 대마초와 같은 마약과 관련된 재배방법, 재배용품, 재배사진과 재배강좌와 같이 다양한 하위 포럼들로 이루어져 있다.

[3] 666 LETOM

666 LETOM은 베리마켓과 같이 아동 포르노를 제외한 모든 품목을 판매하는 블랙 마켓이다. 정회원으로 등업하기 위해 진행되는 등업 신청 방식은 하이코리아의 등업 신청 방식과 유사하다. 현재 666 LETOM은 존재하지 않고, 폐쇄된 상태이다.

[4] 동부전선

동부전선은 베리마켓 다음으로 가장 큰 규모의 대형 종합 마켓이다. 베리마켓은 아동 포르노를 제외한 모든 품목을 판매하였지만, 동부전선에서는 아동 포르노까지 포함한 모든 품목을 판매하였다. 회원 가입을 위해서 동부전선에서 활동하는 판매자를 통해서만 받을 수 있는 리퍼러 코드가 필요하다. 현재 동부전선은 존재하지 않고, 폐쇄된 상태이다.

[5] 천리안

천리안은 현재 하이코리아와 같이 마약을 판매하는 마켓이다. 다른 마약 판매 사이트와는 달리, 마약 거래에 필요한 GPG의 개념과 사용법 숙지, BTC 지갑 준비에 대해 상세하게 안내하는 공지 글을 볼 수 있다.

등업 신청 시에는 운영자가 질문하는 질문에 대한 답변을 PGP 공개키로 메세지를 암호화하여 작성해야 한다. 등업 신청에서 답변이 필요한 질문은 총 2가지이다.

다음 문단에서는 한국 다크웹에서 마약을 거래하는 방식과 자금 추적을 피하기 위해 가상화폐를 세탁하는 방식을 다루고자 한다.

한국 다크 웹에서의 마약 거래 방식

[1] 한국 다크 웹 거래 방식

한국 다크 웹 내에서의 구매자와 판매자의 거래 방식은 크게 두 가지, 다이렉트와 에스크로로 나뉜다. 이 중, 제 3자 (중개자)를 통해 거래하는 에스크로 방식을 도입한 마켓의 안전도가 구매자와 판매자가 바로 거래하는 다이렉트 방식보다 안전하다.

[2] 일대일 거래 방식

다이렉트: 다이렉트는 중개자없이 구매자와 판매자가 직접 거래하는 방식이다. 구매자가 판매자에게 지불한 후에는 판매자가 구매자에게 던지기 방식으로 마약을 전달한다.

[3] 제 3자를 통한 거래 방식

에스크로[1]: 에스크로는 구매자와 판매자 사이에 제3자가 중개자로서 구매 대금을 임시로 맡은 다음, 거래가 성사된 후에 중개자가 판매자에게 구매 대금을 전달하는 방식이다. 중개자가 판매자에게 구매 대금을 전달한 후에는 판매자가 구매자에게 던지기 방식으로 마약을 전달한다.

*보통 중개자가 5% 정도의 수수료를 가져간다.

*던지기: 판매자가 임의의 장소에 마약을 두고, 구매자에게 주소와 위치를 알려준 다음에 구매자가 찾아가는 방식이다. 예) xx시 xx동 XX빌라 앞, 자전거 바구니

한국 다크 웹에서의 가상화폐 세탁 방식

다크 웹에서는 비트코인, 이더리움, 모네로 등과 같은 가상화폐를 활용하여 거래한다. 물론 가상화폐가 익명성이 보장된다는 점 때문에 주로 사용하지만, 혹시 모를 상황을 위해 가상화폐 믹싱 서비스를 제공하는 사이트가 존재한다.

“한국 다크 웹에서는 어떤 가상화폐 믹싱 서비스가 있었을까?” 라는 의문을 시작으로 한국 다크 웹에서 서비스되었던 가상화폐 믹싱 서비스들을 크게 두 가지로 정리한다.

[1] 마켓 내, 회원전용 서비스

하이코리아의 운영자 Neo는 비빔밥 게시판에서 비트코인 믹싱 서비스를 회원들에게 제공하였다.

현재 하이코리아에서 비트코인 믹싱 서비스 (비빔밥)는 제공하지 않고 있다.

비트코인 믹싱 서비스를 제공할 당시, 아래 사진과 같이 제목 (“비빔밥 한 그릇”)과 PGP키를 활용하여 비트코인 믹싱을 한 다음에 받을 비트코인 지갑 주소를 작성하여 비빔밥 게시판에 등록하면 비트코인 믹싱 서비스를 신청할 수 있다.

[2] 비트코인 믹싱 전문 사이트

LAVADORA는 비트코인 믹싱 서비스를 제공하는 한국 다크 웹 사이트이다. 회원제로 운영되며, 해당 서비스에 가입한 회원들의 정보를 열람할 수 있다. 하지만 사이트의 운영 기간이 짧아 히든위키 코리아에는 기록된 데이터가 없다. 현재 LAVADORA는 존재하지 않고, 폐쇄된 상태이다.