IT 기술와 인터넷의 발전으로 인해 우리는 편리하고 윤택한 세상에서 살게 되었지만 이러한 기술의 발전은 어두운 사회 세상에서도 유용하게 활용되고 있습니다. 경찰청 통계자료에 따르면 살인, 강도, 절도 등 5대 범죄 발생 건수는 점차 줄어들고 있지만, 각종 사이버 범죄는 나날이 증가되고 있다고 보고되었습니다. 이러한 사이버 범죄 중 최근 빈번히 불법 사이트 운영자 검거 뉴스가 보도되고 있으며, 엄청난 범죄 수익금에 많은 사람들로 하여금 허탈감을 가지게하고 있습니다. 실제로 2022년 12월에는 성인사이트 운영자가 검거 되면서, 이들의 수익에 대한 조사 결과를 발표하였는데, 도박사이트 광고 대가로 약 3억 7천여만원의 부당이익을 챙긴 것으로 밝혀졌습니다. 성인사이트와 불법도박사이트의 이상한 연결고리에 대해 의아해 할 수 있지만, 여러 불법 사이트는 서로 연결되어 있으며 금전적 이익을 위해 공생 관계를 가지고 있습니다. 이번 포스팅에서 다루어 볼 주제는 도박사이트의 특별한 운영 방식에 따른 조직적인 특징을 살펴보고자 합니다.
거미줄 같은 사이버범죄 네트워크의 현실
방송통신심의위원회를 비롯한 여러 사정기관의 감시로 인해 많은 불법사이트는 지속적으로 차단 조치되고 있지만, “디지털 질병! 불법 도박사이트의 특징을 파헤치다”에서 알아본 바와 같이 다양한 방법으로 본인들만의 생존법을 모색하고 있습니다. 대표적으로 URL의 일부를 수정하여 서비스를 지속하는 방법은 각종 불법사이트에서 흔히 사용하는 방법이며, 이를 통해 우후죽순처럼 수많은 URL를 만들어 여기저기 접속할 수 있는 길을 마련하여, 차단을 어렵게 만들고 있습니다. 이렇게 사이버범죄 네트워크는 점점 더 영역이 확대되고 끊이지 않고 있습니다.
또한, 이들은 직접적인 검색으로는 접근이 어려운 사이트이기 때문에 비정상적인 홍보 방식을 택하여 각종 불법사이트로 연결할 수 있는 광고를 게재한 사이트에 광고 비용을 지불하는 것으로 알려져 있습니다. 이러한 광고사이트는 “주소OO”, “OO놀이터” 등의 명칭으로 사이트가 개설되어 있으며 그림 1과 같이 성인, 도박, 웹툰, 영화 등 각종 카테고리의 불법사이트 광고가 삽입되어 있습니다. 실제로 약 1년여 전에 관찰되었던 사이트가 현재까지도 운영되고 있으며 이렇게 이런 불법사이트는 차단이 쉽게 이루어지지 않고 있습니다. 또한 그림 1과 같이 이런 광고사이트 외에도 성인사이트나 각종 불법저작물(웹툰, 영화, 토렌트 등) 사이트에서도 도박사이트를 비롯한 여러 불법사이트 광고를 게시하고 있어 상호간의 홍보를 도와주는 공생관계를 유지하며 거미줄처럼 복잡하게 연결되어 있습니다.
<그림 1> 광고, 성인사이트 내 도박 광고 스크린캡쳐
도대체 누가 이 서버의 주인이지?
끊임없이 확장하는 사이버범죄 네트워크 속에서 새롭게 생성되는 도박사이트는 어떤 형태로 서버를 구축하고 서비스를 제공하고 있을까요? 이에 대한 해답을 찾고자 광고사이트에서 수집한 수많은 URL에 대해 OSINT(Open Source Intelligence)를 이용하여 정보를 수집하고 분석하였습니다. URL에 대한 대표적인 OSINT는 IP 주소이며, 수많은 URL에 대한 IP 정보를 습득한 결과 놀랍게도 동일한 IP에서 많은 사이트가 서비스되고 있음을 확인할 수 있었으며, 모든 주소가 접속이 가능한 상태는 아니었지만, 장기간에 걸쳐 많게는 10개 이상의 사이트가 개설되어 있었던 이력이 있으며 여러 사이트는 현재도 접속할 수 있었습니다. 과연 이 사이트들은 누가 만들었고? 누가 관리할까요?
<표 1>유해사이트 공개 정보 및 분석 정보
| URL | 출처 | 수집날짜 | IP | 사이트명 | 주제 |
| mtverificatOOO.org | mtcoOOO.net | 2022-01-18 14:06:19 | 216.239.36.21 | 토O사 | 도박광고 |
| OOOrea777.xyz | mtco-OOOO.com | 2022-04-04 12:49:03 | 216.239.36.21 | XOOOEA | 성인 |
| casinoreviewsOOO.net | mtinsuraOOO.org | 2022-06-09 16:54:10 | 216.239.36.21 | 카OO감정사 | 도박광고 |
| OOOoft777.com | times-OO.com | 2021-10-25 19:50:30 | 23.236.62.147 | AOO AOO Soft | 자동게임봇판매 |
| mtinsuranOOO.net | OO-story.com | 2021-10-27 10:30:10 | 23.236.62.147 | 먹OO험 | 도박광고 |
| mtverificatOOO.com | mtcoOOO.net | 2021-12-22 09:36:31 | 23.236.62.147 | 먹OO별사 | 도박광고 |
| major-OOOO.com | totoOOO.site | 2022-01-10 11:23:43 | 23.236.62.147 | 메O저 | 도박광고 |
| 칠공OO.com | 토O.net | 2022-02-14 11:20:16 | 23.236.62.147 | 70OOET | 관문 |
| OO1004.com | totOOO.com | 2022-02-15 18:25:45 | 23.236.62.147 | 찰덕OO샵 | 성인 |
| mt-informaOOO.com | mtcoOOO.net | 2022-05-03 17:30:10 | 23.236.62.147 | 먹튀OO자 | 도박광고 |
| OOb247.com | OOOskorea.com | 2022-06-15 15:13:59 | 52.72.49.79 | 알O벳 | 도박 |
| OOinb88.com | OOOskorea.com | 2022-08-04 17:36:12 | 52.72.49.79 | 알O벳 | 도박 |
| OOsb88.com | OOOskorea.com | 2022-09-07 09:31:21 | 52.72.49.79 | 라O벳 | 도박 |
| OOnd88.com | totomastOOO.com | 2022-09-29 18:30:09 | 52.72.49.79 | 알O벳 | 도박 |
| OOOet247.com | totomastOOO.com | 2022-11-01 09:56:15 | 52.72.49.79 | 바O벳 | 도박 |
표 1은 특정 IP 주소를 사용하는 URL과 사이트 주제를 조사한 내용을 담고 있습니다. 실제 단일 IP에서 서비스되고 있는 사이트의 주제를 살펴보면 도박이나 광고사이트, 관문사이트 이외에도 다른 주제의 사이트가 다수 포함되어 있는 것을 확인할 수 있습니다. 또한, 불법사이트에 대한 OSINT를 이용하여 조사한 결과, 대다수 불법사이트는 클라우드 서버를 통해 서비스를 제공하고 있음을 알 수 있었습니다. 이와 같은 형태를 보이는 이유는 클라우드 특성으로 인해 사이트를 쉽게 오픈하고 닫을 수 있고, 국내 수사망을 회피하기 위해 해외 클라우드 서비스를 활용하며, 주기적으로 서버 위치를 옮겨야 하는 특성상 물리적 서버를 구축하는 것보다 기회비용을 획기적으로 낮출 수 있기 때문으로 판되됩니다. 그리고 사이트 운영자가 직접 도메인 호스팅을 신청 및 관리하는 경우도 있지만, 사정기관의 관련 전문가에 따르면 다수 웹사이트를 개발하고 호스팅 및 관리하는 업체 혹은 조직이 별도로 실제 존재하여 위와 같이 단일 IP에서 여러 서비스를 제공하는 것으로 밝혀졌습니다. 그렇다면 이 수많은 불법사이트는 매번 새로 만드는 것일까요?
낯이 익은 도박사이트, 얼마나 똑같을까?
현재도 밤낮으로 새롭게 생겨나고 사라지는 수많은 도박사이트! 한 개의 IP에서도 수많은 불법 사이트가 서비스되고 있는 것에서 한 조직이 여러 개의 사이트를 운영하는 것으로 추측할 수 있습니다. 그렇다면 이들은 매번 새로운 사이트를 만들고 있을까요? 이에 대한 해답을 찾기 위해 저희 연구팀에서는 수 많은 도박사이트의 소스코드와 첫페이지 화면 이미지를 장기간 분석하는 연구를 진행하였습니다. 도박사이트를 분석하기 위해 다양한 사이트에 접속하다 보면 왠지 모르게 이전에 접속했던 사이트로 착각할 만큼 익숙한 구조, 색상 배열, 이미지 및 텍스트 배치 등 유사한 형태의 사이트가 다수 존재합니다.
<그림 2> 도박사이트 6종 메인페이지
대표적으로 그림 2에서 A와 B 사이트는 서로 다른 주소와 사이트명, IP를 가지고 있습니다. 위 그림을 살펴보면 좌, 우 모두 다른 사이트명을 가졌으며, 서로 다른 색상의 배경과 이미지형태로 구성되어 있습니다. 하지만 사이트명만 다를 뿐 다수의 키워드가 동일하거나, 유사한 것을 알 수 있습니다. 특히 사이트 로그인 기능 위에 “★MEMBER”라는 키워드와 “스포츠”, “인플레이”, “라이브카지노” 등 상단의 메뉴 구성은 동일한 키워드로 이루어져 있으며, 좌우로 배치되어있는 구성이 굉장히 흡사한 것을 확인 수 있습니다. 저희 연구팀은 “HTML 태그 순서를 이용한 불법 사이트 탐지 자동화 기술” 논문을 토대로 도박사이트가 실제로 유사한 형태로 개발되었는지 HTML 태그 구조를 비교하여 유사성을 판단하는 실험을 아래의 아키텍처와 같이 진행하였습니다.
<그림 3> HTML 태그 유사도 산출 아키텍처 및 HTML 태그 구조도(A,B)
도박사이트 6종은 최종 리다이렉트된 URL 주소 규칙과 메인 화면 이미지의 유사성을 수기로 분석하여 선별기준으로 정하였습니다. 먼저 이 사이트에 HTML을 수집하고 태그를 이용한 구조를 만든 후 LCS 알고리즘을 이용하여 유사도를 산출하는 방법으로 실험을 진행하였습니다. 총 6개의 사이트 유사도를 판단한 결과, A와 B, C와 D 사이트는 90% 이상의 유사도를 보였고 E 사이트의 경우 C, D, F 사이트와 70% 이상 유사하다는 결과가 도출되었습니다. A, B 사이트의 경우 단순 로그인 기능만 제공되어 HTML 태그가 다른 사이트에 비해 복잡하지 않은 구조이기 때문에 서로 간의 유사도를 제외한 타 사이트와 거의 유사하지 않다고 실험 결과를 통해 알 수 있습니다. 태그 구조 이외에서 높은 유사도를 보이는 사이트에서는 거의 동일한 스크립트를 사용하고 있는 것에서 착안하여 이 유사 사이트는 같은 개발자가 만들었거나 다른 사이트 소스를 일부 수정하여 개발한 것으로 판단할 수 있습니다. 현재도 끊임없이 새로운 도박사이트가 출현하고 있지만 많은 수의 신생 도박사이트는 기존 사이트가 복제되고 있거나, 사라진 사이트를 조금 수정하여 다시 개설하는 형태로 반복되고 있음을 알 수 있습니다. 특히 표 3을 살펴보면, A, B, C, D는 굉장히 유사한 형태의 최종 URL를 가지고 있는 것을 알 수 있으며, E와 F 사이트는 동일한 IP에서 서비스되고 있음을 알 수 있습니다. 이는 단순한 사업구조가 아닌 굉장히 조직적이고 복잡한 형태로 운영되고 있음을 추론할 수 있습니다.
<표 2> 도박사이트 6종 유사도 실험
| A | B | C | D | E | F | |
| A | 90.81 | 9.67 | 9.97 | 12.93 | 17.88 | |
| B | 8.7 | 9.06 | 11.74 | 16.24 | ||
| C | 96.93 | 74.48 | 54.09 | |||
| D | 77.18 | 55.8 | ||||
| E | 72.29 |
<표 3> 도박사이트 6종 기본 정보
| 구분 | URL | IP | 사이트명 |
| A | plOOOO7.com/_views/6_main/main.php | 172.67.156.40 | 팔O딘 |
| B | krOOOOt.com/_views/6_main/main.php | 172.67.198.165 | 카O |
| C | dpOOOt.com/_views/6_main/login.php | 172.67.202.95 | 도O민 |
| D | piOOOO7.com/_views/6_main/login.php | 172.67.188.81 | 어OO자 |
| E | www.vOOO11.com/# | 174.129.25.170 | 솔OO노 |
| F | www.dOOO16.com/# | 174.129.25.170 | 클OOO지노 |
잡초 같은 생명력, 극약처방은 없는 것인가?
이번 포스팅에서는 끊임없이 새롭게 출현하는 도박사이트에 대한 생성 원리 및 특징을 알아보면서 더 나아가 불법 사이트를 운영하기 위한 특별한 운영 방식과 그에 따른 조직적인 형태의 운영, 특징들에 대해서 살펴보았습니다. OSINT를 이용하여 그들의 배후를 밝히고자 정보를 수집하였고, 이들의 연관성을 도출하기 위해 HTML Tag 기반의 웹사이트 유사도 측정을 실험하였습니다. 이 결과들을 토대로 도박사이트를 운영하는 방식에 따른 특징에 대해 접근할 수 있었습니다. 하지만, 불법 사이트 운영자는 막대한 금전적 이득을 위해 사정기관과의 끝없는 싸움을 계속 이어가고 있으며, 내성이 생기듯 수사와 차단을 회피하기 위한 고도화된 기술과 방법으로 진화하고 있습니다. 다음 포스팅에서는 진화하고 있는 도박사이트에 대해 저희 연구팀의 장기간의 분석된 결과를 사례를 들어 살펴보고자 합니다.