지난 포스팅에서 불법 도박사이트를 비롯한 각종 사이버범죄 유통 채널이 거미줄처럼 복잡하게 얽혀있음을 공개 정보 분석과 사이트의 소스코드 유사도 검증을 통해 알 수 있었습니다. 이러한 분석 연구 과정에서 불법 도박사이트의 트렌디한 변화를 감지하였고, 이 트렌디한 변화에 대해 저희 연구팀은 수많은 도박사이트가 개별적으로 단순한 변화가 아닌 네트워킹을 통해 기술적으로 진화하고 있지 않을까 하는 의구심을 가지게 되었습니다. 저희 연구팀은 궁금증을 해결하고자 다수의 도박사이트를 접속하여 소스코드와 스크린캡쳐를 반복적으로 수집하였고, 이를 비교 분석하여 불법 도박사이트의 기술적 진화에 대하여 탐색하였습니다. 이번 포스팅에서는 복제과정에서 변이를 일으키는 바이러스처럼 추적과 수사를 피하기 위한 도박사이트의 기술적 진화에 대하여 알아보도록 하겠습니다.
점점 지능화되는 사이버범죄 기술의 진화
지난 약 2년간 500여 개의 각각 다른 이름을 사용하고 있는 도박사이트를 관찰하며 메인화면과 회원가입 페이지를 분석하였고, 시간이 흐르면서 조금씩 변화되는 것을 파악할 수 있었습니다. 예를 들어, 캡차(CAPTCHA)가 회원가입 과정에서 추가되거나, 기존에 사용하던 가입코드가 막히는 등 회원을 관리하고 검증하는 과정에서 기술적 절차가 추가되는 경향을 보이고 있었습니다. 이처럼 일부분만 수정하거나 큰 변화가 필요한 경우엔 사이트 자체를 폐쇄하고 새롭게 개설하거나 새로운 이름의 사이트로 변경하는 방법으로 사이트가 변화됩니다. 이와 같이 시간의 흐름에 따라 도박사이트에 적용된 기술이 진화함을 보여주고 있었고, 표 1과 같이 정의하였습니다.
<표 > 시간 흐름에 따른 주요 적용 기술 및 변화
| 기술 | 설명 | 기술 변화 |
| 관문사이트 | 사이트 도메인으로 연결하는 기술 | 유지(-) |
| 캡차 | 컴퓨터와 사람을 구분하는 기술 | 진화(↑) |
| 가입코드 | 회원가입 인증 및 출처 확인 기술 | 유지(-) |
| 모바일 메신저 | 회원과의 소통을 위한 기술 | 하락(↓) |
| 가상 계좌, 암호 화폐 | 금전 거래를 위한 기술 | 신규(New) |
· 관문사이트(Gateway)
도박사이트와 수사(사정)기관의 끝없는 싸움 중 하나기 바로 URL 기반 차단입니다. 지난 포스팅에서 언급했듯이 도박사이트를 비롯한 여러 유해사이트는 URL과 IP를 계속 변경하며 회원들이 접속할 수 있는 경로를 확보하고 있습니다. 지속적인 차단에도 불구하고 수많은 URL이 생성되었으며 1개의 URL이 아닌 다수의 URL을 제공함으로써 길이 막히더라도 우회할 수 있는 여러 개의 경로를 확보하는데, 불법 도박사이트 운영자들은 이러한 우회 경로를 알리기 위하여 주소 안내 사이트를 만들어 검색엔진에 노출시킵니다. 저희 연구팀에서는 이 주소 안내 사이트를 관문사이트라고 정의하였습니다. 이러한 관문사이트는 그림 1과 같이 단순한 웹페이지 형태로 구성되어 있으며 적은 수의 이미지 혹은 텍스트만을 담고 있습니다. 또한, 단순히 URL만을 제공하고 있기 때문에 기계적인 모니터링으로 탐지하거나 차단하기 어렵습니다. 실제 저희 연구팀이 특정 관문사이트를 지속적으로 관찰한 결과, 해당 도박사이트가 없어지기 전까지 이 관문사이트는 차단되지 않으며, 내부의 URL만 지속적으로 변경되고 있는 것을 확인하였습니다. 이러한 관문사이트는 사람들이 기억하기 쉽고 접근하기 용이하도록 “OO평생주소.com”, “OO주소.com” 명칭으로 개설되는 경우가 많으며 연구 초기부터 현재까지 변함없이 사용되고 있는 방식입니다.
<그림 1> 관문사이트 스크린 캡쳐
· 캡차(CAPTCHA)
안티 크롤링(Anti-Crawling) 기술은 웹사이트의 무분별한 접근과 데이터를 보호하기 위한 기술로서 사람이 아닌 봇(Bot) 프로그램의 접근을 제한하고자 개발된 기술로, 크롤러, 매크로 등 기계적인 정보 수집 기술을 이용한 무분별한 회원가입과 로그인을 방지하는 것을 목적으로 사용됩니다. 대표적인 안티 크롤링 기술 중 하나인 캡차는 수사 회피를 목적으로 선별적 회원모집과 로그인 없이는 접근이 불가능한 폐쇄적인 도박사이트가 활용하기에 안성맞춤인 기술입니다. 또한 자동화된 매크로 프로그램을 통해 게임을 이용하는 회원을 제한하며 서버 과부하를 방지하는 데 효과적입니다. 이러한 캡차는 텍스트, 오디오, 이미지, 슬라이드 등 다양한 종류로 발전하고 있는데, 실제 도박사이트에서는 그림 2와 그림 3과 같이 기존에 “그림 내 글자 읽기”뿐만 아니라 “숫자 연산하기”, “그림 보고 맞추기” 등 어렵고 복잡한 캡차를 적용하여 기계적인 모니터링 및 접근을 방지하고 있습니다.
<그림 2> 슬라이딩 캡차 방식의 도박사이트
<그림 3> 슬라이딩과 계산 문제 캡차 방식의 도박사이트
· 가입코드
광고사이트에서는 도박사이트 광고 이미지를 클릭 할 경우 도박사이트로 연결될 수 있도록 URL 정보가 담겨 있을 뿐만 아니라 회원들로 하여금 접근하는데 필요한 정보와 홍보 문구가 담겨 있습니다. 그림 4와 같이 게임 관련 이벤트나 배당금 추가 지급에 관한 홍보 내용을 도박사이트 이용자들만 이해할 수 있는 은어를 사용하여 공지하고 있는데, 특히, 가입코드는 회원가입을 위해 반드시 필요한 정보입니다. 도박사이트 운영자는 가입코드를 활용하여 가입자의 출처 및 유입 경로를 확인할 수 있고, 어떤 광고사이트를 통하여 접근하였는지 혹은 “총판”이라고 칭하는 도박사이트 홍보담당자, 운영자를 통하였는지 확인한다고 알려져 있습니다. 광고사이트는 도박사이트 운영자가 직접 개설하거나, 홍보 게시물을 작성하는 과정을 대신 할 수 있는 업체, 업자에게 광고 비용을 지불하고 운영되고 있습니다.
<그림 4> 도박사이트 광고이미지
· 모바일 메신저
도박사이트는 폐쇄적인 운영을 원칙으로 삼고 있으므로 추적을 당할 수 있는 관리자의 일반 전화번호나 핸드폰 번호를 공개하고 있지 않습니다. 따라서 회원들과의 직접적인 소통을 위해서는 사이트 내부의 게시판 기능이나 모바일 메신저를 활용하고 있으며, 특히 사생활 보호 기능에 특화된 텔레그램이나 카카오톡 오픈 채팅 등 휘발성 채팅 기능을 택하고 있습니다. 모바일 메신저의 경우엔 언제든 쉽고 빠르게 계정을 만들거나 삭제할 수 있으며, 주인이 누구인지 추적하기 어렵기 때문에 수사를 회피하는 수단으로서 많은 장점이 있습니다. 다수의 사이트에서 텔레그램이나 카카오톡 ID를 게시하고 있으나, 최근에는 점차 메신저 정보를 삭제하고 있는데, 새롭게 개설된 사이트 대부분은 메신저 ID를 제공하지 않는 추세입니다. 이는 n번방 등 모바일 메신저를 활용한 여러 사회 문제가 수면 위로 떠 오르면서 모바일 메신저를 통한 소통 방식이 사회적으로 알려지게 되는 것을 두려워하는 것이 아닐까하는 예상이 되며, 도박사이트 운영자의 경우엔 금전 탈취가 목적이기에 회원들의 불만 접수보다는 일방적인 소통 방식으로 별도의 대화 창구를 없애고 있는 것으로 추측하고 있습니다.
· 가상 계좌, 암호 화폐
도박사이트에서 사용되는 대표적 거래방식은 계좌 이체입니다. 도박사이트 운영자는 추적을 어렵게 만들기 위해 다수의 대포 통장을 확보하여 수많은 이체과정을 거친 후 최종적으로 범죄수익을 현금화하는 것으로 알려져 있습니다. 이와 같은 방법에는 우선 수많은 대포 통장이 필요하며, 이를 제공하는 대포 통장 업체가 존재하고 있습니다. 일정한 패턴 없이 수많은 이체과정을 거쳐 용의자와 범죄 수익금을 특정하기 어렵게 만들지만, 그럼에도 불구하고 계좌 번호는 도박사이트 수사의 주요한 단서가 되기 때문에 도박사이트는 최대한 계좌번호의 노출을 삼가하고, 폐쇄적인 운영을 지향하고 있습니다. 최근에는 계좌번호를 이용하여 수사기관에 신고하겠다고 도박사이트 운영자를 협박하는 역범죄 현상도 일어나는 등 계좌번호의 노출의 위험성이 증가하고 있습니다. 이러한 실상에서 실제 통장이 존재하지 않고 단지 계좌번호만 부여받는 가상계좌나 블록체인 기반의 암호화 기술을 사용하여 만들어진 암호화폐가 등장하여 널리 사용되자 도박사이트들도 거래방식을 일반 계좌 방식에서 가상 계좌, 암호 화폐를 이용할 수 있도록 변화되고 있습니다. 특히 암호화폐의 경우, 익명성 보장이라는 장점으로 인해 도박사이트에서 점차 적용이 확대되는 것을 알 수 있습니다.
<그림 5> 가상화폐, 암호화폐 도입 홍보 팝업
끝없는 사이버범죄와의 전쟁
이번 포스팅에서는 장기간에 걸쳐 다수의 도박사이트를 분석하면서 분석된 새로운 기술의 등장이나 기존 기술의 변화에 대해 살펴보았습니다. 도박사이트는 민감한 사회적 이슈에 빠르게 대응하며 새로운 기술, 트렌드의 등장에 적극적으로 반영하는데, 이러한 새로운 기술은 독자적인 방식으로 적용하는 것이 아니라 변화의 흐름에 맞춰 전체적으로 적용된다는 특징이 있습니다. 도박사이트 진화의 궁극적 목표는 수사와 차단 회피, 우회 방안 모색인데, 이처럼 도박사이트와 수사(사정)기관의 끝없는 싸움이 언제쯤 끝날 것인지? 과연 끝나는 시점이 오긴 오는지, 싸움에서 승자는 누구일지? 궁금합니다.
다음 포스팅에서는 도박사이트를 탐지하는 데 있어 기술 변화로 인해 발생하는 새로운 특징과 주요 키워드를 찾거나 의미가 점차 퇴색되어가는 단서들에 대한 탐색 방법을 살펴보고, 도박사이트의 트렌드 변화에 대해 대응할 수 있는 방법을 살펴보도록 하겠습니다.
KAIST 사이버보안연구센터 사이버범죄분석팀 팀장으로 악성 웹사이트 및 유해사이트 탐지 연구를 주로 수행하고 있으며, 관심 분야는 데이터 수집과 분석, 인공지능, 기계학습이다.
임규민 연구원은 정보보호학부를 졸업하고, 한양대학교 정보보안학과 석사과정을 졸업했다. 현재 카이스트 사이버보안연구센터 AI보안 팀원으로 XAI를 활용한 인공지능의 보안 연구를 진행하고 있다.
정말 어마어마 하네요.
좋은쪽으로 기술이 발달해야 되는데 음지에서의 기술이 더욱더 양지의 기술보다
진화하는것 같습니다.