IRC(Internet Relay Chat) 채널을 통해 통신이 이루어지던 시대부터 존재해온 해커들의 지하 시장은 암호화된 화폐 및 익명 통신의 발전과 함께 21세기가 열리면서 더욱 활성화되는 양상을 보이고 있다.
지하 시장은 사이버 범죄자들이 누릴 수 있는 다양한 서비스를 제공한다. 에이노말리(Anomali)의 수석 보안 연구원 루이스 멘디에타에 따르면, 이들 시장에서는 마약과 무기 등 현실 세상의 물품에서부터, 스팸/피싱 딜리버리, 취약성 공격 키트 서비스, "크립터(Crypter)"와 "바인더(Binder)", 맞춤형 맬웨어(Malware) 개발, 제로데이(Zero Day) 취약성, 방탄 호스팅(Bulletproof Hosting) 등 디지털 세상의 도구와 서비스에 이르기까지 다양한 아이템들이 판매되거나 공유되고 있다.
지하 세계에는 일반인에게 익숙하지 않은 용어가 넘쳐난다. 크립터는 백신 엔진의 감지를 우회하기 위해 맬웨어를 암호화하는 툴이다. 바인더는 맬웨어 샘플로 정상 프로그램에 트로이 목마(Trojan)를 심는 툴이다. 제로데이 취약성 공격은 이전에 패치되지 않은 취약점을 악용하여 공격자들이 컴퓨팅 시스템에 무단 접속하는 기법이다.
그들만의 은어도 있다. 정상적인 보안 세계에서는 "FUD"가 "공포(Fear), 불확실성(Uncertainty), 의심(Doubt)"을 의미하곤 하지만 지하 세계의 포럼에서는 "완전한 은신(Fully UnDetectable)"을 의미한다. 포럼에는 또 약속한 서비스 또는 제품을 제공하지 않고 다른 사용자에게 바가지를 씌우고 사기를 치는 인물들인 "리퍼(Ripper)"들이 있다고 멘디에타가 전했다.
그는 여러 마켓플레이스마다 각각의 두드러진 특징이 있다고 설명했다. 일부 포럼은 TOR 네트워크를 통해서만 접근할 수 있지만 전통적인 웹 브라우징(Clearnet)을 통해 접근할 수 있는 것들도 있다. 카딩(Carding, 신용 카드 사기)과 PII(Personal Identifiable Information) 사기 등의 서비스에 특화된 포럼이 있는가 하면 제로데이 익스플로잇 공격, 봇넷(Botnet) 서비스, 방탄 호스팅에 집중하는 포럼도 있다. 또 좀더 광범위한 이를 대상으로 불법 약물, 위조품(여권, 운전면허증, 화폐 등), 무기 등의 다양한 현실 물품을 판매하는 포럼도 있다. 본 기사에서 다루는 지하 포럼 및 시장의 목록은 다음과 같다.
- 스카이 프로드(Sky-Fraud) 지하 포럼
- 람페두자(Lampeduza) 지하 포럼
- 익스플로잇 닷 인(Exploit dot in) 지하 포럼
- 리크포럼스(LeakForums) 지하 포럼
- 핵포럼스(HackForums) 지하 포럼
- TRD(TheRealDeal) 마켓플레이스
- 알파베이(AlphaBay) 마켓플레이스
스카이 프로드(Sky-Fraud) 지하 포럼
스카이 프로드는 2014년부터 운영된 지하 포럼이다. 러시아어와 영어를 사용하는 총 2만 6,000명의 활성 사용자(Active User)를 보유하고 있다. 제공되는 서비스는 매우 다양하다. 다음의 서비스 목록을 확인할 수 있다.
- 에스크로(Escrow) 서비스
- 방탄 호스팅 서비스
- PII(Personal Identifiable Information) 및 CC(Credit Card) 데이터.
- 봇넷, 익스플로잇 공격, 맬웨어
- 블랙햇 SEO(BlackHat Search Engine Optimization) 및 웹 디자인.
- 결제 시스템: BTC(비트코인), 페이팔(Paypal), 웹머니(Webmoney), 엔트로페이(Entropay)
이 포럼의 등록 시스템은 누구에게나 개방되어 있다. 이 때문에 사기꾼은 물론 신뢰할 수 없는 구성원, 사법 당국, 보안 연구원들도 접근할 수 있다. 이 사이트의 데이터는 해당 사이트에서 활동하는 아마추어 해커의 수를 고려할 때 신뢰성이 낮은 편이다.
하지만 이 포럼에는 방탄 호스팅과 관련해 눈에 띄는 활동자가 있다. 볼하브(Volhav)는 이 포럼뿐만이 아니라 아래에서 설명하는 ‘exploit.in’이라는 다른 지하 포럼에서 활동하는 인물이다. 2016년 초 등록한 이후 자신의 서비스를 확대하기 위해 다양한 포럼에서 존재감을 높이려 하는 것일 수 있다. 하지만 현재까지 그의 활동은 2곳에 그치고 있다.
람페두자(Lampeduza) 지하 포럼
람페두자는 러시아의 지하 포럼으로 카딩, 덤프(Dump) 서비스, 일반 신용 카드 사기에 특화된 공간이다. 이 포럼에는 해킹, 익명화 활동, 스팸, 블랫햇 SEO을 다루는 여러 부문에 존재한다. 이 사이트에 대한 논의는 2013년 krebsonsecurity에 이뤄졌는데, 포럼의 구성원 중 하나인 rescator가 타깃(Target) 유출 데이터의 판매 및 유통에 개입했기 때문이었다.
람페두자는 이 밖에도 타깃, 홈디포(Home Depot), 샐리 뷰티(Sally Beauty) 유출 사고에서 비롯된 신용 카드 데이터를 판매한 것으로 악명 높은 카딩 포럼 ‘rescator[.]cm’과 깊이 연루된는 것으로 관측되고 있다.
람페두자에의 접근성은 매우 제한적이다. 접근을 위해 사용자는 우선 기존의 구성원에게 초대 코드를 받아야 하며 반드시 50달러를 지불해야 한다. 이 덕분에 이 사이트는 여기에서 설명하는 다른 사이트보다 좀더 배타적이고 덜 오염된 양상을 보이고 있다.
그러나 잠재 구매자는 여전히 좋은 벤더와 불량 벤더를 선별하는 문제를 풀어내야 한다. 그나마 이 사이트는 사용자가 필요 시 벤더에 대해 불만을 제기하고 조치를 취할 수 있는 평판 시스템을 갖추고 있다. 이는 다른 익명 시장에서도 흔한 기능이다.
이 시장에서 제공되는 데이터는 중간 정도의 가치를 지닌 것으로 보인다. 대형 소매기업에서 유출된 데이터들도 이곳에서 판매되고 있었다.