Forensic/review

[논문 리뷰] PGP 공개키 단서를 활용한 다크웹 범죄수사 방안

ukkiyeon 2025. 6. 16. 01:00

요약

  • 다크웹에서 범죄 거래를 위해 사용되는 PGP 공개키를 활용하여 범죄 단서 간 연관성을 파악
  • 그 결과, PGP 공개키를 중심으로 1,631쌍 중 349쌍의 단서가 서로 연관되어 있음을 확인

 

1. 서론

  • 다크웹 범죄에서 사용 중인 단서(PGP 공개키)를 분석하여 연관성을 찾아내고, 동일 범죄여부를 특정하고자 함
  • 확보된 데이터 기반으로 연관된 범죄 단서를 실제 수사에 활용할 수 있는 방안 제시 

 

2. 다크웹 범죄 특징 및 규모

  • 토르 브라우저, I2P, 프리넷 등의 접속 방법이 존재
  • 모네로, 지캐시, 대시 같은 익명성 목적의 가상자산이 등장하여 범죄수익 추적 어려움 가중 
  • 다크웹 내 3,000개 범죄 사이트 현황: 금융사기 > 불법 정보제공 > 마약류 > 해킹 (2017-2018)

 

3. 국내외 다크웹 범죄 대응현황

  • 해외에서는 언더커버 수사를 활용, 온라인 수색의 일종인 NIT(Network Investigative Techniques) 수사 활용 
  • 다크웹상에서 한글로 운영되는 사이트 수는 2017년 기준 세계 5위 수준이지만 현재 국내 수사기관의 대응 수단 미약

 

4. 다크웹 범죄 추적 및 수사 방안 

4.1 다크웹 범죄 추적단서 분석방법

  • 다크웹 범죄는 수많은 노드를 거쳐 접속하는 특성상 IP 추적이 불가
  • 가상자산 지갑주소의 경우 추적 방법이 되는데, 지갑주소 노출을 피하기 위한 암/복호화 프로그램인 PGP를 이용하는 경우가 대부분임
  • 한 사람이 여러 다크웹 사이트에서 여러 ID를 사용하여 게시하는 경우, 동일한 PGP 키를 사용하는 ID들이 동일인에 속하는 것을 보여주는 결정적 증거가 될 수 있음 
  • 따라서 다크웹 게시물 내 범죄 단서를 군집화하여 단서 연관 분석 기법의 활용이 필요 
  • 인터넷 사기 사건의 경우, 바이클러스터링 군집화 기법을 적용하여 중복된 수사단서(계좌번호, 전화번호, IP, 이메일, 아이디 등)가 있는 경우 동일 범죄로 판단할 수 있음 

 

4.2 다크웹 범죄단서 분석

  • 판매자와 구매자의 PGP 공개키와 ID를 활용해 거래 내역을 암호화하여 사용 
  • 다크웹 한글 마약사이트 '0000 KOREA'는 게시글 작성을 위해 필수적으로 등업을 요구, 이를 위해 PGP 공개키와 연결된 ID 필요
  • 게시글은 게시자의 PGP ID와 공개키가 공개되는데, 이를 통해 메시지 암호화 후 전송하여 약속을 정하는 방식 
  • 다크웹 서버를 압수하지 않는 한 연락을 주고받는 당사자 정보를 ISP도 알 수 없고, 서버가 압수되어도 메시지 내용을 알 수 없음
  • PGP 오픈소스 프로그램(Gpg4win, gpg4usb, GnuPG, GPG Suite, Encryption Desktop ...)을 사용하여 한 쌍의 '공개키-개인키'를 생성할 수 있고, 동일한 ID를 가진 다수의 공개키 생성, 반대로 동일한 공개키를 가진 다수 ID 및 이메일 생성도 가능 
  • 한글 다크웹 사이트 '0000 KOREA' 크롤링 데이터에서 추출한 PGP 공개키와 ID 1,631쌍을 분석
    - PGP 공개키와 ID에 고유번호를 부여
    - PGP 공개키별 연관된 ID와, ID별 연관된 PGP 공개키로 분류하여 군집화
    - PGP 공개키 데이터 변경횟수를 기준으로 그룹을 나누어 '사이트 운영 및 마약 판매, 지식 공유' / '마약 판매 및 지식 공유' / '마약 거래, 지식 공유' / '지식 요청, 댓글 게재' 등의 특성을 분류하여 특정 그룹을 집중 관리대상으로 선정하여 추적 필요성 강조 

 

4.3 다크웹 수사 적용 가능성 

  • PGP 공개키를 중심으로 관련 ID, 닉네임, 이메일, 지갑주소 등의 단서들을 추가 확보하여 범인 추적에 활용 가능 
  • 일부 판매자의 경우 실수로 PGP 키 서버에 공개키를 올리거나, 공개키 관련 개인정보를 표면웹에 남기는 등의 흔적을 통해 IP 추적이나 표면웹 검색 등으로 단서 찾기 가능할 것
  • 향후 피의자 특정 시 공개키 저장내역 또는 대칭되는 개인키 저장 내역 등을 비교해 범죄 입증 증거로 사용 가능 
  • 중복수사 방지 및 업무 효율성 제고: PGP 공개키와 ID를 변경해가며 범죄행위 시, 파편적으로 사건 접수하여 동일범에 의한 사건임에도 개별 수사하는 것을 예방 가능 

 

4.4 소결

  • 다크웹상 범죄 단서 연관성만 분석하였으나, 표면웹상 단서와 연관성에 대한 연구도 차후 필요 

 

5. 결론

  • 암호화된 프로그램을 이용하여 거래하는 다크웹 범죄자에 대한 단서가 PGP 공개키를 중심으로 서로 연관되어 있음을 확인 
  • 다만, 단서 활용을 위한 전제로 개인정보보호를 위한 엄격한 조치가 필요하고, 내사 및 수사에 이용한 범죄 단서를 다크웹 수사에 활용하기 위해선 개인정보 자기 결정권과 프라이버시 기본권 침해 논쟁 불식을 위한 법규 개정도 필요 
  • 다크웹 범죄를 검색하고, 단서 자동수집 및 분석, 범죄수익을 추적할 수 있는 시스템 개발 필요
  • 범죄 단서 연관분석은 정형화된 단서만이 아닌 비정형화된 구문 등의 행동 패턴을 분석함으로써 동일 범죄자임을 특정하는 기술 도입 필요
  • 향후 지속적으로 새로운 수사기법 발굴 및 취약점 분석을 통해 다크웹 사이버 범죄 감소 필요 

참고

  • 김재진. (2019). PGP 공개키 단서를 활용한 다크웹 범죄수사 방안. 디지털포렌식연구, 13(4), 219-230.