다크웹은 일반 인터넷 브라우저로는 접속할 수 없는 익명 네트워크로 Google, Bing과 같은 일반적인 검색엔진으로 검색이 어려우며 이에 접속하기 위해서는 특정한 접근방법을 필요로 한다. 이러한 다크웹의 익명성을 악용하여 사이버 범죄자들은 자신들의 신분을 은닉하거나 검열을 회피하는 등 다양한 불법 작업의 수단으로도 이용하고 있다. 특히 다크 웹사이트의 소유자를 알기가 어렵도록 프로토콜 자체가 설계되어 있어 해당사이트가 피싱인지 아닌지를 알아내기가 어렵다. 하지만 이러한 악성 행위를 하는 다크 웹사이트들 중 금융정보나 개인정보를 유출할 수 있는 피싱(Phishing) 공격의 가능성과 그 공격의 심각성에 대한 연구는 이전까지 없었다.

신승원, 손수엘 교수 연구팀은 다크웹의 내재된 속성 중 하나인 익명성을 악용하는 피싱 사이트가 상당수 존재한다는 것을 밝혀냈다. 또한 이러한 피싱 사이트를 탐지할 수 있는 방법론을 제시하고 이를 이용하여 다크웹 상의 피싱 사이트들이 갖는 특징들을 분석하였다.

본 연구팀은 7개월 동안 수집한 21,537,119의 웹페이지를 똑같은 내용을 가지는 5,718개의 그룹으로 분류(Clustering)을 한후에 각 그룹의 도메인들 중에 외부 경로 (인터넷 포럼, 검색사이트, 광고 식별자)를 통해 수집된 정보를 이용하여 791 피싱사이를 특정하였다. 또한 다크 웹사이트에서 게제되는 똑같은 내용을 인터넷을 통해 서비스를 하고 있는 그레이(Gray) 사이트들 부터 얻은 정보를 통하여 297개의 피싱 웹사이트를 추가적으로 특정하였다.

[그림 1]은 BitcoinFog의 정식 인증 사이트와 피싱 사이트를 보여준다. 피싱 사이트를 시각적으로는 정식 사이트와 분별하기는 어렵기 때문에 본 연구팀은 다크웹사이트의 도메인을 같은 내용을 가지는 그룹으로 분류한 후에 그룹안에서 공식적으로 인정되지 않은 도메인들을 피싱으로 분류하였다.

[그림 2]는 유명 다크웹 사이트 5개를 대상으로 도메인들의 참조 빈도를 보여준다. 검은색 X는 피싱 도메인을, 파란색 O는 정식 도메인을 나타낸다. 분석 결과, 실제 인증 도메인보다 피싱 도메인이 다크웹과 일반 검색 결과에서 더 많이 참조되는 사이트(Dream Market)가 존재했다. 이를 통해 우리 연구팀은 다크웹에서 피싱 도메인이 활발하게 운영되고 있다는 것을 입증하였다.

이러한 성과를 인정받아 The Web Conference 2019 학회(Previously WWW)에 기재되었으며 보안 트랙에서 Oral 발표된 5개의 논문 중에 하나로 선정되었다. 자세한 논문은 해당 링크(https://dl.acm.org/citation.cfm?id=3313551)를 통해 확인할 수 있다.