크고 깊은 곳으로의 탐험

Transcript

1. 크고 깊은 곳으로의 탐험 김남준

2. 간단한 소개 • 김남준 • 웰비아닷컴 기술개발실 인프라유닛 • 2년

   8개월째 휴학 중

3. 이번에 가본 크고 깊은 곳?

4. 가게 된 계기? • 페이스북 광고로 처음 알게 됨 •

   “아무나 들어갈 수 없고, 다른 곳에는 없는 데이터가 있다” 라는 말에 시작하게 됨 • 원래 들어가지 말라고 하면 더 들어가고 싶은 법

5. • 처음엔 Tor 브라우저 써서 접속 (Firefox 기반) • 엄청

   느림! • 이걸 어떻게 쓸 수 있는지.. 입장

6. 수집 • 우리들의 친구 Python 으로 빠르게 개발 • selenium,

   phantomjs 이용해서 스크린샷 • 제작한 tor-proxy를 socks5h으로 연결해 onion 주소에 접근할 수 있도록 함
 https://hub.docker.com/r/bunseokbot/torproxy • 수집한 도메인, 비트코인 주소, 서버 정보 등은 elasticsearch에 저장

7. 데이터를 열심히 모았는데..

8. 알고보니.. • 원래는 다른 포트로 인증을 통과 해야만 접근할 수

   있게 설정해둠. • 그러나 잠시 9200 포트를 테스트를 위해 열어두고 깜빡하고 닫지 않음. • RANSOMED • crawl_darkweb_data(count=2)

9. 분석 • 데이터를 쌓고 보니 이상한 점이 보임 • 도메인은

   다른데 사이트는 유사한 것들이 몇개 보이기 시작

10. 분석 • 일단 비트코인 주소 잡고 시작 • 주소도 같은

    걸 쓰는 친구들 발견

11. 분석 • 비교적 최근까지 거래가 이루어진 기록을 확인 (1달 이용료,

    0.0025 BTC) • 9.64 BTC (약 1억 2천 1백만원, 2019.8.17 오전 9시 기준)

12. 분석 • 입금과 즉시 소유자는 다른 곳으로 출금 • 과연

    어디로 출금하는 것일까..?

13. 분석 • walletexplorer를 이용하면 거래소 지갑인지 찾을 수 있음 •

    거의 대부분의 자금이 HappyCoins 이라는 거래소로 빠져 나가는 것을 확인

14. 분석 • 유로화를 취급하는 거래소 • 현금으로 받고자 한다면 IBAN

    계좌번호가 있어야 함 (유럽쪽에서 사용하는 번호)

15. 아쉽게도 • 여기 이후에는.. 개인이 할 수 없는 영역임 •

    그냥 이 거래소로 빠져 나갔다.. 그리고 거래소의 특징에 따라 추정할 수 있을 뿐.. • 이 사이트 운영자는 IBAN 주소를 가지고 있는 유럽 거주자일 가능성이 있음 (물론 아닐 수 있음!) • 그래도 아 이런 자금이 결국 실제 사회에서 쓸려면 이런 거래소를 거쳐야 하므로 잘 추적하면 가능할 수 있지 않을까..? 라는 결론

16. 마지막으로 • 탐험에 필요한 엔진과 기초 데이터를 오픈 했습니다.
 https://github.com/bunseokbot/darklight

    and https://iam.namjun.kim • 생각보다 깊은 곳이 아니니 겁내지 말고 들어가 보자 • 저희 회사 사람 뽑습니다. ([email protected], 산업기능요원 가능) • 해킹툴 박멸 퀘스트를 진행할 참신한 엔지니어 (분석, 기술개발, DevOps 등) 는 언제나 환영입니다.

17. 감사합니다 이 페이지까지 올 수 있겠지..?