다크웹 접속 방법 중 가장 많이 알려져 있는 방법은 Tor 브라우저를 사용하는 것이다. Tor 의 다크웹 사이트는 도메인 뒤에  ‘.onion’ 이 붙은 형태로, Tor 브라우저를 통해서만 접속이 가능하다.그러나, Tor 브라우저를 사용하지 않아도 다크웹 사이트에 접속할 수 있는 방법이 있다. 이번 글에서는 크롬 등의 일반 브라우저에서 다크웹 접속 방법, 해커그룹의 실제 다크웹 사이트를 조사하는 방법을 다룬다.

일반 브라우저에서 다크웹 접속 방법

Tor 브라우저에서만 접속 가능한 Onion 도메인을 일반 브라우저인 Chrome 으로 접속 할 수 있을까? 

다크웹 사이트의 도메인 뒤에 ‘.ly’ 가 붙어 있다면 접속 가능하다. (접속이 ‘가능’ 할 뿐 이지 ‘안전’ 하지는 않으니, 접속을 시도하는 것은 추천하지 않는다.)

onion.ly 도메인은  Tor2Web 이 제공하는 프록시 서버 도메인 주소다. Tor2web은 Tor 네트워크에 연결 하지 않고도 표준 브라우저에서 Onion 서비스에 접속할 수 있게 하는 소프트웨어 프로젝트이다.

다크웹 접속 방법 중 하나인 Tor2Web의 Onion.ly 프록시 서버 안내 페이지
다크웹 접속 방법 중 하나인 Tor2Web의 Onion.ly 프록시 서버 안내 페이지

onion.ly 로 끝나는 다크웹 사이트 도메인은 hxxp://abcdxxx1234[.]onion.ly 와 같은 형태이며, 실제 접속 시 Tor 브라우저를 사용한 것과 같이 다크웹 사이트에 접속할 수 있게 된다. 

해커 그룹이 사용하는 onion.ly 도메인

악명 높은 랜섬웨어 공격 그룹들이 이러한 onion.ly 링크를 사용하는 것을 종종 볼 수 있다. 랜섬웨어 감염되면 공격자는 몸값 지불을 요구하며 자신들의 다크웹 접속 방법 안내와 링크를 전달하는데, 그 때 일반 브라우저를 사용하는 피해자가 다크웹 사이트에 접속할 수 있도록 onion.ly 도메인으로 끝나는 주소를 전달한다. 관련하여, CIP Blog의 LockBit 3.0 랜섬웨어 공격 사례 분석 글에서 다룬 랜섬웨어 공격 방법을 참고할 수 있다. 

실제 랜섬웨어 해커 그룹이 사용하는 다크웹 사이트 주소를 보면 도메인 접미사로 onion.ly 가 쓰인 것을 볼 수 있다.
아래 링크는 실제로 공격 그룹들이 배포한 랜섬웨어 배포 파일을 가상환경에서 설치해 그들이 안내한 몸값 지불 방법에서 찾아낸 링크다.

  • Maxey Moverley
    hxxp://omegalock5zxwbhswbiscxxxxvdulyvtqqbudqousisjgc7j7yd[.]onion[.]ly
  • Blackbyte Group
    hxxp://jbeg2dct2zhku6c2vwnpxtmxxxxxnqvvpoiiwr5hxnc6wrp3uhnad[.]onion[.]ly
  • DAIXIN Team
    hxxp://7ukmkdtyxdkdivtjad57klqnd3kdsmq6tpxxxxu76zzv3jvitlqd[.]onion[.]ly
  • Everest Ransom Team
    hxxp://ransomocmou6mnbquqzxxxxjk3o5qjsl3orawojexfook2j7esad[.]onion[.]ly/about

Security OSINT 검색엔진으로 Onion.ly 도메인 탐색

앞서 말했듯이, onion.ly 링크는 일반 브라우저를 활용한 다크웹 접속 방법 중 하나로, 링크만 클릭하면 바로 다크웹 사이트에 접속된다. 몇몇 국가에서는 다크웹에 접속하는 것 만으로도 문제가 될 수 있으며, 그렇지 않더라도 랜섬웨어 그룹 등 해커들이 운영하는 다크웹 사이트에 onion.ly 링크로 접속할 경우, 도메인 공급자는 접속자의 IP 주소를 파악할 수 있어, 또 다른 공격 대상이 될 수 있다.

onion.ly 링크를 확인해야 할 때 직접적으로 접속하지 않고도 정보를 얻을 수 있는 방법이 있다. 
Security OSINT 검색엔진 Criminal IP 의 Domain Search에 검색하면 아래와 같이 onion.ly 사이트의 정보 및 스크린샷을 확인할 수 있다. 

Security OSINT 검색엔진 Criminal IP Domain Searh에 onion.ly 도메인을 검색한 결과
Security OSINT 검색엔진 Criminal IP Domain Searh에 onion.ly 도메인을 검색한 결과

검색된 결과를 보면, Abused Record 이력과, 피싱 URL로 탐지 된 것을 볼 수 있다. 

또한, 아래와 같이 직접 접속하지 않고도 실시간의 웹사이트 스크린샷을 확인할 수 있다.

Criminal IP Domain Search 에 onion.ly 링크를 검색한 결과, 스크린샷을 확인할 수 있다
Criminal IP Domain Search 에 onion.ly 링크를 검색한 결과, 스크린샷을 확인할 수 있다
Domain Search 검색으로 확인한 0mega 해커 그룹의 다크웹 사이트 스크린샷
Domain Search 검색으로 확인한 0mega 해커 그룹의 다크웹 사이트 스크린샷

이처럼, 필요에 의해 다크웹 사이트를 조사해야 하는 경우, Tor 를 설치하지 않고도 다크웹에 접속할 수 있다.
다크웹 사이트에 대한 분석 또는 특정 정보를 얻고자 하는 경우, 이 글에서 설명된 Security OSINT 검색엔진 등을 사용하여 정보를 얻는 것을 추천한다. 

데이터 출처 : Criminal IP (https://www.criminalip.io)

관련 글 :

http://blog.criminalip.io/ko/2022/09/23/lockbit-3-0-랜섬웨어/