윤영 대표 “OSINT 활용해 불법 콘텐츠 사이트 탐지·추적·분석”(영상)

데일리시큐가 2월 6일 주최한 국내 최대 사이버위협 인텔리전스 컨퍼런스 K-CTI 2024에서 윤영 익스웨어랩스 대표는 ‘OSINT를 활용한 사이버 범죄 추적(불법콘텐츠 사이트 추적분석 사례)’을 주제로 강연을 진행했다.

최근 사이버 도박, 마약, 불법 온라인 스트리밍 등 불법 콘텐츠 사이트로 인한 사회적 문제가 대두되고 있지만 차단하기는 어려운 것이 현실이다.

윤영 대표는 “불법 콘텐츠 사이트 운영자는 도메인 주소를 수시로 변경해 우회가 가능하고 서버가 해외에 있어 추적도 어렵다. CDN 서비스로 인해 실제 서버 IP 추적도 어렵다”고 설명했다.

윤 대표는 추적이 어려운 불법 콘텐츠 사이트를 OSINT를 활용해 탐지하고 추적 분석해 사이버 범죄자의 신원을 특정할 수 있는 IP 주소, 이메일 등과 같은 정보를 획득해 내는데 독보적인 기술력을 확보하고 있으며 관계 기관 및 기업들과 협력하고 있다.

그는 구글, 빙과 같은 검색엔진 그리고 쇼단, 크리미널IP 등 IP 정보수집 검색엔진과 텔레그램, 깃허브, 트위터 등 SNS 정보를 활용해 △불법 도박 사이트 정보 △홍보 및 도박 개발 시스템 △내부 데이터 추출 △개발 환경 정보 △도메인/DNS 정보 △텔레그램 홍보사이트 등을 추적하고 있으며 이번 강연을 통해 분석 방법 및 추적 사례를 소개했다.

그는 “불법 콘텐츠를 막기 위해서는 선제적으로 사이트가 오픈하기 전에 개발 시스템을 찾아야 한다. 개발 시스템 안에는 오픈 전이기 때문에 상당히 많은 포트가 열려 있고 내부적으로 테스트 파일들이 많이 노출된다. 이때 다양한 기법으로 추적할 수 있게 된다”고 전했다.

불법 콘텐츠를 운영자들은 자기 자신을 감추는 것을 기본으로 적용한다. 이때 불법 검색 사이트를 추적하기 위해서는 구글이나 쇼단, 센시스나 크리미널IP와 같은 IP 정보 수집 검색 또는 도메인 정보 수집 검색을 이용해서 찾을 수 있다.

그는 구글 검색을 통해 불법 도박 운영자들이 자동게시판등록기나 자동 메크로툴 등 자동화 프로그램을 활용해 홍보한 게시글을 찾아 추적해 개발사와 개발자 정보까지 밝혀낸 사례와 방법을 소개했다.

특히 불법 OTT(Over-The-Top) 스트리밍 사이트 추적분석 사례를 소개했다.

그는 “누누티비는 도미니카 공화국 산토도밍고에 소재지를 두고 대한민국을 대상으로 서비스했던 국내 대형 불법 스트리밍 사이트다. 영화·드라마·애니메이션 및 OTT 플랫폼 드라마와 영화를 불법으로 업로드해서 사설토토 등의 불법 도박 광고 배너로 수익을 취하며 홍보가 주 수익원이었다. 본사 연락처가 국가번호 +829로 시작하고 사업장 주소가 도미니카 공화국으로 적혀 있긴 하지만 진짜 주소가 맞는지는 알 수 없다. 2023년 2월 16일까지는 소재지가 파라과이 아순시온으로 되어 있었으며 근래에 도미니카 공화국으로 변경된 것이다. 결국 2023년 4월 14일 서비스를 종료했다”며 “이후에도 후후티비, 티비몬, 티비위키 등 불법 OTT 스트리밍 사이트가 등장했고 추적한 결과 누누티비 운영자들이 만든 대체 사이트인 것으로 드러났다. 분석을 통해 도용앱 개발자의 신원 정보를 확인할 수 있었고 아류 사이트들의 도메인 DNS 이력 정보를 확인해 실제 IP 주소도 찾을 수 있는 단서를 제공했다”고 설명했다.

윤영 대표의 K-CTI 2024 강연은 아래 영상을 통해 보다 상세히 들을 수 있다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다.