유럽 형사경찰기구(Europol)는 프랑스, 우크라이나 경찰과 협력하여 7월 22일 키이우에서 러시아어 다크웹 플랫폼 XSS.is의 핵심 관리자를 체포하여 거의 20년간 지속된 지하 경제의 중심을 종식시켰다.
경찰은 이 관리자가 XSS.is에서 핵심적인 역할을 수행하며 다양한 서비스를 제공함으로써 약 700만 유로의 광고 및 관리 수수료를 벌었다고 밝혔다.
얽힌 지하 경제
공개된 자료에 따르면, XSS.is는 주로 러시아어를 사용하는 사이버 범죄 플랫폼으로, 2004년 DaMaGeLaB라는 이름으로 처음 출시되었으며 세계에서 가장 크고 유명한 사이버 범죄 플랫폼 중 하나이다.
해당 포럼은 해커들이 탈취한 시스템 접근권, 악성 소프트웨어, 도난 자격증명, 데이터베이스, 랜섬웨어 키트 등을 사고팔 수 있는 거래 플랫폼을 제공하며, 암호화된 Jabber 채널을 통해 익명 거래를 진행했다. 또한 엄격한 회원 심사 메커니즘으로 유명하며, 50,000명 이상의 등록 사용자를 보유하고 있으며, 일부 사용자는 계정의 진실성을 보장하고 스팸 계정을 방지하기 위해 수수료를 지불해야 했다. XSS.is의 핵심 관리자가 체포됨에 따라 해당 플랫폼의 도메인은 현재 압수되었으며, 다크웹 도메인 및 백업 도메인도 "504 게이트웨이 시간 초과" 오류를 표시하고 있다.
주목할 만한 점은, 슬로우 미스트(SlowMist)의 정보 책임자 @im23pds도 XSS.is가 Stealer 도구(정보 탈취 도구)의 최대 거래 온상이며, 이러한 Stealer 도구가 장기간 암호화폐 영역의 보안에 심각한 문제를 야기해왔다고 경고했다: 예를 들어 Lumma Stealer와 같은 악성 프로그램은 대량으로 암호화폐 지갑 브라우저 확장 프로그램, 개인 키, 니모닉 단어를 훔칠 수 있다.
국경을 넘는 공조
경찰의 보도 자료에 따르면, 이번 체포 작전은 2021년 프랑스 경찰이 제공한 단서로 거슬러 올라간다. Europol은 정보를 바탕으로 2024년 우크라이나 법 집행 기관과 함께 XSS.is에 대한 현장 감시를 실시했다.
여러 차례의 침투와 배치를 거쳐, 프로젝트 팀은 최종적으로 용의자의 거주지와 서버 위치를 특정하여 핵심 인물을 체포하고 대량의 데이터를 압수했다. 법 집행 기관은 플랫폼 운영자를 제거하면 XSS.is의 신뢰 메커니즘이 즉시 붕괴되어 단기간에 관련 악의적 거래 활동을 억제할 수 있을 것이라고 덧붙였다.
후속 리스크와 장기 도전
마지막으로, Europol은 최신 IOCTA 보고서에서 번성하는 다크웹 데이터 거래 시장이 사이버 범죄를 주장하는 핵심 동인 중 하나라고 경고했다. XSS.is와 같은 플랫폼은 탈취된 데이터, 해킹 도구, 불법 서비스의 거래와 수익화를 가능하게 함으로써 다양한 범죄 활동을 조장한다. 이번 XSS.is 관리자 체포는 다크웹 '플랫폼화' 범죄의 취약점을 드러냈다: 핵심 노드가 타격을 받으면 거대한 지하 생태계가 순식간에 영향을 받을 수 있다.
그러나 주목할 점은 새로운 플랫폼과 미러 사이트가 빠르게 생겨날 수 있다는 것이다. 따라서 끊임없이 진화하는 공격 방식에 대면하기 위해 기업, 개인, 규제 기관 모두 경계를 늦추지 말아야 하며, 이 보이지 않는 전쟁의 방어선을 따라잡아야 한다.
