Measuring onion website discovery and Tor users' interests with honeypots

이 논문은 2025 년 3~4 월에 Ahmia 검색 엔진 등 세 가지 경로를 통해 배포된 허니팟을 활용하여 토르 사용자의 실제 관심사를 분석한 결과, 대부분의 인간 사용자는 Ahmia.fi 에서 유입되었으며 특히 아동 성착취물 (CSAM) 테마의 허니팟에서 가장 높은 참여도를 보였음을 밝혔습니다.

핵심

🕵️‍♂️ 연구의 핵심: "가짜 가게"를 세워보세요

연구진들은 토르 네트워크 안에 **8 가지 다른 테마의 '가짜 가게'**를 만들었습니다. 이 가게들은 실제 불법 사이트처럼 보이게 꾸몄지만, 실제로는 아무것도 팔지 않는 **함정 (Honeypot)**이었습니다.

• 가게의 종류: 아동 성착취물 (CSAM), 폭력, 해킹 도구, 도난 물품, 불법 총기, 마약, 위조 지폐, 그리고 "무슨 가게인지 모르겠는" 일반 가게.
• 방문 규칙: 가게 문을 열려면 간단한 퍼즐 (CAPTCHA) 을 풀어야 했습니다. 이는 실제 사람이 왔는지, 아니면 **로봇 (봇)**이 돌아다니는지를 구별하기 위한 장치였습니다.

이 가짜 가게들의 문을 열기 위해 연구진들은 세 가지 다른 길로 안내문을 뿌렸습니다.

1. 아우미아 (Ahmia): 토르의 '구글' 같은 검색 엔진.
2. 파스틴 (Pastebin) & 스트롱홀드: 인터넷에 글을 남기는 게시판 같은 곳.

📊 연구 결과: 놀라운 발견들

1. 사람들은 어디서 왔을까? (검색 엔진 vs 게시판)

• 비유: 사람들이 새로운 가게를 찾을 때, '지도 앱 (검색 엔진)'을 보는 사람과 '길거리 전단지 (게시판)'를 보는 사람의 비율을 본 것입니다.
• 결과: 놀랍게도 사람들은 거의 모두 '지도 앱 (아우미아 검색 엔진)'을 통해 왔습니다.
• 게시판에 링크를 뿌렸을 때는 방문 수는 많았지만, 퍼즐을 풀고 안으로 들어온 실제 사람은 거의 없었습니다. 그건 모두 로봇이 돌아다니는 것이었습니다. 반면, 검색 엔진을 통해 온 사람들은 퍼즐을 풀고 가게 안으로 들어와 "회원가입"을 시도했습니다.

2. 어떤 가게가 가장 인기 있었을까? (사람들의 진짜 관심사)

• 비유: 사람들이 어떤 가게 문 앞에 가장 많이 서 있는지, 그리고 문 안에 들어가서 "내 이름 적고 들어갈래?"라고 하는지 확인했습니다.
• 결과:
  • 1 위 (압도적): 아동 성착취물 (CSAM) 가게. 다른 모든 가게를 합친 것보다 훨씬 많은 사람들이 퍼즐을 풀고 안으로 들어갔습니다.
  • 2 위: 폭력 관련 가게.
  • 놀라운 반전: 우리가 흔히 '다크웹'하면 가장 먼저 떠올리는 마약 가게는 7 위에 불과했습니다. 사람들은 마약을 사러 검색 엔진을 통해 우연히 들어오기보다, 이미 알고 있는 비밀스러운 곳에서 거래를 하는 것 같습니다.
  • 최하위: 위조 지폐 가게.

3. 어떤 언어를 선호할까?

• 비유: 같은 가게를 영어, 독일어, 핀란드어, 러시아어로 번역해서 놓아두었습니다.
• 결과: 영어로 된 가게가 가장 인기가 많았습니다. 그다음은 독일어와 핀란드어였는데, 러시아어는 생각보다 인기가 적었습니다. (핀란드어가 높은 이유는 이 검색 엔진이 핀란드에서 만들어졌기 때문일 가능성이 큽니다.)

💡 이 연구가 우리에게 알려주는 것

1. 로봇과 사람을 구별할 수 있다: 단순히 링크를 클릭하는 숫자만 보면 로봇이 너무 많아서 실제 사람의 관심사를 알 수 없습니다. 하지만 퍼즐을 풀고 가입을 시도하는 행동은 진짜 사람의 관심사를 보여줍니다.
2. 검색 엔진의 힘: 사람들이 어두운 인터넷의 새로운 장소를 찾을 때, '검색 엔진'이 가장 강력한 길잡이 역할을 합니다.
3. 관심사의 괴리: 사람들이 검색 엔진을 통해 우연히 발견하는 사이트와, 실제로 가장 많이 거래하는 사이트 (예: 마약 시장) 는 다를 수 있습니다. 검색 엔진을 통해 들어온 사람들은 주로 아동 성착취물이나 폭력 같은 충격적인 콘텐츠에 더 끌리는 경향이 있었습니다.

⚠️ 주의할 점 (연구의 한계)

이 연구는 '검색 엔진을 통해 우연히 들어온 사람들'의 행동만 본 것입니다. 이미 마약 시장이나 범죄 포럼의 주된 단골손님들은 검색 엔진을 쓰지 않고, 비밀스러운 링크로만 이동하기 때문에 이 연구에는 포함되지 않았습니다. 마치 '관광객이 많이 가는 맛집'을 조사했는데, '현지인만 아는 숨은 맛집'은 조사하지 않은 것과 비슷합니다.

📝 요약

이 논문은 **"어두운 인터넷에서 사람들이 진짜로 무엇을 보고 싶어 하는지"**를 보기 위해 **가짜 가게 (함정)**를 세우고, **퍼즐 (CAPTCHA)**로 로봇을 걸러낸 뒤, 검색 엔진을 통해 들어온 사람들의 행동을 분석했습니다. 그 결과, 검색 엔진을 통한 방문은 대부분 '아동 성착취물'에 대한 강한 관심을 보여주었으며, 영어가 가장 선호되는 언어라는 사실을 발견했습니다.

기술 요약

1. 연구 배경 및 문제 정의 (Problem)

• 기존 연구의 한계: 기존 다크웹 (Tor) 연구는 주로 크롤링 (crawling) 을 통한 콘텐츠 분석이나 인덱싱에 집중해 왔습니다. 이는 특정 카테고리의 존재 유무나 콘텐츠의 양을 파악하는 데는 유용하지만, 실제 인간 사용자가 어떤 사이트에 접속하고 상호작용하려는지에 대한 행동적 통찰은 부족합니다.
• 문제점: 기존 연구는 자동화된 봇 (crawler) 과 실제 인간 사용자를 명확히 구분하지 못하거나, 사용자의 실제 관심사 (로그인 시도 등) 를 측정하지 못했습니다. 또한, 사용자가 온온 사이트를 발견하는 경로 (검색 엔진 vs. 링크 공유 사이트) 에 따른 행동 차이를 정량적으로 분석한 연구는 드뭅니다.
• 연구 목표: Tor 사용자들이 실제로 어떤 카테고리의 온온 사이트에 관심을 가지고 접근하려는지, 그리고 어떤 경로를 통해 발견하는지를 허니팟 (Honeypot) 기법을 통해 정량적으로 측정하는 것.

2. 연구 방법론 (Methodology)

연구진은 2025 년 3 월부터 4 월까지 다음과 같은 실험 설계를 수행했습니다.

• 허니팟 (Honeypot) 구축:
  • 카테고리: 사이버 범죄 관련 8 가지 주제 (CSAM, 폭력, 멀웨어, 도난 물품, 불법 화기, 불법 마약, 위조품, 그리고 비교용 '불명확한 포럼') 를 설정했습니다.
  • 언어: 각 카테고리별로 영어, 독일어, 핀란드어, 러시아어 등 4 개 언어로 동일한 사이트를 제작하여 총 32 개의 고유한 온온 도메인을 생성했습니다.
  • 구조:
    1. 랜딩 페이지: 중립적인 설명과 CAPTCHA(로봇 차단) 가 있는 페이지.
    2. 접속 후 페이지: CAPTCHA 해결 후 접근 가능한 가상의 범죄 포럼 페이지 (등록/로그인 필드 포함). 실제 기능은 없으나 로그에 기록되도록 설계되었습니다.
• 트래픽 유입 경로 (Discovery Channels):
  1. Ahmia Tor 검색 엔진: 검색 결과에 중립적인 설명과 함께 허니팟 링크를 무작위로 노출.
  2. Stronghold paste 서비스: 온온 기반의 '페이스트' 서비스.
  3. Pastebin.com: 일반적인 텍스트 공유 사이트.
• 데이터 수집 및 필터링:
  • CAPTCHA 해결 건수를 실제 인간 사용자의 지표로 사용했습니다. (봇은 CAPTCHA 를 풀기 어렵다고 가정).
  • CAPTCHA 해결 후의 등록/로그인 시도를 '진정한 관심 (Genuine Interest)'의 지표로 간주했습니다.
  • 연구 기간: 2025 년 3 월 24 일 ~ 4 월 17 일 (Ahmia 에서 링크 제거 후 1 주일 추가 모니터링 포함).

3. 주요 기여 (Key Contributions)

1. 발견 경로와 인간 참여의 상관관계 분석: Ahmia, Pastebin, Stronghold 등 세 가지 채널을 통해 링크를 배포하고, 인간 참여 (CAPTCHA 해결 및 로그인 시도) 가 어디에서 발생하는지 최초로 정량화했습니다.
2. 주제별 관심도 계량화: 콘텐츠 분석이 아닌, 사용자의 접속 시도 행동을 기반으로 어떤 범죄 카테고리 (CSAM, 마약 등) 에 대한 실제 관심이 높은지 파악했습니다.
3. 언어 선호도 분석: 동일한 콘텐츠의 언어별 변형에 대한 사용자의 선호도를 측정하여, Tor 생태계 내에서의 언어적 편향을 규명했습니다.

4. 연구 결과 (Results)

A. 발견 경로 (RQ1: Paste vs. Search Engine)

• 방문량: 총 219,173 건의 방문 중 87.65% 가 Ahmia에서 발생했습니다. Pastebin(6.42%) 과 Stronghold(5.93%) 는 상대적으로 적었습니다.
• 인간 참여 (핵심 발견):
  • CAPTCHA 해결 및 로그인 시도: 거의 100% 가 Ahmia에서 발생했습니다. (Ahmia: CAPTCHA 17,054 건, 로그인 시도 6,648 건).
  • Paste 사이트: Stronghold 에서 CAPTCHA 2 건이 해결되었을 뿐, 로그인 시도는 전혀 발생하지 않았습니다.
  • 결론: Paste 사이트로 유입된 트래픽은 대부분 봇이나 크롤러였으며, 실제 인간 사용자는 Ahmia 검색 엔진을 통해 온온 사이트를 발견하고 접근함을 확인했습니다. Ahmia 에서 링크를 제거하자 방문과 상호작용이 급감했습니다.

B. 관심 카테고리 (RQ2: Most Captivating Websites)

• CSAM (아동 성착취물) 의 압도적 관심: 모든 카테고리 중 **CSAM 테마가 37.67% (2,504 건)**로 가장 높은 등록/로그인 시도를 보였습니다. 이는 CAPTCHA 해결 후의 전환율 (115.55%) 이 가장 높았음을 의미합니다.
• 폭력 (Violence): 두 번째로 높았으며 (20.47%), CSAM 다음으로 높은 관심을 받았습니다.
• 예상치 못한 저관심 카테고리:
  • 불법 마약 (Illegal Drugs): 다크웹 연구에서 흔히 시장성 (Marketplace) 이 강조되는 마약 카테고리는 전체 시도의 **3.43%**로 매우 낮았습니다.
  • 위조품 (Forgery): 3.38% 로 가장 낮았습니다.
• 해석: 마약 구매자들은 이미 주요 마켓플레이스를 알고 있어 검색 엔진을 통해 새로 발견하려 하지 않는 반면, CSAM 관련 사용자는 검색 엔진을 통해 우연히 접근하는 경우가 많을 수 있음을 시사합니다.

C. 언어 선호도 (RQ3: Language Preferences)

• 영어의 우세: 모든 카테고리에서 **영어 버전이 43.49% (2,891 건)**로 가장 많은 상호작용을 보였습니다.
• 순위: 영어 > 독일어 (22.47%) > 핀란드어 (18.07%) > 러시아어 (15.97%).
• 특이점: 전 세계적으로 화자 수가 많고 Tor 에서도 흔한 러시아어가 핀란드어보다 낮은 참여율을 보였습니다. 이는 Ahmia 가 핀란드 기반 검색 엔진이라 핀란드어 사용자 비율이 높게 반영된 것으로 분석됩니다.

5. 의의 및 결론 (Significance & Conclusion)

• 방법론적 혁신: 기존 콘텐츠 분석을 넘어, **사용자의 실제 행동 (로그인 시도)**을 통해 Tor 사용자의 관심사를 측정하는 새로운 접근법을 제시했습니다.
• 실제적 통찰:
  • Tor 사용자의 온온 사이트 발견은 **검색 엔진 (Ahmia)**에 크게 의존하며, 링크 공유 사이트는 봇 트래픽의 주원인임을 증명했습니다.
  • CSAM에 대한 사용자의 관심이 예상보다 훨씬 높게 나타났으며, 이는 검색 엔진을 통해 유입된 초보 사용자들의 행동일 가능성이 큽니다.
  • 마약 카테고리는 실제 거래가 활발할 것으로 예상되었으나, 검색 엔진을 통한 발견 단계에서는 관심이 낮았습니다. 이는 마약 구매자가 검색이 아닌 직접적인 링크나 기존 마켓을 이용함을 시사합니다.
• 한계점: 데이터가 Ahmia(검색 필터링됨) 에 의존하므로, 필터링되지 않은 사적 링크 공유나 전문 포럼 사용자의 행동은 반영되지 않았을 수 있습니다. 또한, 허니팟의 디자인이 실제 범죄 사이트보다 단순하여 현실성이 떨어질 수 있습니다.

이 연구는 Tor 생태계 내에서 사용자의 실제 행동 패턴을 이해하고, 검색 엔진을 통한 유입 경로의 중요성을 강조함으로써, 향후 다크웹 모니터링 및 정책 수립에 중요한 기초 데이터를 제공합니다.