지난달, 다크 웹 및 언더그라운드 모니터링 18년 만에 처음 보는 것을 목격했습니다

언더그라운드(Underground)는 보안 산업이 적응하는 속도보다 더 빠르게 변화하고 있습니다. 여기 지난 20년 가까운 직접적인 모니터링을 통해 다음에 무엇이 올지에 대해 밝혀낸 내용이 있습니다.

Adrian Alexandru 작성 — Aether Intel 수석 분석가 (aether-intel.com)

저는 대시보드나 벤더 피드(vendor feeds), 혹은 스크래핑된 데이터를 통해서가 아니라, 위협 행위자(threat actors)들이 모집, 협상, 도구 구축 및 작전을 계획하는 언더그라운드 커뮤니티, 포럼, Telegram 채널 내에서의 직접적이고 지속적인 존재를 통해 거의 20년 동안 다크 웹(dark web) 생태계를 모니터링해 왔습니다.

지난 30일 동안 제가 목격한 것은 지난 18년 동안 보았던 그 어떤 것과도 다릅니다. 단 하나의 사건이 전례 없는 것이 아니라, 변화의 속도가 보안 산업의 표준 대응 주기(standard response cycles)가 따라잡기에는 구조적으로 너무 느릴 정도로 가속화되었기 때문입니다.

다음은 2026년 6월의 6가지 관찰 결과입니다. 이 중 그 어떤 것도 여러분의 위협 피드(threat feed)에는 나타나지 않을 것입니다.

1. 지난 10년 중 어느 때보다 더 많은 새로운 시장의 등장. 새로운 다크 웹 마켓플레이스(dark web marketplaces)가 2014~2015년 Silk Road 사후 확산 시대 이후로 본 적 없는 속도로 등장하고 있습니다. 차이점은 그것을 움직이는 동력입니다.

2010년대 중반에는 다크 웹 마켓플레이스를 출시하려면 팀이 필요했습니다. 플랫폼을 위한 개발자, 에스크로(escrow) 시스템을 이해하는 사람, 호스팅 및 모드(mods)를 설정할 수 있는 사람, 그리고 판매자 온보딩(vendor onboarding)을 처리할 수 있는 사람이 필요했습니다. 인프라 장벽은 실재했습니다. 모든 사람이 이를 통과할 수는 없었으며, 이는 방어자들이 대략적으로 추적할 수 있는 속도로 생태계가 성장했음을 의미했습니다.

그 장벽이 무너졌습니다. 이제 AI 도구들이 마켓플레이스 인프라 개발—상점 생성, 에스크로 로직, 판매자 검증 워크플로우, 심지어 분쟁 해결 및 고객 지원까지—을 자동화합니다. 과거에 전문가 팀과 수개월의 개발 기간이 필요했던 작업들을 이제는 의욕 있는 개인 한 명이 주말 사이에 구축할 수 있습니다.

그 결과, 방어자들이 이를 목록화하고, 모니터링하며, 평가하는 능력을 앞지르는 시장의 급증이 나타나고 있습니다. 이러한 새로운 시장의 대부분은 기존 플랫폼이 가진 평판, 판매자 기반, 그리고 운영적 깊이가 부족하기 때문에 실패할 것입니다. 하지만 실패한 시장이라 할지라도 운영되는 동안에는 피해를 입힙니다. 이들은 거래를 용이하게 하고, 기회주의적인 행위자들을 끌어들이며, 생태계를 모니터링하려는 이들에게 신호 대 잡음비 (Signal-to-noise ratio)를 저하시키는 노이즈를 생성합니다.

구조적인 핵심은 이것입니다: AI가 다크 웹 (Dark web)을 더 정교하게 만든 것이 아닙니다. AI는 다크 웹을 더 접근하기 쉽게 만들었습니다. 그리고 대규모로 이루어지는 접근성 (Accessibility)은 정교함보다 더 위험합니다.

1. 기존 포럼들이 더 똑똑해졌습니다. 하위 계층에서 새로운 시장들이 급증하는 동안, 상위 계층의 기존 포럼과 마켓플레이스들은 공격이 아닌 방어를 위해 자신들의 운영에 AI를 통합하고 있습니다.

저는 기존 플랫폼들이 여러 영역에서 AI 기반 역량을 배치하는 것을 관찰했습니다: 법 집행 기관의 패턴을 탐지하기 위한 신규 판매자의 자동 검증 (Automated vetting), 침입자를 식별하기 위한 회원 활동의 행동 분석 (Behavioural analysis), 플랫폼을 노출시킬 수 있는 운영 보안 (OPSEC) 실패를 표시하기 위한 리스팅의 자동 OPSEC 감사, 그리고 인간 모니터 요원이 따라갈 수 없는 속도와 일관성으로 작동하는 AI 지원 콘텐츠 모더레이션 (Content moderation) 등이 그것입니다.

아이러니는 매우 날카롭습니다. 합법적인 기업들이 사기 탐지 (Fraud detection)와 콘텐츠 모더레이션을 위해 사용하는 것과 동일한 AI 도구들이, 바로 동일한 목적을 위해—단지 반대 방향을 향할 뿐—언더그라운드에서도 채택되고 있습니다. 포럼들은 자신들을 탐지하려는 사람들을 찾아내기 위해 AI를 사용하고 있습니다.

이는 대부분의 방어자들이 자신이 처해 있다는 사실조차 아직 인지하지 못하고 있는 역량 군비 경쟁 (capability arms race)을 만들어냅니다. 보안 업계의 많은 가정은 언더그라운드가 기술적으로 미숙하며, 도구를 완전히 이해하지 못한 채 사용하는 스크립트 키디 (script kiddies)와 기회주의자들로 구성되어 있다는 것입니다. 그 가정은 이미 구식이었습니다. 이제는 위험할 정도로 틀렸습니다. 최상위 포럼들은 어떤 SOC (Security Operations Center) 분석가라도 알아볼 수 있는 보안 운영 (security operations)을 수행하고 있는데, 이는 그들이 동일한 개념적 프레임워크 (conceptual framework)를 사용하고 있으며, 점점 더 동일한 AI 툴링 (AI tooling)을 사용하고 있기 때문입니다.

1. The Gentleman과 최소 5개의 다른 그룹이 동시에 채용 중: 지난 몇 주, 심지어 몇 달 동안, 저는 The Gentleman으로 알려진 그룹을 포함하여 최소 6개의 주요 위협 행위자 (threat actors)가 다크 웹 포럼과 텔레그램 (Telegram) 채널을 통해 활발한 채용 (제휴 프로그램, affiliate programs) 캠페인을 시작하는 것을 목격했습니다.

규모가 중요합니다. 개별적인 채용 활동은 정상적인 일입니다. 그룹이 확장되거나, 체포된 멤버를 교체하거나, 특정 캠페인을 준비할 때 정기적으로 발생합니다. 기성 위협 행위자들로부터 발생하는 6개의 동시 채용 캠페인은 정상이 아닙니다. 이는 조직적인 확장, 여러 행위자가 독립적으로 식별한 시장 기회에 대한 대응, 또는 현재 개별 그룹이 유지하고 있는 것보다 더 큰 인력이 필요한 캠페인 주기에 대한 준비를 의미합니다.

외부 모니터링만으로는 이 설명 중 어느 것이 맞는지 판단할 수 없습니다. 지속적인 관찰을 통해 제가 말할 수 있는 것은, 여러 기성 행위자들이 동시에 채용을 진행할 때, 그 결과물 — 즉 채용된 인원들이 결국 실행하게 될 운영 — 은 3~6개월 후에 나타난다는 것입니다. 2026년 6월의 채용 물결은 2026년 말과 2027년 초의 공격 주기를 위한 인력 구축입니다.

시장이 성장하는 이유는 시장이 더 많은 인력이 필요할 것이라고 예상하기 때문입니다. 그 예상 자체가 이 보고서에서 가장 중요한 지표입니다.

1. 신규 모집 인원들이 AI를 사용하여 검증 테스트를 통과하고 있습니다. 이 부분이 방어자들에게 가장 우려되는 지점이며, 제가 분석적으로 가장 유의미하다고 판단한 관찰 결과입니다.

Medium 멤버가 되기
신규 모집 인원이 기존의 다크 웹 평판(dark web reputation) 없이, 즉 수년간의 포럼 활동 이력이나 알려진 행위자들의 보증(vouching), 언더그라운드에서 신뢰성을 구성하는 실적 없이 이러한 그룹에 접근할 때, 그룹들은 일반적으로 검증 테스트(vetting test)를 실시합니다. 테스트는 그룹과 역할에 따라 다르지만, 일반적으로 기술적 능력(technical capability)을 평가합니다. 즉, 이 사람이 자신이 할 수 있다고 주장하는 일을 실제로 할 수 있는지를 확인하는 것입니다.

현재 제가 관찰하고 있는 것은, 확립된 평판이 없는 후보자 대다수가 AI 도구를 사용하여 정답을 생성함으로써 이러한 테스트를 통과하고 있다는 사실입니다. 모집 인원들은 테스트가 검증하도록 설계된 기술적 깊이(technical depth)를 갖추고 있지 않습니다. 대신 그들은 요구에 따라 기술적으로 정확한 결과물을 만들어낼 수 있는 AI 도구에 접근할 수 있습니다.

이로 인한 파생적 영향(downstream implications)은 상당합니다. 생태계에 진입하는 차세대 위협 행위자(threat actors)들은 평균적으로 이전 세대보다 기술적 숙련도가 낮을 것입니다. 그들은 자신이 사용하는 도구를 완전히 이해하지 못하기 때문에 운영 보안(OPSEC, Operational Security)이 더 취약할 것입니다. 그들은 더 많은 실수를 저지를 것입니다. 그럼에도 불구하고 그들은 여전히 심각한 피해를 입힐 능력이 있습니다. 왜냐로 그들이 배치하는 도구들은, 설령 숙련도가 낮은 손에 의해 운용되더라도 침해(breach), 암호화(encrypt), 유출(exfiltrate), 갈취(extort)를 수행할 만큼 충분히 강력하기 때문입니다.

이것이 바로 AI 보조형 평범함(AI-assisted mediocrity) 문제이며, 이는 들리는 것보다 더 위험합니다. 강력한 OPSEC을 갖춘 고도로 숙련된 위협 행위자는 위험하지만 예측 가능합니다. 그들은 패턴을 따르고, 자신의 작전을 보호하며, 프로파일링과 추적이 가능합니다. 반면, 취약한 OPSEC과 AI로 증강된 능력(AI-augmented capability)을 가진 저숙련 행위자는 위험하면서도 예측 불가능합니다. 그들은 변칙적인 결정을 내리고, 유용하지 않은 흔적을 남기며, 정밀함보다는 물량과 부주의함을 통해 피해를 입힙니다.

방어자들은 첫 번째 유형과 싸우도록 최적화되어 있습니다. 다가오고 있는 것은 바로 두 번째 유형입니다.

1. 새로운 세대는 오직 돈과 명성만을 위해 움직입니다 — 그 외에는 아무것도 없습니다. 약 2015년부터 2023년까지 다크 웹 (dark web)의 지형을 정의했던 주요 위협 행위자 (threat actors) 그룹인 이전 세대는 다양한 동기가 혼합된 상태로 활동했습니다. 어떤 이들은 이념적 신념을 가지고 있었고, 어떤 이들은 기술적 자부심을 가졌습니다. 많은 이들이 커뮤니티에 대한 충성심과, 비록 범죄적일지라도 내부적으로는 일관된 행동 강령을 가지고 있었습니다. 그들은 자신들의 활동이 곧 정체성이었기에 그 활동을 보호했습니다.

새로운 물결에는 이러한 것이 전혀 없습니다.

관찰 결과, 현재 생태계에 진입하는 신규 유입자들의 동기는 거의 전적으로 두 가지, 즉 돈과 명성에 의해 움직입니다. 그들은 보상을 받고 싶어 합니다. 그들은 알려지기를 원합니다. 그들은 자신의 텔레그램 (Telegram) 채널에 올릴 랜섬 노트 (ransom note) 스크린샷을 원합니다. 그들은 과거에 그 명성을 얻기 위해 필요했던 수년간의 노력을 거치지 않고도 명성을 얻기를 원합니다.

방어자들에게 이러한 동기 프로필의 변화는 직접적인 전술적 결과를 초래합니다. 커뮤니티 충성심과 운영의 지속성에 의해 움직이는 행위자들은 신중합니다. 그들은 부수적 피해 (collateral damage)를 최소화하는데, 부수적 피해는 주의를 끌고, 주의를 끄는 것은 그들의 활동을 위협하기 때문입니다. 반면 돈과 명성에 의해 움직이는 행위자들은 신중하지 않습니다. 그들은 영향력을 극대화하는데, 왜냐하면 영향력 자체가 상품이기 때문입니다. 랜섬 노트는 목적을 위한 수단이 아닙니다. 그것이 곧 목적입니다. 데이터 유출 (data exfiltration)은 협상을 위한 지렛대가 아닙니다. 그것은 그들의 채널을 위한 콘텐츠입니다.

지킬 것도 없고 잃을 것도 없는 사람을 예측할 수는 없습니다. 기존 그룹들의 운영 패턴, 타겟팅 선호도, 협상 행동 등을 프로파일링하여 작동하던 전통적인 위협 행위자 프로파일링 프레임워크 (threat-actor profiling frameworks)는, 운영 패턴이 혼돈(chaos)이고 협상 행동이 과시적(performative)인 행위자들에게는 통하지 않습니다.

1. 숫자는 끝나지 않은 이야기를 말해줍니다. Fortune 50대 기업 중 한 곳의 최근 보고서는 제가 언더그라운드 측면에서 관찰해 온 내용을 확인해 주었습니다. 즉, 2025년 사이버 공격은 전년 대비 4050% 증가했습니다. 이 기사에 기록된 채용 패턴, 시장 확산, 그리고 AI 도구 도입을 바탕으로 판단할 때, 2026년의 공격은 6080% 증가할 궤도에 올라 있습니다.

하지만 곡선은 거기서 정체되지 않습니다. 현재 일어나고 있는 채용의 물결—6개의 동시다발적인 캠페인, AI 보조 검증 (AI-assisted vetting), 금전적 동기를 가진 행위자들의 유입—은 2027년을 위한 인력 구축 과정입니다. 현재 언더그라운드 환경에서 개발되고 테스트 중인 도구들은 2027년 1분기부터 2028년 중반까지 대규모로 배치될 도구들입니다.

공격 곡선은 평탄해지고 있지 않습니다. 오히려 가팔라지고 있습니다. 그리고 이 가팔라짐은 아직 시작조차 하지 않았습니다.

이것이 실제로 의미하는 바: 아무도 듣고 싶어 하지 않는 예측
여섯 가지 관찰을 종합하여 도출한 불편한 결론은 다음과 같습니다.

앞으로 몇 년이 아니라, 몇 달 내에, 현재 사이버 보안 채용을 정의하는 기술적 역량만으로는 다가올 공격의 물결을 막기에 충분하지 않을 것입니다. 로그를 읽고, 탐지 규칙 (detection rules)을 작성하며, 경보 (alerts)에 대응하는 데 뛰어난 SOC 분석가들은 계속해서 필수적인 존재로 남을 것입니다. 하지만 그들만으로는 충분하지 않을 것입니다. 지금 구축되고 있는 공격들은 개인이 직접 보유하지 않은 역량을 생성하기 위해 AI 도구를 사용하는 사람들에 의해 설계될 것이며, 기존의 어떤 프로필과도 일치하지 않는 운영 패턴을 가진 사람들에 의해 실행될 것이고, 그 어떤 모니터링 프로그램도 추적할 수 있는 속도보다 더 빠르게 성장하는 생태계에 의해 자금이 조달될 것입니다.

기업, CERT(침해사고대응팀), 그리고 정부 보안 팀에 실제로 필요한 것 — 그리고 현재 거의 누구도 갖지 못한 것 — 은 지하 생태계(underground ecosystems)에 대한 실질적인 접근 권한을 가진 사람들입니다. 그것은 배포되기 전에 무엇이 구축되고 있는지를 볼 수 있는 사람들입니다. 위협 행위자(threat actor)들의 사고방식을 수년간 관찰해 왔기에, 그들처럼 생각할 수 있는 사람들입니다. 기술적 이해도와 더불어, 공격자의 입장에 서서 공격자가 타겟을 바라보는 방식으로 볼 수 있게 해주는 적대적 상상력(adversarial imagination)을 결합한 사람들입니다.

나는 이들을 '현실을 꿈꾸는 자(reality dreamers)'라고 부릅니다. 즉, 현재 조립되고 있는 것을 바탕으로 아직 일어나지 않은 일을 예측할 수 있을 만큼 충분한 상상력을 가진 분석가들입니다. 보안 산업은 어제 무슨 일이 일어났는지 말해줄 수 있는 사람들로 가득 차 있습니다. 하지만 다음 달에 무슨 일이 일어날지 말해줄 수 있는 사람은 매우 적습니다. 그리고 이 두 능력 사이의 간극이 바로 다음 침해 사고(breach)가 발생하는 지점입니다.

나중에 대응하는 것은 더 많은 비용을 지불하는 것을 의미합니다. 지금 보는 것이 곧 예방입니다.

선택은 구조적이며, 그 선택을 할 수 있는 기회의 창은 닫히고 있습니다.

Adrian Alexandru는 루마니아 브라쇼브(Brașov)에 본사를 둔 독립 사이버 위협 인텔리전스(cyber threat intelligence) 운영 기관인 Aether Intel의 설립자이자 수석 분석가입니다. 그는 4개의 분석 시리즈를 통해 80개 이상의 TLP:CLEAR 인텔리전스 보고서를 발행했으며, 거의 20년 동안 다크 웹 HUMINT(인적 정보) 모니터링 역량을 유지해 왔습니다. 그의 작업물은 aether-intel.com에서 무료로 확인할 수 있습니다.

이 기사는 지하 생태계에 대한 직접적인 관찰을 바탕으로 작성되었습니다. 행위자의 신원이 이미 공개된 경우를 제외하고, 특정 포럼, 마켓플레이스 또는 Telegram 채널의 이름은 명시되지 않았습니다. 기밀 정보는 인용되거나 암시되지 않았습니다.