Difference between revisions of "표면 웹 싸이트 제작"
(→예상 수입) |
(→예상 수입) |
||
| Line 22: | Line 22: | ||
* [[장시시]]: 월 천만원 번다고 자기 입으로 말했음. | * [[장시시]]: 월 천만원 번다고 자기 입으로 말했음. | ||
* [[벚꽃도서관]]([[스카이블레스]]): 검거당할 때까지 1억원 넘게 벌어들임.<ref>http://newslabit.hankyung.com/news/app/newsview.php?aid=201609088547i</ref> | * [[벚꽃도서관]]([[스카이블레스]]): 검거당할 때까지 1억원 넘게 벌어들임.<ref>http://newslabit.hankyung.com/news/app/newsview.php?aid=201609088547i</ref> | ||
* [[꿀밤]]: 2년간 | * [[꿀밤]]: 2년간 수십억원의 부당이익을 취함. | ||
* [[소라넷]]: 수십억원으로 추정됨. | * [[소라넷]]: 총 수입 수십억원으로 추정됨. | ||
* [[밤토끼]]: 한달에 1억원 이상으로 추정됨. | * [[밤토끼]]: 한달에 1억원 이상으로 추정됨. | ||
| Line 33: | Line 33: | ||
불법 도박은 대한민국 정부에서 추정하기로는 1년에 | 불법 도박은 대한민국 정부에서 추정하기로는 1년에 21조원에서 169조원 사이 규모다. 이게 단위가 억원이 아니라 조원이라는 게 놀랍지. 조폭 놈들이 해외 서버로 불법 스포츠 토토 운영하고 그런다. | ||
Revision as of 02:17, 13 May 2018
개요
웹 싸이트 운영자들이 해외 써버를 사용하는 가장 큰 이유는 망가나 성인물이 아니라 돈 때문이다. 남한 호스팅은 워낙 회선비(서버에 물리는 전용 인터넷 회선 비용)와 상면비(IDC에 서버를 넣을 공간을 빌리는 비용)가 비싸기 때문에 미국, 유럽에 비해 가성비가 딸린다. 물론, 해외 써버를 쓰면 남한 경찰이 추적하기 힘들다는 이유도 있다.
이 문서는 해외 써버에 사이트를 개설하는 방법을 서술한다. 무엇보다 이 문서는 다크 웹에서나 만들법한 사이트를 만들라고 있는게 아니다. 어디까지나 표면 웹에서 멀쩡히 운영 가능한 사이트를 위한 문서다. 성인물이나 도박 등 해당 컨텐츠가 합법인 나라 기준이다. 성인물과 도박은 국가에 따라 합법인 곳이 있으니 그런 종류의 웹 싸이트는 그런 나라에 위치한 해외 써버에 만들면 된다. 이 문서는 음란물, 망가, 도박 싸이트 개설을 권장합니다.
마약, 어린이 사랑, 해킹 사이트는 전세계 어디서나 불법이니 다크 웹에 웹 싸이트를 만들어야 한다. 구체적인 방법은 다크 웹 싸이트 제작 문서를 읽어보면 된다.
저작권 침해(만화, 애니, 소설, 영화 등) 사이트는 세계 어디서나 불법이지만, 다크웹에서 운영하면 광고 수익이 거의 나지 않으므로 위험을 감수하고 표면 웹에 운영한다.
리눅스 마스터 1급과 정보보안 기사정도는 딸 실력이 된 후 웹 싸이트를 운영해야 경찰에 의한 체포 가능성이 매우 낮아진다.
스마트폰에서도 JuiceSSH 등 SSH 앱을 설치하면 VPS에 ssh로 접속해서 써버를 관리할 수 있다.
이 문서는 리눅스 민트에서 우분투 16.04 x64 VPS 또는 센트OS 7 64비트 VPS에 SSH로 접속하는 경우를 기준으로 설명합니다. 또한 root로 접속하는 상황을 기준으로 설명하므로 일반 사용자 계정으로 접속시 우분투이건 센트OS이건, 관리자 권한이 필요한 상황에서는 명령어 앞에 sudo를 붙여야 합니다.
예상 수입
- 마루마루: 월 2천만원 이상으로 추정.(장시시 주인장이 추측함.)
- 장시시: 월 천만원 번다고 자기 입으로 말했음.
- 벚꽃도서관(스카이블레스): 검거당할 때까지 1억원 넘게 벌어들임.[1]
- 꿀밤: 2년간 수십억원의 부당이익을 취함.
- 소라넷: 총 수입 수십억원으로 추정됨.
- 밤토끼: 한달에 1억원 이상으로 추정됨.
만약 그대의 웹 싸이트 방문자가 파이렅 베이(The Pirate Bay)의 절반이라도 따라간다면? 축하한다. 당신은 취업하지 않아도 좋다.
불법 도박은 대한민국 정부에서 추정하기로는 1년에 21조원에서 169조원 사이 규모다. 이게 단위가 억원이 아니라 조원이라는 게 놀랍지. 조폭 놈들이 해외 서버로 불법 스포츠 토토 운영하고 그런다.
웰컴 투 비디오(Welcome to video)는 2년 8개월 동안 415 btc(41.5억원)를 벌었다.
하이 코리아의 니오(Neo)는 2,000 btc(200억원) 이상 번 것으로 추정된다.
익명성 유지
일단 사이트를 만들면 운영진은 철저히 신분을 숨겨야 한다. 뮤렌처럼 국내 커뮤니티에서 "나 벚꽃도서관 운영진이오." 이러다 계좌번호 털리고 훅가는 수가 있다.
절대로 타 운영진을 100% 신뢰해서는 안된다. 개드립은 운영진 내부에서 내부고발이 터져 사이트가 망했다. 또한, 한 놈이 잡혀가더라도 다른 운영진은 무사할 수 있도록 해야 한다. 서버 관리자는 이왕이면 한명으로 두자.
운영진간의 연락 수단은 카카오톡이나 HanIRC(마루마루가 이거 쓴다.)같은 국내 메신저가 아니라 "챝씨큐어(ChatSecure, https://chatsecure.org/ ) + 신뢰할 수 있는 외국 XMPP 싸이트 + OTR 암호화"같은 걸 사용해라.
모든 싸이트 가입시 이름과 주소 등 신상 정보는 무조건 가짜로 적는다. http://www.fakenamegenerator.com/faq.php 에서 그럴듯한 가짜 신상을 만들 수 있다.
가명으로 가입하더라도 도메인 네임 회사, VPS 회사와의 연락을 위해 이메일은 돼야 하는데 해외의 익명 이메일 서비스를 이용한다. 메일투토어, 대니얼, 그리고 스위스의 프로톤메일을 추천한다. 개인정보를 제공할 필요가 없기 때문에 지메일(Gmail)보다 안전하다.
- 메일투토어(Mail2Tor) - id@mail2tor.com 이런 형태의 이메일 주소를 사용한다. 다크 웹과 표면 웹에서 모두 서비스 http://mail2tor2zyjdctd.onion http://mail2tor.com
- 대니얼(Daniel): 다크 웹과 표면 웹에서 모두 서비스 http://tt3j2x4k5ycaa5zt.onion/ https://danwin1210.me/
- 프로톤메일(ProtonMail): 다크 웹 이메일. 다크 웹과 표면 웹에서 모두 서비스. 암호화에 자바스크맆트 필요. https://protonirockerxow.onion https://protonmail.com
서버의 위치나 IP 주소는 숨기자. CloudFlare 설정하면 알아서 숨겨준다.
사이트에 관리자 계정으로 접속할때는 언제나 https 암호화 통신을 사용해야 한다. 공권력은 ISP에게 의뢰해 패킷을 뜯어볼 수 있다.
싸이트를 관리할때는 언제나 아이피를 우회해야 한다. Tor를 통하여 SSH로 접속하자. 또는 '가상 데스크탑으로 사이트를 관리하자.' 문단을 참조하여 "가상 데스크탑 + Tor"를 쓰자.
실제 써버나 가상 전용 써버(VPS) 임대시 이름, 주소는 모두 가짜로 적고, 결제는 모두 세탁한 빝코인으로 한다. 웹 호스팅 써비스를 쓸 경우에도 가명으로 한다. 웹 써버에 접속할 때도 토어(Tor)나 가상 전용 망(VPN)을 통하여 접속하여 실제 IP 주소를 숨긴다.
합법 사이트와 불법 사이트를 동시에 운영한다면 사이트마다 별개의 클라우드플레어 계정과 배너 광고 코드를 쓰자.
대행사가 아닌 1대1 광고 제휴 문의는 조심하자. 경찰이 계좌 추적을 위해 함정 수사를 하는 건지도 모른다. 킥애스토렌트 운영자가 이런 방식으로 검거되었다.
스카이블레스(벚꽃도서관)처럼 유료 회원 결제를 문화상품권으로 받는 병신짓은 하지 말자. 역추적 당한다. 모네로, 제트캐시, 대시, 빝코인 등 암호화폐를 사용하자.
실명으로 페이퍼 컴퍼니를 만드는 짓은 바보들이나 하는 짓이다. http://m.sisain.co.kr/?mod=news&act=articleView&idxno=16597 nominee director(명목상 이사)를 선임하자.
토어(Tor)나 가상 전용 망(VPN)으로 접속하면 설령 가상 전용 써버(VPS) 업체가 털려도 한 번 더 도망칠 기회가 남는다. VPN 업체가 접속자의 로그를 지워주는 업체라면 더 좋다. 최상은 Tor로 이용 가능한 VPS 업체를 사용하는 것이다. 아래는 빝코인으로 요금을 받는 VPN 목록이다. 당연히 남한이 아닌 외국의 업체를 이용해야 한다.
빝코인을 받는 가상 전용 망(VPN)의 목록은 Bitcoin VPN 문서와 https://www.weusecoins.com/bitcoin-vpns/ 를 참조하기 바란다.
가능한 시나리오
예를 들어 아프리카의 케냐에 있는 Angani( https://angani.co/ )라는 회사에서 세탁한 빝코인으로 가상 전용 써버(VPS)를 한 달에 7.2 달러에 구입하고, 전세계에서 터키만 승인한 거의 미승인국에 가까운 북 키프로스(Northern Cyprus)에 있는 EarthVPN( https://www.earthvpn.com/ )에서 한 달에 3.99 달러에 가상 전용 망(VPN)을 구입한다. 그리고 EarthVPN으로만 접속하면서 Angani의 VPN에서 한국어 도박 싸이트를 운영한다고 가정해보자. 그러면 한국어 도박 싸이트의 존재를 감지한 남한 경찰이 수사에 착수할 것이다. 그리고 검찰에 해외 수사 공조를 요청할 것이다. 그러면 담당 검사는 검찰총장에게 보고하고, 검찰청에서는 검찰총장 명의로 법무부에 요청한다. 그러면 법무부는 법무부 장관의 승인을 받아 외교통상부에 요청한다. 그러면 외교통상부에서는 케냐의 외교부에 국제 사법 공조를 요청한다. 그러면 케냐의 외교부에서 승인하고 케냐의 법무부로 보낸다. 그리고 케냐의 법무부에서 담당 검사를 배정한다. 그 후 담당 지역 경찰서로 해당 사건을 내려보내고 해당 지역 경찰이 Angani에 가서 사용자 정보를 받아온다. 이름과 주소, 전화번호는 모두 가짜이고, 결제는 빝코인으로 했으니 남은 건 접속 IP 주소뿐이다. 이제 이 북 키프로스의 EarthVPN의 IP 주소를 케냐 경찰이 케냐 검찰청으로 보내고, 케냐 검찰청은 케냐 법무부에, 케냐 법무부는 케냐 외교부에, 케냐 외교부는 남한 외교통상부에, 남한 외교통상부는 남한 법무부에, 남한 법무부는 남한 검찰청에, 남한 검찰청은 남한 경찰청으로 보낸다. 이제 담당 형사는 해당 IP 주소는 북 키프로스에서 왔고, 이름, 주소, 전화번호가 모두 가짜라는 사실과 결제를 빝코인으로 했다는 사실을 알게 된다. 빝코인 추적을 해봐도 세탁을 했기 때문에 추적을 할 수 없어 이제 다시 북 키프로스에 국제 사법 공조를 신청하려고 하지만 북 키프로스는 사실상의 미승인국이기 때문에 대한민국과 외교 관계가 없다. 북 키프로스의 보호국인 터키를 통해서 해야 한다. 이제 아래와 같은 경로를 통한다.
남한(경찰청 -> 검찰청 -> 법무부 -> 외교통상부) -> 터키(외교부 -> 법무부 -> 외교부) -> 북키프로스(외교부 -> 법무부 -> 검찰청 -> 경찰청)
북 키프로스 경찰에서는 EarthVPN을 방문하지만 EarthVPN은 사용자 로그를 남기지 않기 때문에 가입시 가짜로 적은 이름, 주소, 전화번호와 결제한 빝코인 정보만 남는다. 역시 이 정보를 아래 경로로 보내준다.
북키프로스(경찰청 -> 검찰청 -> 법무부 -> 외교부) -> 터키(외교부 -> 법무부 -> 외교부) -> 남한(외교통상부 -> 법무부 -> 검찰청 -> 경찰청)
그럼 이제 남한 경찰은 다시 가짜 이름, 주소, 전화번호와 결제한 빝코인 주소만 있을 뿐 접속자의 실제 IP 주소를 확보할 수 없다.
웬만한 중범죄자 검거나 사회적 물의를 일으킨 소라넷 운영자 검거 등이 아니라면 남한 경찰이 이 귀찮은 짓을 하지는 않는다. 설령 남한 경찰이 이 짓을 해도 위 시나리오에서는 실제 IP 주소를 확보하지 못 하였다. 물론 그래도 위험한 짓을 하면 안 된다. VPN 업체가 광고와는 달리 접속 로그를 몰래 남길 수도 있고, 현지 검찰이 감청 영장을 받아서 실시간으로 접속 IP 주소를 채증하여 한국 검찰로 넘겨줄 수도 있기 때문이다.
웹 싸이트 제작 기초
다크 웹 싸이트 제작 문서 참조.
해외 써버 임대
일반인이나 오타쿠가 들었을 땐 불법 공유 싸이트를, 웹 싸이트 운영자가 들었을땐 값은 싸지만 속도가 느린 제품을 떠올리게 한다. 솔까 요샌 별로 느리지도 않다. 이미 홈페이지 붐도 꺼졌겠다. 니들과는 별로 관련이 없는 문서다. 가서 네이버 블로그나 만들어라. 아님 티스토리를 하든가.
이하 해외 서버 호스팅 서비스 목록들이다. 불법 번역 사이트들이 이용하는 곳도 포함되어 있지만 알려주기 귀찮아... 유독 영연방이 로리 한정으로 망가를 규제한다. 그래서인지 망가 사이트들 대부분은 네덜란드나 루마니아(히토미 써버가 위치함.)같은 유럽권 호스팅을 사용한다.
사용법은 표면 웹 싸이트 제작과 다크 웹 싸이트 제작 문서를 참조해라.
표면 웹의 가상 전용 써버(VPS)에서도 Tor를 물려서 다크 웹 싸이트 운영이 가능하다.
해외 써버라고 다 같은 해외가 아니다. 어느 나라의 호스팅을 사용할 건지도 상당히 중요하다. 예를 들어 애니메이션 스트리밍 사이트를 만든다면 대부분 미국이나 유럽 서버를 사용하지, 일본 서버를 사지는 않는다.
가장 무난한 국가는 미국이지만 만약 글쓴이가 망가사이트를 개설할 예정인 경우 아래를 참조하라.
망가 싸이트 개설
일일이 로리물만 검열할 생각이 아니라면 미국이나 영연방(영국, 캐나다, 호주, 뉴질랜드. 나머진 모름.) 서버를 써서는 안된다. 억지로 분류를 하자면 미국, 노르웨이는 좀 애매하고 러시아와 독일, 프랑스, 영연방은 로리 망가로 잡힌 사례가 있거나 엄격한 반면, 일본, 브라질, 네덜란드, 룩셈부르크, 스위스[2], 이탈리아, 스웨덴, 덴마크, 스페인[3]은 망가는 합법이거나 상당히 관대하다. 서양 국가 대부분은 2D 포르노도 법적으로 아동 포르노로 보지만 작중에서 나이가 나오지 않거나 교복을 입은 정도로는 문제가 되지 않는다고 한다. 다만 캐릭터가 아닌, 실제 아동을 닮은 3D 렌더링 같은건 빼도박도 못하게 불법이다. 심지어 일본에서도! 미정발 로리물 한정으로 불법이다. 어디까지나 심의를 받지 않은 작품으로 한정된다. FAKKU에서는 심의받은 COMIC LO 로리 망가가 당당히 판매되고 있다.
고로 비교적 규제가 덜한 유럽에 위치한 호스팅을 사용해야 하는데, 나는 네덜란드를 추천한다. 성진국이란 별명에 걸맞게 포르노에 관대하면서 인프라가 좋기 때문에 많은 망가사이트들은 대부분 네덜란드에 있다.(익헨, 헬븐넷, Nhentai 등등.) 물론 정 불안하면 스칸디나비아 반도에서 유일하게 비현실적 2D 포르노가 완전히 합법인 덴마크[4]나 스웨덴[5]에 서버를 두자. 최근엔 스페인에서도 합법이란 발표가 났다고 한다.
자세한 법적 근거는 영위백 문서인 미성년자를 묘사한 그림 포르노의 법적 지위와 아동 포르노의 적법성을 읽자. 재밌는 점은 저기에 따르면 익헨과 히토미는 불법 아동 포르노 사이트지만, 정작 호스팅사에 찔러보면 아무런 문제가 없다는 답변이 돌아온다.
그리고 망가사이트는 VPS 보다는 용량과 트래픽이 빵빵한 단독 서버를 추천한다. 대역폭은 최소 1Gbps로 쓰는 거 잊지 말자. 나중에는 그걸로 모자라서 10Gbps를 지르거나 서버 여러대로 로드 밸런싱해야 된다.
미국 저작권법인 DMCA를 무시하는 호스팅 사이트 목록은 http://www.uncensoredhosting.com/dmca-ignored-hosting/ 를 참조해라.
아래는 세계 각국의 호스팅 정보를 보여주는 사이트들이다.
http://www.webhostingtalk.com/
해외 써버 목록
- 빝코인으로 결제 가능한 표면 웹의 해외 VPS 목록은 VPS 목록 문서와 Bitcoin VPS 문서, 그리고 http://cryto.net/~joepie91/bitcoinvps.html 를 참고하기 바란다.
도메인 네임
도메인 네임 구입
도메인 네임(domain name)은 rapegirls.com처럼 인터넷 주소를 말한다.
도메인은 Namecheap( http://namecheap.com/ )에서 구입하는 걸 추천한다.
도메인 소유자의 정보를 숨겨주는 whoisguard도 1년간 무료로 서비스 해주니 꼭 같이 신청하도록 하자. 안그럼 whois 돌렸을 때 네 이름과 전화번호가 뜨는 걸 볼 수 있다.
도메인 네임 써버(DNS) 설정
도메인 네임 써버(domain name server, DNS)는 도메인 네임과 웹 써버의 IP 주소를 연결해주는 써버이다. IP 주소는 128.53.201.34같은 0에서 255 사이의 숫자 4개로 된 IPv4 주소를 쓴다. 2011년 2월 4일 모든 IPv4 주소가 고갈되어 IPv4의 할당이 중지되어, IPv4보다 긴 2001:0db8:85a3:08d3:1319:8a2e:0370:7334 같은 형태의 IPv6 주소도 사용한다. 하지만 2001:0DB8:0000:0000:0000:0000:1428:57ab 처럼 0이 많은 형태가 더 일반적이다.
CDN 설정
클라우드플레어는 네임 서버 역할에 더하여 콘텐츠 전송 네트워크(content delivery network, CDN) 역할도 하여 네트워크 트래픽을 줄여주고, 고맙게도 디도스 방어까지 해준다.
클라우드플레어란?: https://www.xpressengine.com/forum/22618631 (수용소닷컴 운영자가 쓴 글이다.)
사용법: http://studyforus.tistory.com/163
서버 IP 노출 방지 체크리스트(필수): https://www.xetown.com/slope/253152
클라우드플레어에 로그인 한 후 DNS 탭에 들어가서 아래로 내려가보면 Cloudflare Nameservers라는 항목이 보일 것이다. 거기에 To use Cloudflare, you need to change your domain's authoritative DNS servers, which are also referred to as nameservers. For your reference, here are the Cloudflare nameservers you've been assigned.라고 써져 있는데 대충 해석해보자면 클라우드플레어를 쓰려면 도메인의 DNS 서버를 클라우드플레어의 DNS 서버로 바꿔야한다는 얘기다. Cloudflare Nameservers 밑에 자신에게 할당된 클라우드플레어의 DNS가 보일 것이다. 대충 jaji.ns.cloudflare.com과 bozy.ns.cloudflare.com 이런 이름일 것이다.(jaji와 bozy에 해당하는 문자는 사람마다 다를 수 있다.) 이제 자신이 도메인 네임을 구입한 업체의 웹 사이트에 로그인한 후 DNS 설정하는 곳으로 들어가서 위의 자신에게 할당된 클라우드플레어의 DNS 서버인 jaji.ns.cloudflare.com과 bozy.ns.cloudflare.com을 적어주면 된다.
도메인 이름만으로 서버의 IP 주소를 어떻게 알아낼 수 있을까? 리눅스에서 가장 간단한 방벙은 터미널에서
host google.com
같은 식으로 쳐보는 것이다. google.com 자리에 IP 주소를 알고싶은 도메인 이름을 치면 된다. 도메인명으로 IP 확인( https://zetawiki.com/wiki/%EB%8F%84%EB%A9%94%EC%9D%B8%EB%AA%85%EC%9C%BC%EB%A1%9C_IP_%ED%99%95%EC%9D%B8 ) 문서 참조.
클라우드플레어의 가장 싼 플랜(plan)의 경우 무료이고, 그 윗 버전은 유료인데 빝코인 결제는 안 된고 페이팔(PayPal)이나 신용카드만 된다. 따라서 클라우드플레어는 무료 버전만 쓰거나, 그 윗 버전을 쓸 때는 페이팔로 익명으로 결제하는 방법을 알아보든가, 아예 다른 DNS 회사를 알아봐야 한다. 클라우드플레어 가입도 다 가명과 가짜 주소로 하면 된다.
IP 주소로 접속 금지
당연하지만 도메인 네임이 아닌 직접 IP 주소로 접근시 index.html로 리디렉트(redirect) 하는 게 아니라 에러 페이지를 표시하는 건 필수다. 이건 CloudFlare 등 IP 주소를 숨기려고 리버스 프록시 사용하는 서버는 당연히 해 줘야 하는 기본중의 기본이다!
아파치 웹서버(apache web server) 에는 mod_proxy 라는 프록시 기능을 하는 모듈이 내장되어 있고 이 모듈은 forward proxy 와 reverse proxy 두 가지 기능을 다 수행한다.
그러면 forward 와 reverse 방식의 차이점은 무엇일까.
Forward Proxy
클라이언트가 example.com 에 연결하려고 하면 사용자 PC 가 직접 연결하는게 아니라 포워드 프록시 서버가 요청을 받아서 example.com 에 연결하여 그 결과를 클라이언트에 전달(forward) 해 준다. 포워드 프록시는 대개 캐슁 기능이 있으므로 자주 사용되는 컨텐츠라면 월등한 성능 향상을 가져올 수 있으며 정해진 사이트만 연결하게 설정하는 등 웹 사용 환경을 제한할수 있으므로 기업 환경등에서 많이 사용한다.
Reverse Proxy
클라이언트가 example.com 웹 서비스에 데이타를 요청하면 Reverse Proxy는 이 요청을 받아서 내부 서버에서 데이타를 받은후에 이 데이타를 클라이언트에 전달하게 된다.
내부 서버가 직접 서비스를 제공해도 되지만 이렇게 구성하는 이유는 보안때문이다. 리버스 프락시는 내부 서버 해킹 방지 용도로도 쓰이지만 내부 서버의 실제 IP 주소를 숨기는 용도로도 쓴다.
보통 기업의 네트워크 환경은 DMZ 라고 하는 내부 네트워크와 외부 네트워크 사이에 위치하는 구간이 존재하며 이 구간에는 메일 서버, 웹 서버, FTP 서버등 외부 서비스를 제공하는 서버가 위치하게 된다. example.com 사는 서비스를 자바로 구현해서 WAS 를 DMZ 에 놓고 서비스해도 되지만 WAS 는 보통 DB 서버와 연결되므로 WAS 가 최전방에 있으면 WAS 가 털릴 경우 DB 서버까지 같이 털리는 심각한 문제가 발생할 수 있다. 이때문에 리버스 프락시 서버를 두고 실제 서비스 서버는 내부망에 위치시키고 프락시 서버만 내부에 있는 서비스 서버와 통신해서 결과를 클라이언트에게 제공하는 방식으로 서비스를 하게 된다. 특히 리눅스 환경이라면 리버스 프락시로 아파치 웹 서버를 사용한다면 SELinux 를 켜 놓으면 SELinux 의 기본 정책이 웹 서버는 톰캣의 8080, 8009 포트만 접근 할 수 있으므로 아파치 웹 서버가 해킹당해도 웹 서버 권한으로는 내부망으로 연결이 불가하다.
Reverse Proxy 로 서비스 제공시 WAS 에서 REMOTE_ADDR 을 가져오면 Reverse Proxy 서버의 IP 를 얻게 되므로 원하는 결과가 나오지 않는다.
Proxy(프락시) 환경에서 client IP 를 얻기 위한 X-Forwarded-For(XFF) http header 를 참고해서 XFF 헤더를 사용하자.
XFF 는 HTTP Header 중 하나로 HTTP Server 에 요청한 clinet 의 IP 를 식별하기 위한 사실상의 표준이다.
웹 서버나 WAS 앞에 L4 같은 Load balancers 나 Proxy server(HAProxy), caching server(Varnish), HTTP 서버용 WAS Connector(웹로직 커넥터 - mod_wl, 톰캣 커넥터 - mod_jk 등) 등이 있을 경우 이런 제품들은 웹서버/WAS 에 HTTP 나 전용 프로토콜(AJP)로 요청을 보낸후에 받은 결과를 가공하여 클라이언트에 재전송하게 된다. 이로 인해 처리한 웹 서버나 WAS에서 request.getRemoteAddr(); 등으로 클라이언트 IP를 얻을 경우 L4 나 Proxy 의 IP 를 얻게 되는데 이는 원하는 결과가 아니다.
X-Forwarded-For는 이 문제를 해결하기 위해 사용하는 http header 로 squid caching server 에서 처음 사용되었다. 다음과 같이 콤마를 구분자로 client 와 proxy IP 가 들어가게 되므로 첫번째 IP 를 가져오면 클라이언트를 식별할 수 있다. X-Forwarded-For: client, proxy1, proxy2
여기까지 읽고 웹 어플리케이션을 개발할 경우 client ip 를 식별할 필요가 있다면 먼저 저 헤더가 있는지 확인한 후에 없으면 getRemoteAddr() 로 IP 를 얻으면 되겠지라고 생각할 수도 있겠지만 이게 끝은 아니다.
XFF 는 사실상의 표준이지 정식 RFC 에 포함된게 아니므로 대개는 착실하게 저 헤더를 사용하지만 엉뚱한 헤더를 사용하는 제품들이 있다.
그중에 하나인 WebLogic Connector(mod_wl) 는 저 헤더를 사용하지 않고 WL-Proxy-Client-IP 나 Proxy-Client-IP 같은 전혀 엉뚱한 헤더를 사용하므로 만약 만드는 웹 어플리케이션이
WebServer, WAS, L4, proxy 종류에 상관없이 client IP 를 잘 가져오기를 바란다면 다음과 같은 순서로 IP 를 얻어내야 한다.
Proxy(프락시) 환경에서 client IP 를 얻기 위한 X-Forwarded-For(XFF) http header https://www.lesstif.com/pages/viewpage.action?pageId=20775886
https 써버 구축
전송 계층 보안(TLS, SSL, HTTPS, https)으로 써버와 클라이언트가 암호화로 직접 연결되어야 warning.or.kr 등 트래픽을 납치해서 다른 싸이트로 돌리는 남한 정부의 기존 차단 방식이 안 먹는다. 또한 써버와 클라이언트가 주고받는 패킷이 암호화되어 도청 등 해커의 해킹에 대항할 수 있다.
히토미( https://hitomi.la/ )같은 야망가 싸이트가 차단되지 않고, 계속 접속 가능한 이유가 https를 사용하기 때문이다.
https로 싸이트에 접속할 수 있도록 인증서를 구축해야 한다.
"자체 인증서 + 클라우드플레어 Comodo SSL" 조합을 써도 상관은 없지만 혹시 모르니 무료 인증서인 Let's Encrypt( https://letsencrypt.org/ )를 사용하자.
클라우드플레어 설정에서 모든 접속이 https로 연결되도록 설정하자.[6] 패킷이 죄다 암호화되기 때문에 워닝(warning.or.kr)이 걸리건 뭐건 유저들이 알아차리지도 못한다. 패킷 감청을 씹을 수 있는건 덤.
이렇게 해두면 차단당할때마다 새 도메인을 사고 트위터에 알리는 뻘짓을 할 필요가 없다.
단 http 프로토콜을 사용할때보다 트래픽이 많이 발생하니 주의. 이왕 https 쓰는거, http/2를 적용시키자.
https 패킷 감청
Gmail 감청에서 https를 쓰는데 이걸 어떻게 감청하느냐 하는 이야기가 있어서... 간단하게 정리해 봅니다.
배경 지식.
인증서란 무엇인가? 실세계의 인감 증명으로 보시면 됩니다. 인증서의 키는 인감도장.. 이 "키"가 특정 인물, 기관, 서버의 것이 맞다는 증명서 입니다. 당연히 증명서에도 도장을 찍구요(전자 서명)
증명서의 도장은 모든 브라우저에 기본으로 인증서가 탑재되어 있습니다. VeriSign이라던가..하는 CA(공인인증기관)의 인감증명을 미리 가지고 있다고 보시면 됩니다.
1. HTTPS-to-HTTPS Proxy를 만든다. HTTPS는 서버인증을 인증서의 DOMAIN NAME과 현재 접속한 URL의 서버 DOMAIN NAME과 같은지 비교해서 같은 도메인 이름이고 인증서의 발급자(인감증명 발급자)가 브라우저에 기본 탑재된 경우라면 믿고 넘어갑니다. 이름이 다르다거나 발급자가 모르는 넘이면 못믿는 넘인데... 그래도 접속할래? 하고 물어봅니다.
자 여기서 요즘 윈도의 경우에는 국내 공인인증서 최상위 기관인 KISA의 인증서가 기본 탑재되어 있습니다. KISA 인증서로 *.google.com 이나 *.gmail.com 으로 인증서 하나 만들면 어떻게 될까요?
PC ------1-------- 감청기관(PROXY)-------2---------GMAIL 요렇게 라우팅이 되도록 ISP측에 요청해서 패킷을 받은 다음에... HTTPS 접속 요청을 하면...PROXY에서 GMAIL로는 정상적인 HTTPS접속...해서 내용을 꺼내오고.. PC쪽으로는 감청기관에서 새로만든 인증서로 HTTPS접속을 시켜줍니다. PC에서는 Domain Name이 맞고 내가 믿고 있는 최상위 인증 기관(KISA?)가 맞으므로 정상적으로 접속이 됩니다.
즉 2구간에서 암호화된 것이 감청기관에서 복호화 되고 감청기관의 KEY로 다시 암호화 되어 1로 전송됩니다.
써버 세팅
Tor와 SSH로 VPS에 접속
가상 전용 써버 문서를 참고하자.
nginx, MariaDB, PHP 설치
엔진엑스, 마리아DB, 피에이치피 설치는 가상 전용 써버 문서를 참조하기 바란다. nginx 대신 아파치를 설치해도 된다.
보안 설정
- [Linux] Ubuntu 보안 가이드
http://luyin.tistory.com/m/336
- 서버 보안 / Apache 보안
SFTP 접속
SSH와 마찬가지로 가상 데스크탑을 SFTP 클라이언트로 사용한다.
웹 싸이트 제작
타이니IB(TinyIB), 피에이치피BB(phpBB), 미디어위키(MediaWiki), 워드프레스(WordPress), 오픈카트(OpenCart) 등의 저작물 관리 시스템(content management system, CMS)이 있다.
블로그나 글로벌(global)한 포럼을 원한다면 워드프레스를, 전세계에서 남한에서만 쓰이는 남한식 게시판을 원한다면 XpressEngine이나 그누보드를 권한다. 그외에 드루팔, 줌라등이 있지만 직접 개발할꺼 아니면 추천하진 않는다.
vsftpd 세팅한다고 삽질하지 말고 22번 포트를 사용하는 SFTP로 접속해서 작업하자. FTP와는 다르게 암호화도 된다.
경로는 웹 서버에 설정에 맞추어 /var/www/html 에 설치해주자.
타이니IB
phpBB
phpBB 설치 및 관리 방법은 피에이치피BB 문서 참조.
미디어위키
MediaWiki 설치 및 관리 방법은 미디어위키 문서 참조.
워드프레스
WordPress 설치 및 설정 방법은 워드프레스 문서 참조.
오픈카트
OpenCart 설치 및 설정 방법은 오픈카트 문서 참조.
웹 개발
웹 싸이트를 직접 제작하려면 웹 개발 문서와 파이썬의 웹 프레임워크인 쟁고우(Django) 문서 참조.
기타 유용한 팁
- NGINX로 http 기본 인증 걸기: https://www.digitalocean.com/community/tutorials/how-to-set-up-basic-http-authentication-with-nginx-on-ubuntu-14-04
- phpmyadmin 설치하기: https://askubuntu.com/questions/848263/16-04-how-to-properly-install-phpmyadmin-with-nginx
- 모듈 사용법: 웹 서버 여러대로 분산처리 하는데 사용된다. 어지간한 단독 서버 한대로도 못 버틸때나 사용하는 방법이다. http://nginx.org/en/docs/http/ngx_http_upstream_module.html NGINX upstream
- MySQL 데이터베이스 최적화: https://www.conory.com/note_linux/43183
memcached 설치
memcached는 데이터를 메모리에 캐싱하여 빠르게 불러올 수 있게 해주는 디먼(daemon 또는 demon의 영어 발음은 데몬이 아니다.)이다. 메모리가 충분한 경우에만 설치하자. 메모리가 부족한 상태에서 memcache를 설치하면 오히려 성능이 저하된다. 메모리에 다 저장하지 못한 내용을 HDD의 스왚 파일이나 스왚 파티션에 자꾸 저장하기 때문이다. memcache라는 이름의 라이브러리는 여러가지가 있지만, 여기서 설명하는 건 디먼이다.
memcached 을 사용해 캐시를 구현할 때 아래와 같은 사용은 지양해야 한다.
스토리지에 저장된 파일의 캐시로 사용하지 말아야 한다. 파일에 대한 캐시는 운영체제에서 제공되는 스토리지 캐시를 사용하는 것이 더 효율적이며, 만약 memcached에서 캐시하려면 OS의 파일 캐시를 끄는 것도 고려해야 한다. memcached는 파일을 읽고 가공한 것을 캐시하는 것이 좋다고 생각한한다.
데이터베이스 쿼리 결과의 캐시로 사용하지 말아야 한다. 파일 캐시의 경우와 비슷한 이유다. 요즘 나오는 대부분의 상용 DBMS는 쿼리 결과를 캐시하기 때문에 이중으로 캐시할 필요 없다. 쿼리 결과를 가공한 것을 캐시하는 것이 좋다고 생각한다.
쉽게 말해 이중으로 캐시하지 말라는 의미다. 이중으로 캐시를 구현하면, 메모리의 낭비를 불러오기 때문에 전체적으로 성능이 저하될 여지가 많아진다.
memcached 운용시에는 다음과 같은 것을 주의해 운용해야 한다.
시스템의 메모리 상황를 상시 모니터링 해, 스왑과 락이 일어나지 않도록 해야한다. memcached 는 스왑이 일어나지 않을 정도로 메모리는 여유있다는 가정하에 개발되기 때문이다. 메모리가 부족해 스왑이 일어나 메모리에 저장했던 컨텐츠가 스왑 디스크에 저장되면, 심각한 속도 저하가 있을 것이다.
memcached 의 히트/미스 비율을 상시 모니터링 하자. 당연히 캐시 히트 비율이 높을 수록 더 좋은 서비스를 제공할 수 있다. 히트/미스 비율이 낮다면 캐시할 대상을 변경해보는것도 고려해자. 구체적인 수치는 서비스마다 다르지만 99%이상은 되어야 만족할 만한 성능 향상이 나오지 않을까 생각한다. (솔라나라에서 사용하는 memcached 는 히트 비율이 90% 정도다)
우분투에서 설치 방법은
apt install memcached apt install php7.1-memcached service php7.1-fpm restart
이다. 설치 끝.
참고로 나중에 CMS 설정에서 memcached를 사용하도록 해줘야 한다.
센트OS에서는
yum install memcached
로 설치하고
vim /etc/sysconfig/memcached
로 설정을 수정한다. 위 명령어를 실행하면 아래와 같이 뜰 것이다.
PORT="11211"
USER="memcached"
MAXCONN="1024"
CACHESIZE="64"
OPTIONS="-l 127.0.0.1" # 기본 설정값은 비어있습니다.
각 항목의 뜻은 아래와 같다.
PORT : memcached가 사용할 포트를 지정합니다.
USER : 만약 root로 실행한다면 이때 사용할 memcached 사용자 이름입니다.
MAXCONN : 최대 연결할 수 있는 커넥션 개수입니다.
CACHESIZE : 사용할 메모리를 결정합니다. MB단위입니다. 1024라고 지정하면 1GB가 되겠죠. 여기선 64MB만 사용합니다.
OPTIONS : -l 옵션은 바인드 IP를 설정합니다. Apache, NginX는 여기 설정된 값으로 연결을 시도합니다. 로컬호스트(127.0.0.1)로 지정한 경우 외부 접근은 불가합니다.
설치가 끝났지만 이제 서버를 재시작해도 memcached 데몬이 자동으로 구동되도록 변경합시다. 다음의 커맨드를 실행합니다.
chkconfig --levels 235 memcached on
memcached 데몬은 아래와 같은 커맨드로 관리할 수 있습니다.
/etc/init.d/memcached start /etc/init.d/memcached restart /etc/init.d/memcached stop /etc/init.d/memcached status memcached-tool
실제로 memcached 데몬이 떠있는지 확인합시다. 아래의 커맨드로 확인 가능 합니다.
ps -ef | grep memcached
로 프로세스가 떠있는지 확인합니다.
netstat -an | grep 11211
로 포트가 리슨중인지 확인합니다. 만약 실행 되어 있지 않다면
/etc/init.d/memcached start
커맨드로 실행하고 다시 확인해 보세요.
실행중인 memcached 데몬의 상세 정보는 아래의 커맨드로 확인 가능합니다.
memcached-tool 127.0.0.1 stats
- Memcached 설치 및 사용 방법
http://www.solanara.net/solanara/memcached
- 멤캐시드(Memcached) 정의 및 사용법
memcached 대신에 Redis를 사용해도 된다.
- [NoSQL & Cache] Redis vs Memcached ( 왜 Redis 를 사용해야 하는가? )
http://blog.leekyoungil.com/?p=200
패비콘 만들기
웹 브라우저의 북마크, 즐겨찾기, 상단 탭에 뜨는 패비콘(Favicon)을 만드는 방법은 피에이치피BB(phpBB) 문서를 참조하기 바란다.
배너 광고를 등록하자
수익을 얻기 위해선 당연히 사이트에 광고를 달아야 하는데 어느정도 컨텐츠가 모여야만 대행사에서 광고 코드를 준다. 그래도 구글 애드센스를 제외하면 심사 기준은 너그러운 편.
참고로 광고 코드만 가지고는 증거가 되지 않기 때문에 국내 대행사를 쓴다고 경찰이 바로 잡아가는 건 아니다.
단 국내 성매매 업소나 도박사이트 광고는 다는 것만으로도 불법이니 주의하자. 뭘 믿고 한국인 포주에게 계좌번호를 알려주는가. 성인사이트를 개설할 생각이라면 해외의 성인 광고를 달자.
광고비는 이왕이면 후술할 해외 계좌에 받는게 좋다. 특히 성인 광고라면 말이다.
국내 광고 대행사
참고로 단가는 클릭몬이 제일 높다.
미국 광고 대행사
- ouo: 스팸 필터에 걸리기에 부득이하게 구글 검색 결과를 올림. https://www.google.com/search?site=&source=hp&ei=h1_qWKDOBcKc0gSNiraADA&q=oui.io&oq=oui.io&gs_l=mobile-gws-hp.3..0i19k1j0i10i19k1j0i30i19k1l2j0i10i30i19k1.1513.3247.0.3855.9.7.0.1.1.0.296.859.1j4j1.6.0....0...1c.1.64.mobile-gws-hp..2.7.921.3..0j35i39k1j0i10k1.ovEQCB1CCXc
- oneclickcash: https://www.oneclickcash.com/
그 외에 http://www.adnetworkdirectory.com/ 도 참조.
성인 광고 대행사
성매매 광고도 좋지만, 이런 대행사와 계약하는 것도 괜찮다.
- Exoclick: "이 엄마들은 무료로 해줍니다." https://www.exoclick.com/
참고: 성인 광고 TOP 10 http://adswikia.com/top-10-best-adult-advertising-networks/
일본 광고 대행사
※ 외국인은 운영진에게 따로 계좌를 설정해달라 문의해야 한다.
성인 광고 대행사
※ 일반 광고도 달 수 있는 경우 ♡표시
배너 광고 팁
- 구글 애드센스는 조건이 까다롭기로 유명하다. 한번 읽어보자. 편집 필터 때문에 여기 링크를 올리지는 못한다.
- 광고 게재 위치에 따라 수익율이 달라진다. 뭐라 확실하게 알려줄 수 있는게 아니니 직접 여러번 테스트해보자.
- 남성향 커뮤니티에서 BL 만화 광고가 나오는 등 회원들이 보기에 불편한 광고는 차단하는 게 수익율에 좋다. 요즘 광고 대행사들은 관리 패널에서 기능을 지원해준다.
- 광고를 많이 단다고 무조건 수익이 높은 건 아니다. 오히려 회원들이 애드블록을 사용하게 유도할 수 있다.
공권력의 단속 피하기
사실 가장 좋은 방법은 이민이지만 우리같은 흙수저들은 상상도 할 수 없는 일이므로 주의해야 할 사항들만 따로 정리해서 서술한다.
명심해야 할 사실은 경찰은 언제나 너보다 기술력이 좋고 창의적인 수사 기법을 쓴다는 것이다. 조심 또 조심하자.
빝코인으로 회원비 받기
광고만으론 타인을 돕고자 하는 그 선한 이타적 욕구가 채워지지 않는다면 빝코인으로 회원의 유료 결제를 유도하는 것도 좋은 방법이다. 포인트 제도와 함께 사용하면 큰 시너지를 볼 수 있다.
당연히 국내 거래소에 지갑을 만들어서는 안되고 localbitcoins를 추천한다. 비트코인을 팔아서 페이팔로 현금을 받을 수 있다.
단, 현금으로 바꿀때 계좌가 추적당할 수 있으니 후술할 '해외에 은행 계좌를 개설해보자' 문단 참조.
참고로 XE나 그누보드 사용할꺼면 따로 비트코인 모듈을 제작해야 한다. xetown에 프리랜서들 많으니 알아서 의뢰해보자.
워드프레스의 경우 포인트 플러그인 mycred가 bitpay와 연동된다.
정 귀찮으면 일일이 수동으로 충전해주자.
avsnoop진짜루 개멍청하네 ㅋㅋ같은지갑계정 그대로사용해서걸림 ㅋㅋㅋ 계정을계속바꿔야지 빙ㅋㅋ vpn안걸릴줄알았나 ㅋㅋㅋㅋㅋㅋㅋ
- '제2의 소라넷' 회원 121만명 음란물사이트 운영자 잡혔다
2017/05/16
미국에 서버를 둔 회원 수 121만 명 규모의 음란물 사이트를 운영하면서 가상화폐인 비트코인 결제를 유도, 십수억원을 벌어들인 AVSNOOP 운영자가 경찰에 붙잡혔다.
경기남부지방경찰청 사이버수사대는 아동청소년의 성보호에 관한 법률 위반·정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반 혐의로 음란 사이트 운영자 안모(33)씨를 구속하고, 광고의뢰인 임모(33)씨 등 7명을 불구속 입건했다고 16일 밝혔다.
안씨는 지난 2013년 12월부터 최근까지 미국에 서버를 둔 불법 음란 사이트 'AVSNOOP.club'을 운영하면서 회원 121만여 명을 모집해 아동·청소년 음란물 및 성인 음란물 46만여 건을 올리도록 하고, 사이트 이용요금과 광고비 등으로 17억원의 부당이득을 챙긴 혐의를 받고 있다.
이 사이트에는 음란물, 유흥업소 정보, 성인용품 몰, 성인방송 등 카테고리별로 수많은 음란물이 게재돼 있다.
안씨는 처음에는 사이트를 무료로 운영하다가, 회원이 늘자 2014년 12월 유료로 전환했다.
그는 회원들이 상품권이나 가상화폐인 비트코인 결제를 하면 등급(총 9개 등급)을 높여주고, 더 많은 음란물에 접근할 수 있는 권한을 부여했다.
다만 결제를 하지 않더라도 음란물을 올리면 포인트 적립 수치에 따라 등급을 상향시켰다.
이 때문에 회원들은 서로 경쟁적으로 음란물을 올렸고, 그 결과 안씨의 사이트에는 아동·청소년이 등장하는 음란물을 포함해 모두 46만여 건의 음란물이 게재됐다.
사이트 방문자는 점점 늘어 나중에는 일 방문자만 12만여 명에 달한 것으로 조사됐다.
안씨는 사이트 인기에 힘입어 등급 상향이 가능한 포인트를 판매해 15억원, 성인용품 사이트 광고비로 2억원 등 총 17억원을 챙길 수 있었다.
경찰은 이 사이트를 판매하려는 안씨에게 접근해 검거에 성공했다.
검거현장에서 경찰은 비트코인 지갑 14개 216BTC(4억 7천여만원 상당)와 현금 2천700만원, 1억원 상당의 아우디 승용차를 압수했다.
경찰은 "피의자는 익명성이 보장되고, 추적이 불가능하다는 논리로 회원들에게 비트코인 결제를 권장했다"며 "피의자 검거 과정에서 비트코인 지갑을 찾아 범죄수익금을 압수할 수 있었다"라고 말했다.
경찰은 안씨의 사이트를 폐쇄하고, 대량의 음란물을 올린 유포자 등에 대한 수사를 확대할 방침이다.
http://www.yonhapnews.co.kr/bulletin/2017/05/16/0200000000AKR20170516062100061.HTML
- 음란물 천국 'AVSNOOP' 운영자 8억원에 사이트 처분하려다 덜미
2017-05-16
경찰, 도박사이트 운영자 가장 광고 의뢰할 것처럼 접근해 검거
미국에 서버를 둔 회원 121만여 명 규모의 음란물 사이트인 'AVSNOOP.club' 운영자가 사이트 개설 3년 5개월여 만에 경찰에 덜미를 잡혔다.
안씨는 경찰이 개설한 도박사이트가 진짜인지 확인하기 위해 대표전화로 직접 전화를 걸기도 했다고 한다. 물론 전화를 받은 사람은 경찰관이었다. 경찰을 도박사이트 운영자라고 믿은 안씨는 "광고를 내는 것보다 이 사이트를 8억원에 매입하는 것이 어떻겠냐"며 "월 2천만∼3천만원의 수익을 올릴 수 있을 것"이라고 꾀었다. 안씨는 수익의 증거로 자신의 비트코인 지갑을 캡처해 보여주기도 했다. AVSNOOP 실제 운영자가 안씨라고 확신한 경찰은 사이트를 매입키로 약속하고, 한 커피숍에서 안씨를 만나 검거에 성공했다.
http://www.yonhapnews.co.kr/bulletin/2017/05/16/0200000000AKR20170516102200061.HTML
안전하게 돈을 세탁하자
내가 '망설이는 수사관과 치킨스러운 나!' 라고 부르는 방법이다
바로 아래에 적어놓은 방법으로 조세피난처에 법인 계좌/체크카드를 만들고 연동되는 페이팔 계정(당연하지만 페이퍼 컴퍼니의 법인 명의로 만들어서 본명을 숨겨야 한다.)과 수금용으로 쓸 카드가 연결되지 않은 수금용 페이팔 계정을 만든다. 카드가 없어도 페이팔 계정끼리 돈을 주고 받는 건 문제가 없으니 문제없이 통장에 송금할 수 있다. 당연하지만 가명으로 변팔을 만들어야 한다. 편의상 A, B라고 부르겠다.
- localbitcoins에 지갑을 만들어서 비트코인을 후원받는다.
- 지갑에 있는 비트코인을 페이팔 거래를 통해 현금으로 환전해서 페이팔 A에 넣는다.
- 페이팔 A에 있는 돈을 페이팔 B로 송금한다.
- localbitcoins에 또 새 지갑을 만들어서 페이팔 B에 있는 돈으로 비트코인을 산다. 당연히 돈은 페이팔로 지불하라.
- 코빗이나 코인플러그 같은 국내 거래소에 지갑을 만들어서 localbitcoins에 있는 비트코인을 전송한다. 이제 그 비트코인을 국내 거래소에서 다시 현금으로 환전한다.
- 환전한 원화를 국내 계좌로 송금한다.
여기에 후술할 비트코인 세탁사이트도 중간중간 끼워주면 환전 계좌가 해외에 있고 거래도 페이팔로 이루어지기 때문에 계좌번호가 노출되지 않아 비트코인 지갑 추적만으론 적발이 힘들다. 설령 조세조약을 맺었더라도 계좌정보가 넘어갈지언정 돈의 출처는 노출되지 않아 검거될 일은 없다. 대신 이럴 경우 세금은 내야 한다. 어차피 우리의 목적은 탈세가 아니므로 세금은 걍 내자.
게다가 국내로 송금할때는 다시 비트코인으로 바꿔서 보내기 때문에 국세청에 보고가 안되서 안전하게 세탁 가능하다.^^ 비트코인을 화폐로 인정하지 않아줘서 고마워요! 금융권 놈들아.
단점이라면 수수료가 상당히 많이 깨진다는 건데 3에서 페이팔을 통해 바로 국내 계좌로 송금하는 방법이 있다. 다만 국세청에 보고가 되기 때문에 세금은 내야 한다.
혹시 설치해서 쓰는 비트코인 클라이언트를 쓸 생각이라면 반드시 일렉트럼(Electrum)같은 걸 써야 된다. 빝코인 코어(Bitcoin core) 같은 거 쓰면 블럭체인에 니 IP 찍혀서 박제된다.
빝코인 세탁 사이트
자신이 가진 빝코인을 자신과는 아무 접점이 없는 제3자(보통 외국의 비트코인 세탁 사이트)가 가진 비트코인과 믹싱하여 추적을 어렵게 만든다. 다만 믹싱이 오히려 수사기관의 어그로를 끌 수 있으니 주의.
유명한 곳만 추려오긴 했지만 먹튀의 위험이 있으므로 소액으로 여러번 나눠서 세탁하자. 그리고 세탁이 끝났으면 세탁 사이트의 지갑에서 바로 비트코인을 출금하자.
일반 믹싱 사이트
다크 웹(Tor 필수)
- Helix Light: http://search3ixqhqjg34.onion.cab/helix/light
- Bitcoin Fog: http://sj6apdgtnqixk6zi.onion.cab/
- Onion Wallet: http://ow24et3lmhnqk64k.onion.cab/
페이팔로 익명 결제를 받자
유리아에서 배운 좋은 방법이다.
자신의 이름이나 계좌가 노출되지 않기 때문에 어찌보면 외국 공권력이 개입하지 않는다는 전제로 빝코인처럼 안전하다.
자세한 건 http://theurgistk.tistory.com/293 참조. 회원 ID 구별은 목적 란에 자신의 아이디를 적으라고 하면 된다. 설정에서 목적 란이 나오게 하는거 잊지 말자.
페이퍼 컴퍼니를 만들어보자
페이퍼 컴퍼니를 차리는 목적은 보통 3가지다.
1) 자신의 신분을 숨기기 위해
2) 합법적으로 절세하면서 장사하기 위해
3) 탈세
참고로 우리의 목적은 탈세가 아니라 1번이다. 돈을 국내 계좌로 들여올때 소득세를 내도록 하자. 그러는 편이 나중에 덜 귀찮아진다.
페이퍼 컴퍼니로 곤혹을 치르는 사람 대부분이 윗대가리들이라 그렇지, 의외로 일반인들도 손쉽게 만들 수 있다.
실제로 마루마루, 수용소닷컴, 헬븐넷, 파이어릿 베이 같은 경우 공권력을 피하기 위해 페이퍼 컴퍼니를 운영중이다.
1. 돈을 적어도 150만원, 넉넉하게 200만원 정도 준비한다.
2. 아래 대행사 목록에서 원하는 곳을 고른다. 마음에 드는 곳이 없으면 구글에 offshore company라 검색해보자.
3. 차명이사(nominee director)와 법인 계좌 서비스를 추가한다. 필수다. 참고로 이거 걸리면 돈세탁 혐의로 징역이다.
4. 여권과 가스비 청구서를 찍어서 신원을 인증한다. 영어로 번역되어 있어야 하니 주의.
5. 1년치 유지비용을 결제한다.
어때요? 참 쉽죠?
참고로 조세피난처도 세율이 다 다르다. 자세한 건 http://m.blog.daum.net/_blog/_m/articleView.do?blogid=0XnRU&articleno=1191 를 참조.
대행사 목록
영국령 버진 아일랜드 https://www.offshorebvi.com/
벨리즈
https://www.belize-offshore.info/
바하마
https://www.sfm-offshore.com/bahamasoffshorecompany.html
키프로스
https://www.wis-international.com/cyprus-tax-haven.html
지브롤터
http://www.worldwideoffshore.com/fees/gibraltar-20
시에라리온
http://www.healyconsultants.com/sierra-leone-company-registration/
세이셸
https://www.offshorecompanyregister.com/
기타 국가들
https://oneoffshorecompany.com/
각종 팁
어떤 조세피난처건 기본적으로 법인세는 면제된다. 따라서 어디를 골라도 솔직히 크게 상관은 없다.
법인을 설립할때 결제해야 할 금액은 대행사에 내는 대행비와 해당 정부에 내야하는 정부 요금이 있다. 보통 한번에 같이 껴있지만 가끔 따로 내야하는 경우가 있으니 주의.
홍콩은 추천하지 않는다. 한국과 너무 가까운데다 쓸데없이 청렴한 염정공서에서 조사가 들어오면 다 털린다.
보통 가장 싼 곳은 세이셸이고 그 다음이 벨리즈다. 둘다 나쁜 선택은 아니다. 특히 벨리즈는 무기명주식이 합법이다.
만약 돈이 많다면 바하마와 케이맨 제도를 추천한다. 이곳은 소득세란게 아예 존재하지 않기 때문에 복잡하게 계산할 필요가 없다. 다만 타 조세피난처에 비해 금액이 높다는 게 흠.
사이트에는 사무실 위치, 법인명(사업자 정보의 비밀 보장이 되지 않는 국가라면 이것도 적지말거나 가짜 이름을 적자.) 정도만 적어두자. 그 이상의 정보를 적어놨다간 나중에 큰코 다칠지도 모른다.
모 도박 사이트에서 페이퍼 컴퍼니를 차렸음에도 적발되었다는 소리가 있던데 걔들은 국내에 법인을 만들어서 그런거다. 정확히 말하면 국내에서 만든 법인 계좌를 입금용 대포통장으로 쓴거. 자세한 건 http://blogspots.ga 를 참조.
해외 은행 계좌 개설
보통 돈 많이 내면 패키지에 추가 서비스로 같이 껴주긴 한데 개인 통장도 만들어 주는 대행사들도 있다.
용도는 무궁무진하다. 위에 페이퍼 컴퍼니 명의로 계좌를 개설해 탈세한다던가, 체크카드를 신청해서(보통 같이 껴주지만 따로 신청해야 하는 곳도 있다.) 페이팔 계정을 만든다거나(개인용 계정은 이름이 노출되니 카드가 연동되지 않은 수금용 계정을 만들거나 법인 명의로 만들자.), 광고비를 받는등 많은 곳에 사용할 수 있다.
그러나 뭐니뭐니해도 가장 좋은 용도는 비트코인 세탁이다. 얼마전 모 성인사이트가 비트코인 출금용으로 만든 대포통장 때문에 걸렸는데 만약 조세피난처에 있는 법인 계좌를 한번 거쳐서 출금했더라면 검거되지 않았을 것이다.
참고로 계좌에 10억원 이상이 들어있다면 해외금융계좌신고제도에 따라 원칙적으로는 국세청에 신고해야 한다. 할지 안할지는 네 마음이다만.
참고로 금융정보자동교환협정 때문에 국세청에 네 계좌 정보가 제공된다. 이를 방지하기 위해서는 차명이사(nominee director) 명의로 법인 계좌를 개설해야 한다. 그리고 개인 계좌는 걍 세금내자.
대행사 목록
http://www.offshoreprotect.com/Services.html#SPBA
은행 목록
- https://www.cibcfcib.com/fcib/index.html 캐나다 은행인데 바하마등 조세피난처에 계좌를 만들 수 있다.
- http://www.cayebank.bz/ 벨리즈 은행이다.
- http://www.bvi.scotiabank.com/ 캐나다 은행이다.
해외 '영주권/시민권' 취득
이건 소라넷이나 마루마루처럼 일년에 억단위로 버는 사이트 운영자만 사용할 수 있는 방법이다.
국적까지 해외로 돌린다면 페이퍼 컴퍼니 설립 시, 좀더 확실하게 신분을 숨길 수 있고 여차하면 해외로 튈 수 있다.
참고로 아래에 있는 국가 대부분은 세율이 낮기로 유명한 조세피난처들이다.
도미니카 연방
1인당 10만 달러를 정부에 기부하거나 20만 달러의 부동산을 매입하면 시민권을 받을 수 있다.
자세한건 http://passporting.info/?page_id=3914 와 http://www.han-maum.net/ab-2213-1 참조.
세이셸
에덴섬이라는 곳에서 부동산에 투자하면 자신 포함, 직계가족 6명이 자동으로 영주권을 받는다. 가격은 3억원에서 20억원까지 다양하다.
자세한건 http://www.visitseychelles.co.kr/Investment/eden.asp 참조.
세인트 키츠 네비스
25만 달러를 사탕수수 산업에 기부하거나 40만 달러를 부동산에 투자하면 시민권을 받을 수 있다.
자세한건 http://passporting.info/?page_id=3912 참조.
합법적인 카지노를 만들어보자
지금부터 설명하는 방법은 실제로 서양 도박 사이트들이 사용하는 방식이다.
일부 유럽 국가나 카리브 해 인근의 국가들은 정부에 허가를 받으면 합법적으로 도박 사이트를 만들 수 있다. 실제로 EU는 온라인 도박을 합법화하는 추세다. http://m.etnews.com/20140922000189?obj=Tzo4OiJzdGRDbGFzcyI6Mjp7czo3OiJyZWZlcmVyIjtOO3M6NzoiZm9yd2FyZCI7czoxMzoid2ViIHRvIG1vYmlsZSI7fQ%3D%3D
관련 법률은 http://www.slogold.net/gambling-license-licence-for-gaming-poker-lottery-betting-sportbook.html 와 http://www.etc-lowtax.net/english/gamb.htm 를 참조하자.
한번 차리기만 하면 수십억은 손쉽게 벌 수 있으니 이보다 더 좋은 수입원은 없을 것이다. 위에서 얘기한 역외계좌나 비트코인을 함께 사용하면 경쟁 사이트(주로 멍청한 조폭들이 운영하는 토토 사이트)에 비해 안정적으로 운영할 수 있다.
다만 여기에는 몇몇 진입장벽이 있다.
- 라이센스 발급 비용이 존나 비싸다. 필요한걸 다 사면 1년에 수천만원은 그냥 깨진다.
- 나라마다 법률이 제각각이다. 일부 국가는 페이퍼 컴퍼니 하나로 땡이지만 어떤 곳은 본인이 직접 해당 국가에 방문해서 허가받고 세금을 내야 하는 경우가 있다.
- 허가받은 해당 국가에 서버를 둬야 한다. 호스팅 인프라가 좋은 미국이나 일본은 기본적으로 온라인 도박이 금지이기 때문에 남유럽이나 서인도 제도에 서버를 둬야 한다. 당연히 가성비가 시원찮을 수 밖에...
일부 한국계 도박 사이트가 몰타에서 합법적으로 운영되고 있는게 발견되었다.
대행사 목록
이쪽도 라이센스 발급을 도와주는 대행회사들이 있다.
https://fastoffshore.com/what-we-do/online-gambling-services/
http://www.slogold.net/gambling.html
싸이트 운영시 필수 주의사항
- 성인 사이트를 차린다면 멍청하게 사무실을 동남아나 중국에 두지말자. 거기도 포르노는 불법이다. 최근에 모 야동 사이트가 베트남과의 공조 수사로 적발되었다. 운영을 할꺼면 차라리 옆나라 일본이나 미국으로 가자.
- 경찰의 수사 기법 중에 운영자의 말투 분석이 있다고 한다.( https://archive.is/V9rs6 ) 역시 주의. 이미 2000년도에 이 방법으로 대부분의 성인사이트들이 폐쇄당했다. 다만 소라넷은 아쉽게도 운영자가 호주로 튀어서 못 잡았다고 한다.
- 정보 보안을 소홀히 해서는 안된다. 자유도서관이 phpmyadmin을 열어두었다가 개인정보가 빠져나가서 운영진이 검거되었다.
- 절대로 천조국 공권력이 움직이게 만들어서는 안된다. 국토안보부와 FBI, 미국 법무부가 친히 너를 수사할 것이다. 세계 최고의 비트토렌트 사이트였던 킥애스토렌트도 결국 미국 수사기관의 힘으로 박살났었다.
싸이트 운영시 권장사항
- 마루마루처럼 네티즌에게 어그로를 끄는 짓은 안하는 게 좋다. 한번 미움을 사버리면 너의 뒤를 추적하는 사람이 나오고 그중엔 나같은 미친 놈이 있을지도 모른다. 히토미처럼 만인에게 사랑받는 사이트의 주인장이 되자.
- 직접 서버를 세팅할 수준이 된다면 웹 관련 트렌드를 지속적으로 공부하라. 기술 배워서 나쁠건 없다.
- 사이트가 유명해지면 누군가는 방심위에 찔러서 워닝이 걸리게 된다. https를 지원한다면 어차피 무력화되니 쫄지 말자.
- 구글링에 익숙해지자. 공대생이라면 상당히 익숙할지도?
- 음지에서는 경쟁 사이트끼리 서로 디도스 공격을 하는 일이 흔하다. 돈이 많다면 클라우드플레어 비즈니스 플랜을 지르자.
- 모 대형 사이트 운영자 왈, 사이트 홍보에는 포털사이트 상위 검색 결과에 뜨는게 제일 효과적이라고 한다. SEO를 중요하게 여기자.
- 디시인사이드처럼 사이트를 광고로 도배하고 애드블록을 차단하는 건 오히려 유저들이 이탈하는 결과를 낳을 수 있다. 지금 당장은 수익이 안나와도 유저와 운영자간에 신뢰를 쌓아서 유저 스스로가 애드블록을 끄도록 유도하는 게 장기적으로 수익에 도움이 된다.
저작물 불펌시
웹툰이나 누드 화보, 유료 동영상은 이미지 파일이나 동영상 파일에 안 보이게 아이디 등 사용자 식별 정보를 암호화해서 넣을 수 있다. 웹 소설 등 텍스트 파일도 투명 글자나 간격 없는 글자로 사용자 식별 정보를 몰래 넣을 수도 있어서, 돈 주고 열람한 후 자기 사이트에 불법으로 올릴 때는 숨겨진 식별 정보(워터 마크)가 없나 잘 찾아봐야 한다. 안 그러면 사용자 아이디로 누가 불펌해갔는지 찾아낼 수 있다.
각주
- ↑ http://newslabit.hankyung.com/news/app/newsview.php?aid=201609088547i
- ↑ http://www.gutefrage.net/frage/ist-lolicon-jetzt-legal-oder-nicht
- ↑ https://archive.4plebs.org/pol/thread/46810408/
- ↑ http://emilkirkegaard.dk/en/?p=2051
- ↑ http://www.escapistmagazine.com/forums/read/528.378771-Swedish-surpreme-court-Manga-drawings-not-child-pronography
- ↑ https://support.cloudflare.com/hc/en-us/articles/200170536-How-do-I-redirect-all-visitors-to-HTTPS-SSL-