2018.07.18

토르 브라우저의 이해 : 브라우저가 프라이버시를 보호하는 방법

J.M. Porup | CSO
토르 브라우저(Tor Browser)는 토르 네트워크(Tor network)를 통해 사용자 웹 트래픽을 익명화해 사용자의 신원을 인터넷에서 쉽게 보호할 수 있는 웹 브라우저다. 경쟁업체를 탐색한다거나 법적 분쟁에서 소송 상대방을 조사할 때, 또는 그냥 인터넷 서비스 사업자(ISP)나 정부가 자신이 방문하는 사이트를 알고 있다는 사실이 꺼림칙할 때라면, 토르 브라우저가 정답이다.

몇 가지 유의할 점이 있다. 토르 브라우저에 의한 웹 브라우징은 다른 브라우저를 이용할 때보다 더 느리고, 일부 거대 웹서비스는 토르 사용자를 차단한다. 또한 토르 브라우저는 국민이 익명으로 열람하고, 출판하고, 통신하는 것을 방지하려는 독재 정권에서 불법이다. 언론인과 반체제 인사들은 토르 브라우저를 오늘날 인터넷 민주주의의 초석으로 생각한다. 그리고 연구자들은 토르의 익명성을 향상시키려고 열심히 노력 중이다.

토르 브라우저를 사용하는 방법
대개의 경우 토르 브라우저는 크롬이나 파이어폭스처럼 단순히 다운로드해 실행하면 된다. 토르 브라우저는 리눅스, 맥, 윈도우에서 이용할 수 있고, 이후 모바일로도 확대됐다. 안드로이드 운영체계라면 구글 플레이 스토어나 F-드로이드에서 오르봇(OrBot) 또는 오프폭(OrFoc)을 찾으면 되고, iOS 사용자라면 애플 앱 스토어에서 어니언 브라우저(Onion Browser)를 찾을 수 있을 것이다.

토르를 사용한 적이 없었던 사용자가 처음 알아차리는 사실은 토르가 느리다는 것이다. 아니라면 최소한 일반적 인터넷 브라우징 보다는 더 느리다고 느낄 것이다. 하지만, 토르는 지난 몇 해 동안 상당히 빨라졌다. 인터넷 연결이 양호하면 유튜브 동영상도 시청할 수 있다.

토르 브라우저는 토르 네트워크에서만 이용할 수 있는 .onion 웹사이트로 접속할 수 있다. 예컨대 일반적인 웹브라우저를 이용해 뉴욕타임즈를 https://www.nytimes3xbfgragh.onion/에서, 페이스북을 https://www.facebookcorewwwi.onion에서 접속하려고 시도해보자. 아무 반응이 없을 것이다. 그곳으로 접속할 수가 없다.

이는 토르를 통해서만 접속할 수 있는 웹 주소다. 이 주소를 통해 익명으로 뉴스를 읽을 수 있다. 이는 자신이 뉴스를 읽는 뉴스 사이트가 어디인지, 언제 뉴스를 읽는지, 얼마나 오래 읽는지를 정부가 알기를 원치 않는 사용자에게는 바람직한 기능이다.

토르 브라우저는 크게 불편한 사실이 하나 있다. 흔히 이렇다 할 오류 메시지 없이 토르 접속을 차단하는 유명 웹서비스 업체들이 많다는 점이다. 평소 방문하던 사이트로 토르를 통해 방문했을 때 404 오류 메시지가 뜬다면 해당 사이트는 토르 트래픽을 차단하고 있을 가능성이 있다. 불필요하게 애매한 태도로 말이다. 토르를 차단하지 않는 사이트라면 수많은 캡차(captchas)를 통과하며 클릭을 해야만 할 수 있다. 세상의 종말까지는 아니더라도 불편한 일임은 사실이다.

토르 브라우저의 작용 방식
토르 브라우저에서 사용자 트래픽은 모두 토르 네트워크를 경유하며 익명화된다. 다음 그림에서 보듯이, 토르는 마치 양파처럼 3 계층 프록시 구조다(여기서 토르의 양파 로고가 유래한다). 토르 브라우저는 공개적 진입 노드의 하나에 무작위로 접속하고, 무작위로 선택된 중간 릴레이로 트래픽을 통과시킨 후, 세 번째이자 최종인 진출 노드에서 트래픽을 뱉어낸다.



그 결과, 구글이나 여타 서비스 사업자가 사이트를 외국어로 표시했다고 해서 당황할 필요가 없다. 이들 사업자는 사용자의 IP 주소를 보고 국가와 언어를 추측한다. 그런데 토르를 이용하면 사용자의 물리적 위치가 지구 반대편에 있는 것처럼 보이는 경우가 빈번하다.



토르를 금지하는 나라에 살거나 토르를 차단하는 웹사이트에 접속하려고 한다면 토르 브라우저가 브릿지를 이용하도록 설정해야 한다. 토르의 진입 및 진출 노드와 달리 브릿지 IP 주소는 공개 디렉토리 상에 있지 않으므로 웹서비스나 정부가 이 IP 주소를 블랙리스트에 올리기가 쉽지 않다.



토르 네트워크는 모든 종류의 TCP 트래픽을 경유시키지만 이는 웹 브라우징에 최적화되어 있다. UDP를 지원하지 않아 토렌트를 통해 무료 소프트웨어 ISO를 주고받을 수 없다.

토르 브라우저, 합법인가
이 글을 읽는 독자에게 토르 브라우저는 전적으로 합법이다. 그러나 일부 국가에서는 불법이거나 국가기관에 의해 차단된다. 중국은 토르 익명 서비스를 불법화했고, 만리방화벽(the Great Firewall)을 넘어오는 토르 트래픽을 차단한다. 러시아, 사우디아라비아, 이란 등은 국민이 토르 브라우저를 사용하지 못하도록 안간힘을 쓴다. 가장 최근에는 베네수엘라가 모든 토르 트래픽을 차단했다.

압제 정권이 토르를 싫어하는 이유를 이해하는 것은 어렵지 않다. 토르 서비스는 언론인이 부정부패를 보도하기 쉽게 만들고, 반체제 인사들이 정치적 억압에 맞서 조직화되는데 유용하다.
익명으로 통신하고 출판하고 열람할 자유는 인터넷에서 표현의 자유를 위한 전제 조건이고, 따라서 오늘날 민주주의의 필요 조건이다.

토르를 이용하고 지지하는 일은 전세계 표현의 자유를 지지하는데 기여한다. 기술이 뛰어난 사용자라면 릴레이를 운영해 대역폭을 토르 네트워크에 기부하도록 장려된다.

다크 웹에 들어가는 방법
여기서 터무니 없는 다크 웹 논란에 종지부를 찍자. 일부 범죄자가 토르를 이용해 범죄 행위를 하는 것은 사실이다. 그러나 범죄자가 일반 인터넷을 이용해 범죄를 저지르는 것도 사실이다. 은행 강도가 범죄를 위해 간선도로에서 도주 차량을 이용한다. 그렇다고 해서 우리가 간선도로나 인터넷을 비방할 정도로 어리석지는 않다. 토르에도 정당한 이용은 얼마든지 있고, 많은 사람에 의해 오늘날 민주주의의 초석으로 여겨진다.

그래서 사람들이 다크 웹이나 딥 웹(deep web)에 대한 황당한 얘기들을 한다면 "정보 묵시록의 4 기사(Four Horsemen of the Infocalypse)들이 비정상적으로 컴퓨터를 이용하고 있다"는 사실은 토르의 극히 지엽적인 부분에 불과함을 기억하자. 인터넷 익명성은 단순히 범죄자나 선동꾼만을 위한 것이 아니다.

사실, 토르는 평범한 사람을 위한 것이다. 거리낌 없이 법을 어기는 범죄자는 토르가 제공하는 것보다 더 나은 익명성을 확보할 수 있다. 다음과 같은 토르의 자주 묻는 질문(FAQ)을 어떻게 생각하는가?

"토르는 범죄자가 나쁜 일을 하는 것을 가능하게 하지 않는가?"

범죄자는 언제나 나쁜 짓을 한다. 이들은 거리낌 없이 법을 어길 것이기 때문에 토르보다 더 나은 프라이버시를 제공할 수많은 선택지를 이미 확보하고 있다. 이들은 휴대폰을 훔쳐 사용한 후 도랑에 던져버릴 수 있다. 한국이나 브라질에 있는 컴퓨터에 침입한 후 이를 악용할 수 있다. 이들은 스파이웨어, 바이러스를 사용할 수 있고, 아니라면 그야말로 전세계의 수백만 대의 윈도우 기기를 장악할 수 있는 여타 기술을 이용할 수 있다.

토르는 법을 준수하고자 하는 평범한 사람을 보호하려는 것이 목표다. 범죄자에게만 프라이버시가 중요하다면, 이는 틀린 생각이다.


토르 브라우저, 익명인가
토르 브라우저는 오늘날 최고의 익명성 웹 브라우징을 제공한다. 그러나 이 익명성은 완전하지 않다. 토르를 강화하려는, 심지어 차세대 익명 툴을 개발하려는 연구자들과 토르의 익명성을 타파하는 법을 연구하는 세계의 정부들간의 경쟁은 지금도 계속되고 있다.

토르 브라우저 사용자의 익명성을 해체하는 가장 성공적인 기법은 해킹이다. FBI는 이 해킹 기법을 수많은 범죄 사건에서 성공적으로 사용했다. 2016년 미 연방 대법원장 로버츠에 의해 법규화된 규칙-41(Rule-41) 하에서 FBI는 하나의 영장만으로 전세계의 수많은 컴퓨터를 대규모로 해킹할 수 있다.

이 해킹 기술은 모든 사람이 우려해야 한다. 이 무차별 해킹 활동에 무고한 토르 사용자가 불가피하게 희생될 것이기 때문이다. 그렇다면 토르를 사용하지 말아야 할까. 절대 그렇지 않다. 자신의 인터넷 프라이버시를 중요시한다면 토르 브라우저는 필수다. 그리고 토르는 시간과 함께 계속 진화할 것이다. 자신의 프라이버시에 관심이 없다고 말하는 사람이라면 에드워드 스노든의 말을 생각해보자.

"감출 것 없이 떳떳하기 때문에 프라이버시 권리에 관심이 없다고 말하는 것은 할 말이 없기 때문에 언론의 자유에 관심이 없다는 말과 다르지 않다." editor@itworld.co.kr  


2018.07.18

토르 브라우저의 이해 : 브라우저가 프라이버시를 보호하는 방법

J.M. Porup | CSO
토르 브라우저(Tor Browser)는 토르 네트워크(Tor network)를 통해 사용자 웹 트래픽을 익명화해 사용자의 신원을 인터넷에서 쉽게 보호할 수 있는 웹 브라우저다. 경쟁업체를 탐색한다거나 법적 분쟁에서 소송 상대방을 조사할 때, 또는 그냥 인터넷 서비스 사업자(ISP)나 정부가 자신이 방문하는 사이트를 알고 있다는 사실이 꺼림칙할 때라면, 토르 브라우저가 정답이다.

몇 가지 유의할 점이 있다. 토르 브라우저에 의한 웹 브라우징은 다른 브라우저를 이용할 때보다 더 느리고, 일부 거대 웹서비스는 토르 사용자를 차단한다. 또한 토르 브라우저는 국민이 익명으로 열람하고, 출판하고, 통신하는 것을 방지하려는 독재 정권에서 불법이다. 언론인과 반체제 인사들은 토르 브라우저를 오늘날 인터넷 민주주의의 초석으로 생각한다. 그리고 연구자들은 토르의 익명성을 향상시키려고 열심히 노력 중이다.

토르 브라우저를 사용하는 방법
대개의 경우 토르 브라우저는 크롬이나 파이어폭스처럼 단순히 다운로드해 실행하면 된다. 토르 브라우저는 리눅스, 맥, 윈도우에서 이용할 수 있고, 이후 모바일로도 확대됐다. 안드로이드 운영체계라면 구글 플레이 스토어나 F-드로이드에서 오르봇(OrBot) 또는 오프폭(OrFoc)을 찾으면 되고, iOS 사용자라면 애플 앱 스토어에서 어니언 브라우저(Onion Browser)를 찾을 수 있을 것이다.

토르를 사용한 적이 없었던 사용자가 처음 알아차리는 사실은 토르가 느리다는 것이다. 아니라면 최소한 일반적 인터넷 브라우징 보다는 더 느리다고 느낄 것이다. 하지만, 토르는 지난 몇 해 동안 상당히 빨라졌다. 인터넷 연결이 양호하면 유튜브 동영상도 시청할 수 있다.

토르 브라우저는 토르 네트워크에서만 이용할 수 있는 .onion 웹사이트로 접속할 수 있다. 예컨대 일반적인 웹브라우저를 이용해 뉴욕타임즈를 https://www.nytimes3xbfgragh.onion/에서, 페이스북을 https://www.facebookcorewwwi.onion에서 접속하려고 시도해보자. 아무 반응이 없을 것이다. 그곳으로 접속할 수가 없다.

이는 토르를 통해서만 접속할 수 있는 웹 주소다. 이 주소를 통해 익명으로 뉴스를 읽을 수 있다. 이는 자신이 뉴스를 읽는 뉴스 사이트가 어디인지, 언제 뉴스를 읽는지, 얼마나 오래 읽는지를 정부가 알기를 원치 않는 사용자에게는 바람직한 기능이다.

토르 브라우저는 크게 불편한 사실이 하나 있다. 흔히 이렇다 할 오류 메시지 없이 토르 접속을 차단하는 유명 웹서비스 업체들이 많다는 점이다. 평소 방문하던 사이트로 토르를 통해 방문했을 때 404 오류 메시지가 뜬다면 해당 사이트는 토르 트래픽을 차단하고 있을 가능성이 있다. 불필요하게 애매한 태도로 말이다. 토르를 차단하지 않는 사이트라면 수많은 캡차(captchas)를 통과하며 클릭을 해야만 할 수 있다. 세상의 종말까지는 아니더라도 불편한 일임은 사실이다.

토르 브라우저의 작용 방식
토르 브라우저에서 사용자 트래픽은 모두 토르 네트워크를 경유하며 익명화된다. 다음 그림에서 보듯이, 토르는 마치 양파처럼 3 계층 프록시 구조다(여기서 토르의 양파 로고가 유래한다). 토르 브라우저는 공개적 진입 노드의 하나에 무작위로 접속하고, 무작위로 선택된 중간 릴레이로 트래픽을 통과시킨 후, 세 번째이자 최종인 진출 노드에서 트래픽을 뱉어낸다.



그 결과, 구글이나 여타 서비스 사업자가 사이트를 외국어로 표시했다고 해서 당황할 필요가 없다. 이들 사업자는 사용자의 IP 주소를 보고 국가와 언어를 추측한다. 그런데 토르를 이용하면 사용자의 물리적 위치가 지구 반대편에 있는 것처럼 보이는 경우가 빈번하다.



토르를 금지하는 나라에 살거나 토르를 차단하는 웹사이트에 접속하려고 한다면 토르 브라우저가 브릿지를 이용하도록 설정해야 한다. 토르의 진입 및 진출 노드와 달리 브릿지 IP 주소는 공개 디렉토리 상에 있지 않으므로 웹서비스나 정부가 이 IP 주소를 블랙리스트에 올리기가 쉽지 않다.



토르 네트워크는 모든 종류의 TCP 트래픽을 경유시키지만 이는 웹 브라우징에 최적화되어 있다. UDP를 지원하지 않아 토렌트를 통해 무료 소프트웨어 ISO를 주고받을 수 없다.

토르 브라우저, 합법인가
이 글을 읽는 독자에게 토르 브라우저는 전적으로 합법이다. 그러나 일부 국가에서는 불법이거나 국가기관에 의해 차단된다. 중국은 토르 익명 서비스를 불법화했고, 만리방화벽(the Great Firewall)을 넘어오는 토르 트래픽을 차단한다. 러시아, 사우디아라비아, 이란 등은 국민이 토르 브라우저를 사용하지 못하도록 안간힘을 쓴다. 가장 최근에는 베네수엘라가 모든 토르 트래픽을 차단했다.

압제 정권이 토르를 싫어하는 이유를 이해하는 것은 어렵지 않다. 토르 서비스는 언론인이 부정부패를 보도하기 쉽게 만들고, 반체제 인사들이 정치적 억압에 맞서 조직화되는데 유용하다.
익명으로 통신하고 출판하고 열람할 자유는 인터넷에서 표현의 자유를 위한 전제 조건이고, 따라서 오늘날 민주주의의 필요 조건이다.

토르를 이용하고 지지하는 일은 전세계 표현의 자유를 지지하는데 기여한다. 기술이 뛰어난 사용자라면 릴레이를 운영해 대역폭을 토르 네트워크에 기부하도록 장려된다.

다크 웹에 들어가는 방법
여기서 터무니 없는 다크 웹 논란에 종지부를 찍자. 일부 범죄자가 토르를 이용해 범죄 행위를 하는 것은 사실이다. 그러나 범죄자가 일반 인터넷을 이용해 범죄를 저지르는 것도 사실이다. 은행 강도가 범죄를 위해 간선도로에서 도주 차량을 이용한다. 그렇다고 해서 우리가 간선도로나 인터넷을 비방할 정도로 어리석지는 않다. 토르에도 정당한 이용은 얼마든지 있고, 많은 사람에 의해 오늘날 민주주의의 초석으로 여겨진다.

그래서 사람들이 다크 웹이나 딥 웹(deep web)에 대한 황당한 얘기들을 한다면 "정보 묵시록의 4 기사(Four Horsemen of the Infocalypse)들이 비정상적으로 컴퓨터를 이용하고 있다"는 사실은 토르의 극히 지엽적인 부분에 불과함을 기억하자. 인터넷 익명성은 단순히 범죄자나 선동꾼만을 위한 것이 아니다.

사실, 토르는 평범한 사람을 위한 것이다. 거리낌 없이 법을 어기는 범죄자는 토르가 제공하는 것보다 더 나은 익명성을 확보할 수 있다. 다음과 같은 토르의 자주 묻는 질문(FAQ)을 어떻게 생각하는가?

"토르는 범죄자가 나쁜 일을 하는 것을 가능하게 하지 않는가?"

범죄자는 언제나 나쁜 짓을 한다. 이들은 거리낌 없이 법을 어길 것이기 때문에 토르보다 더 나은 프라이버시를 제공할 수많은 선택지를 이미 확보하고 있다. 이들은 휴대폰을 훔쳐 사용한 후 도랑에 던져버릴 수 있다. 한국이나 브라질에 있는 컴퓨터에 침입한 후 이를 악용할 수 있다. 이들은 스파이웨어, 바이러스를 사용할 수 있고, 아니라면 그야말로 전세계의 수백만 대의 윈도우 기기를 장악할 수 있는 여타 기술을 이용할 수 있다.

토르는 법을 준수하고자 하는 평범한 사람을 보호하려는 것이 목표다. 범죄자에게만 프라이버시가 중요하다면, 이는 틀린 생각이다.


토르 브라우저, 익명인가
토르 브라우저는 오늘날 최고의 익명성 웹 브라우징을 제공한다. 그러나 이 익명성은 완전하지 않다. 토르를 강화하려는, 심지어 차세대 익명 툴을 개발하려는 연구자들과 토르의 익명성을 타파하는 법을 연구하는 세계의 정부들간의 경쟁은 지금도 계속되고 있다.

토르 브라우저 사용자의 익명성을 해체하는 가장 성공적인 기법은 해킹이다. FBI는 이 해킹 기법을 수많은 범죄 사건에서 성공적으로 사용했다. 2016년 미 연방 대법원장 로버츠에 의해 법규화된 규칙-41(Rule-41) 하에서 FBI는 하나의 영장만으로 전세계의 수많은 컴퓨터를 대규모로 해킹할 수 있다.

이 해킹 기술은 모든 사람이 우려해야 한다. 이 무차별 해킹 활동에 무고한 토르 사용자가 불가피하게 희생될 것이기 때문이다. 그렇다면 토르를 사용하지 말아야 할까. 절대 그렇지 않다. 자신의 인터넷 프라이버시를 중요시한다면 토르 브라우저는 필수다. 그리고 토르는 시간과 함께 계속 진화할 것이다. 자신의 프라이버시에 관심이 없다고 말하는 사람이라면 에드워드 스노든의 말을 생각해보자.

"감출 것 없이 떳떳하기 때문에 프라이버시 권리에 관심이 없다고 말하는 것은 할 말이 없기 때문에 언론의 자유에 관심이 없다는 말과 다르지 않다." editor@itworld.co.kr  


X