2014.07.28

러시아 정부, 토르 사용자 밝히는 기술 연구에 1억 원 제시

Lucian Constantin | IDG News Service
러시아 내무부가 토르(Tor) 네트워크 상의 사용자를 식별할 수 있는 방법에 3900만 루블, 우리 돈 약 1억 2000만 원의 보상금을 내걸었다.

토르는 인터넷 트래픽을 익명화하는 소프트웨어로, 트래픽을 암호화하고 여러 곳의 무작위 연계 지점을 통해 전달해 잠재적인 네트워크 도청자들이 트래픽의 출처와 목적지를 파악하지 못하도록 한다. 이 소프트웨어는 원래 미 해군연구소의 프로젝트로 개발됐지만, 현재는 ‘토르 프로젝트’란 비영리단체가 유지하고 있다.

토르 네트워크는 보통 언론인이나 정치 활동가, 프라이버시에 민감한 사용자들이 많이 사용하고 있지만, 이상성욕자나 기타 범죄자들이 사법기관의 추적을 따돌릴 목적으로 사용하기도 한다.

러시아 내무부 산하의 ‘특수목적 장비 및 통신을 위한 과학적 생산 연합(Scientific Production Association for Special-Purpose Equipment and Communications, 이하 SPASPEC)는 토르 익명화 네트워크 상의 사용자와 사용자 장비에 대한 기술적인 정보를 얻을 수 있는 방법을 연구하는 계약을 제안하고 있다. 이 정보는 러시아의 정부 조달 포털에 게시된 정보이다.

토르의 익명성을 해제해 어떤 용도로 사용할지에 대해서는 구체적으로 밝히지 않았다. 다만 비용이 러시아 내무부에서 나온다는 사실로 볼 때, 사법기관의 수사 목적으로 사용될 가능성이 높다.

과거 미 FBI와 몇몇 국가의 경찰은 토르 네트워크 상에서 호스팅되는 불법 웹 사이트들을 폐쇄하고 일부 사용자와 방문자를 밝혀 낸 바 있다. 하지만 대부분의 경우 해당 사이트의 취약점을 이용하거나 관리자가 온라인에 남긴 흔적을 추적하는 방식으로 밝힌 것들이었다.

지난 해 에드워드 스노우든이 폭로한 비밀 문서에 따르면 미 NSA와 영국 정보통신본부가 일부 토르 사용자의 익명성을 와해하는 데 성공한 적도 있다. 이 역시 파이어폭스를 기반으로 하는 토르 브라우저의 취약점을 이용한 것이지 토르 프로토콜 자체를 뚫고 들어간 것은 아니었다.

물론 토르에 아무런 약점이 없다는 것은 아니다. 카네기 멜론 대학의 컴퓨터 긴급 대응팀 소속 연구원 2명은 다음 달 열리는 블랙햇 컨퍼런스에서 토르 클라이언트의 취약점을 밝힐 계획이었다. 이 발표는 대학 측의 요청으로 취소되었는데, 정보가 일반에 공개할 만큼 확인되지 않았다는 이유이다. 하지만 취약점이 있다는 것은 사실인 것으로 알려졌다.

토르 사용자를 알아낼 수 있는 믿을만한 방법이 극히 드물다는 점을 감안할 때 이런 취약점은 러시아 내무부가 제시한 금액보다 훨씬 가치가 높다는 것이 업계의 평가이다.  editor@itworld.co.kr


2014.07.28

러시아 정부, 토르 사용자 밝히는 기술 연구에 1억 원 제시

Lucian Constantin | IDG News Service
러시아 내무부가 토르(Tor) 네트워크 상의 사용자를 식별할 수 있는 방법에 3900만 루블, 우리 돈 약 1억 2000만 원의 보상금을 내걸었다.

토르는 인터넷 트래픽을 익명화하는 소프트웨어로, 트래픽을 암호화하고 여러 곳의 무작위 연계 지점을 통해 전달해 잠재적인 네트워크 도청자들이 트래픽의 출처와 목적지를 파악하지 못하도록 한다. 이 소프트웨어는 원래 미 해군연구소의 프로젝트로 개발됐지만, 현재는 ‘토르 프로젝트’란 비영리단체가 유지하고 있다.

토르 네트워크는 보통 언론인이나 정치 활동가, 프라이버시에 민감한 사용자들이 많이 사용하고 있지만, 이상성욕자나 기타 범죄자들이 사법기관의 추적을 따돌릴 목적으로 사용하기도 한다.

러시아 내무부 산하의 ‘특수목적 장비 및 통신을 위한 과학적 생산 연합(Scientific Production Association for Special-Purpose Equipment and Communications, 이하 SPASPEC)는 토르 익명화 네트워크 상의 사용자와 사용자 장비에 대한 기술적인 정보를 얻을 수 있는 방법을 연구하는 계약을 제안하고 있다. 이 정보는 러시아의 정부 조달 포털에 게시된 정보이다.

토르의 익명성을 해제해 어떤 용도로 사용할지에 대해서는 구체적으로 밝히지 않았다. 다만 비용이 러시아 내무부에서 나온다는 사실로 볼 때, 사법기관의 수사 목적으로 사용될 가능성이 높다.

과거 미 FBI와 몇몇 국가의 경찰은 토르 네트워크 상에서 호스팅되는 불법 웹 사이트들을 폐쇄하고 일부 사용자와 방문자를 밝혀 낸 바 있다. 하지만 대부분의 경우 해당 사이트의 취약점을 이용하거나 관리자가 온라인에 남긴 흔적을 추적하는 방식으로 밝힌 것들이었다.

지난 해 에드워드 스노우든이 폭로한 비밀 문서에 따르면 미 NSA와 영국 정보통신본부가 일부 토르 사용자의 익명성을 와해하는 데 성공한 적도 있다. 이 역시 파이어폭스를 기반으로 하는 토르 브라우저의 취약점을 이용한 것이지 토르 프로토콜 자체를 뚫고 들어간 것은 아니었다.

물론 토르에 아무런 약점이 없다는 것은 아니다. 카네기 멜론 대학의 컴퓨터 긴급 대응팀 소속 연구원 2명은 다음 달 열리는 블랙햇 컨퍼런스에서 토르 클라이언트의 취약점을 밝힐 계획이었다. 이 발표는 대학 측의 요청으로 취소되었는데, 정보가 일반에 공개할 만큼 확인되지 않았다는 이유이다. 하지만 취약점이 있다는 것은 사실인 것으로 알려졌다.

토르 사용자를 알아낼 수 있는 믿을만한 방법이 극히 드물다는 점을 감안할 때 이런 취약점은 러시아 내무부가 제시한 금액보다 훨씬 가치가 높다는 것이 업계의 평가이다.  editor@itworld.co.kr


X