요즘 잊을 만하면 미국국가안보국(NSA) 사건이 터지고 있다. IT 매체에서도 몇 달 동안 NSA를 주제어로 다양한 관점의 이야기들을 쏟아냈다. 이중 필자의 눈길을 끈 이야기는 토르(Tor)에 대한 것이다.
오픈소스 프로젝트인 토르의 개념은 매우 간단하다. 암호화 된 패킷을 무작위 또는 임의(Random) 라우팅 경로를 통해 전달하는 것이다. 양파처럼 까면 깔수록 속을 알 수 없는 라우팅 경로를 가지고 있는 것이 바로 토르이다.
개념만 놓고 보면 가상 터널을 통해 안전하게 연결되는 VPN과 비슷한 개념이지만 인터넷 환경에서 자신을 철저히 감출 수 있는 익명성 보장이 가능하다는 점이 다르다. 이런 이유로 엔지니어들은 토르를 기업에서 민감한 채널을 유지하기 위한 VPN의 대안 또는 보완제로 보고 있다.
그렇다면 VPN은 무엇이 문제인가? VPN은 오늘날 가장 일반적으로 쓰이는 보안 연결 방식이다. 하지만 VPN은 엄밀히 말해 합법적 또는 비합법적 감청이 가능한 보안 채널이다. 다시 말해 사설 VPN 서비스를 제공하는 업체들은 기본적으로 접속 로그를 모두 기록하고 있는데, 기관이 요구할 경우 사용자 추적을 위해 해당 기록을 내주어야 한다.
기업이 직접 구축해 운영하더라도 IP를 알 수 있다면 패킷을 가로채 분석할 수 있기 때문에 비밀리에 진행되는 감청으로부터 자유롭지 못하다. 반면 토르는 IP를 철저히 감출 수 있기 때문에 감청을 할 대상을 콕 짚어 내기 어렵다.
물론 완전 불가능한 것은 아니다. NSA가 토르 해킹 시도 해왔다는 것은 공공연한 비밀이다. 정보기관의 표적이 된다 하더라도 토르는 그 태생적인 특성상 익명성을 단번에 무장해제 시키기 어렵다. 토르의 모든 라우팅 경로를 파악한 지도를 한번에 그려 낼 수 없다는 얘기다.
토르는 이용자가 많아질수록 라우팅 경로가 복잡해진다는 특징이 있다. 토르를 통해 인터넷에 접속할 경우 해당 패킷은 토르 이용자들을 통해 분산되어 전송된다. 따라서 이용자가 많을수록 경로는 복잡해진다.
이처럼 토르를 이용하면 데이터는 암호화 되고, 패킷의 주소는 숨겨지고, 패킷의 이동 경로는 토르 이용자들이 쓰는 장치를 통해 다변화 되다 보니 추적이 어려워 진다. 이런 기술적 특징으로 DPI(Deep Packet Inspection) 등의 도감청 툴을 통해 트래픽을 분석하고 통제하려는 망 사업자나 기관이 쳐 놓은 감시 망을 우회할 수도 있다.
DPI와 같은 툴이 방패라면 토르는 이를 뚫는 창이나 마찬 가지인 셈이다. 앞으로 이들의 싸움을 지켜보는 것도 관전 포인트가 될 것이다.
현재 토르는 점차 그 저변을 넓혀가고 있다. 개인 사용자부터, 단체 심지어 기업들까지 토르에 관심을 두고 있다. 개인적으로 토르는 기업에서 VPN의 보완제로 충분히 그 쓰임이 생기지 않을까 생각한다. 오늘 날 기업은 스마트워크와 BYOD 열풍에 힘입어 다양한 연결을 고려하고 있다.
VPN 연결부터 SSL 통신 등 다양한 방식이 검토되고 있지만 NSA를 통해 입증된 것처럼 빅브라더의 실체와 실력이 드러난 오늘 날 지금까지 안전하다고 여겼던 방식은 결코 안전하지 않다. 제 3의 대안이 필요한 이유다.
기업에서 토르를 이용하는 시나리오는 다양하게 생각해 볼 수 있다. 외부에서 공공 장소에 비치된 컴퓨터나 게임방 컴퓨터를 이용해야 할 경우 USB에 토르 프로젝트의 일환으로 추진되고 있는 트레일(Trail)을 쓰면 된다. 공용 컴퓨터에 USB를 꼽고 익명성이 보장되는 운영체제 환경을 통해 필요한 작업을 하면 된다.
본사와 지사의 거리가 먼 기업에서 익명성이 보장된 인터넷 상에서 커뮤니케이션을 하려 한다면 토르 클라우드를 이용하는 것도 방법이다. 모바일 기기들을 가지고 웹 서핑을 한다거나, 채팅을 할 경우에도 안드로이드용 앱인 오봇(Orbot)을 설치하면 토르의 익명성을 보장받을 수 있다.
토르를 기업에서 쓰임에 맞게 커스터마이징 하는 것도 실력 있는 엔지니어라면 시도해 볼만 할 것이다. 토르는 오픈 소스다. 토르를 집에 있는 무선 액세스 포인트나 라즈베리파이 등에 설치하고 이런 저런 실험을 하는 이들은 필자가 말하는 것이 무슨 소리인지 대략 감이 올 것이다.
관련기사
- 슈미트 "NSA 구글 침투, 불법 가능성"2013.11.06
- NSA, 토르 사용자 찾으려 구글 광고 동원2013.11.06
- 시만텍, '토르 네트워크'도 추적 가능2013.11.06
- 가상자산, 미국은 변하는 데 한국은 왜 안 바뀌나2024.11.25
물론 토르가 모든 것을 해결해 주지는 않을 것이다. 일각에서는 토르의 주요 스폰서 중 미국 정부 기관의 이름이 있는 것을 불편하게 생각한다.
하지만 오픈 소스란 점을 감안할 때 토르는 의혹의 눈길 보다 새로운 기회가 될 수 있다고 보는 편이 맞지 않을까? 오늘날 우리 나라 보안 솔루션과 장비 대부분이 오픈소스가 없었다면 아마 존재하지 않았을 것이다. 빅브라더가 활기 치는 이 시기 토르가 어떤 역할을 할지 궁금하다.
*본 칼럼 내용은 본지 편집방향과 다를 수 있습니다.