토르 프로젝트, 버그 퇴치에 현상 공모

인터넷입력 :2016/01/04 07:39

익명으로 인터넷에 접속할 수 있게 해주는 토르(Tor) 프로젝트에서 버그 찾기 현상 공모가 진행될 예정이다.

미국 지디넷은 토르 프로젝트를 운영하는 비영리기구 '어니언네트워크'가 새해 새로운 현상 공모 프로그램(Bug Bounty Program)을 시작했다고 보도했다.

토르 프로젝트의 현상금 공모 프로그램은 지난해말 독일 함부르크에서 열린 '카오스커뮤니케이션콩그레스' 컨퍼런스에서 진행된 '스테이트 오브 디 어니언' 세션에서 소개됐다. 어니언네트워크 측은 현장에서 현상금을 걸고 자신들의 애플리케이션에 적용할 수 있는 취약점들을 발견하는 활동을 공모한다고 밝혔다. 다만 취약점 발견자에게 어떤 보상을 제공할지 구체적으로 설명하진 않았다.

토르는 익명 사용자를 위한 오픈소스 소프트웨어 개발 프로젝트다. 온라인 검열에 대응해 사용자를 추적하기 어렵도록 설계된 지점간 중계 시스템이 핵심이다. 운영단체 어니언네트워크는 PC와 안드로이드용 브라우저, 운영체제, 네트워크 관리 및 스크립팅 툴 등을 배포해 왔다. 정부의 검열을 우회하려는 활동가, 연구자, 저널리스트들이 이를 사용해 왔다.

토르 프로젝트 로고 Tor Project logo

토르가 사용자를 추적하기 어렵게 만들어지긴 했지만 세상에 완벽한 시스템은 없다. 지난해 7월 한 연구자는 '서킷핑거프린팅'이라 불리는 사용자 추적 방법을 개발했다고 밝혔다. 지금 이런 방식을 통해 추적되는 헛점은 보완됐지만, 앞으로도 사용자를 추적하는 새로운 기법이 또 나오지 말란 법이 없다. 토르의 높은 보안 수준을 유지하는 일이 한층 중요해졌다.

시스템의 보안 취약점은 사용자를 외부 공격에 노출시킬뿐아니라 정부나 정보기관에 판매돼 사용될 수도 있다. 예를 들면 취약점 브로커 '제로디움'같은 곳에서는 토르 네트워크에 영향을 줄 수 있는 보고되지 않은 제로데이 취약점을 최대 3만달러에 판매하기도 했다.

관련기사

현상금 공모 프로그램은 이같은 문제를 해결하는 패치를 만드는 작업 초기에 보안 전문가들의 도움을 얻을 수 있도록 해 준다. 구글이나 마이크로소프트같은 부류의 회사들이 운영하는 현상금 공모 프로그램의 경우 문제를 보고한 연구자들에게 기술업계에서의 명예와 금전적 보상을 제공해, 이런 사람들이 지하세계에 자기의 발견을 팔거나 해당 기업이 문제점을 해결하기 전에 무단 공개하지 않도록 유도한다.

미국 지디넷 보도에 따르면 미국 국가안보국(NSA) 출신 내부고발자 에드워드 스노든은 토르에 대해 프라이버시에 대한 공공의 권리를 보호하고 정부의 감청활동에 저항하기 위한 '핵심 기술'이라 지칭했다. 토르 시스템은 미국 정부가 뜻한대로 누군가를 추적하기 어려운 구조로 만들어진 자발적 참가자(volunteer) 기반의 네트워크로, 이런 특성이 악용이나 여러 대항 유형에 구조적인 방지책을 제공한다고 평했다.