해커가 익명 네트워크 '토르'의 보안 체계를 뚫고 이용자의 네트워크 트래픽을 가로채는 공격을 활발히 시도하고 있다는 연구 결과가 나왔다.
토르는 네트워크 트래픽이 여러 PC를 거쳐 전달돼 어떤 PC에서 트래픽이 발생했는지 확인하기 어렵게 만든다. 해커는 트래픽이 목적지에 전달되기 전 마지막으로 도달하는 출구 노드에서 이런 공격을 시도하고 있다는 분석이다. 이 구간에서는 트래픽이 암호화되지 않기 때문이다.
누세누(nusenu)라는 이름의 보안 연구원은 지난 9일 이같은 내용을 담은 보고서를 발표했다.
보고서에 따르면 토르 이용자를 공격하는 해커는 1년여 전부터 이같은 공격을 적극 확대해왔다. 지난 2월에는 토르 출구 노드 사용량의 27% 이상을 제어하는 데 성공했으며, 최근 1년간 평균 출구 노드의 14% 이상을 제어했다.
누세누는 작년 8월에도 토르 출구 노드를 제어하려는 해킹 시도를 발견해 보고한 바 있다. 당시 해커는 380개의 출구 노드를 운영하고 있었으나, 보고 이후 토르 프로젝트가 개입해 이 노드들을 네트워크에서 차단했다. 그러나 올초부터 공격이 재개돼 이달 첫째 주에는 1천개 이상의 출구 노드를 추가하려고 시도했다. 이번에 발견된 악성 출구 노드들도 네트워크에서 제거된 상태다.
관련기사
- 사생활 보호 검색 엔진 '덕덕고', 일 검색량 1억건 돌파2021.01.18
- 텔레그램·다크웹 속 범죄자 어떻게 찾아낼까2020.03.24
- MS 엣지, 7월부터 HTTPS로 자동 연결2021.04.29
- "크롬 새 광고 기술, 프라이버시 보호 강화? 더 침해"2021.04.18
토르 출구 노드를 제어한 해커는 중간자 공격(MITM)을 수행했다. 자금 출처 파악을 어렵게 해주는 비트코인 믹서 서비스에 접근하는 HTTPS 트래픽을 HTTP 트래픽으로 바꾸고, 사용자의 비트코인 주소를 해커의 지갑으로 대체하려 했다.
토르 프로젝트 측은 이용자와 웹사이트가 HTTPS 접속을 우선해야 이같은 공격 피해를 완화할 수 있다고 밝힌 바 있다. 누세누가 처음 이같은 공격을 보고했을 당시 토르 프로젝트는 "사용자가 웹사이트를 HTTP로 방문하면 HTTPS로 리디렉션하지 못한다"며 "사용자가 HTTPS로 접속하지 않았다는 것을 알아차리지 못한 채 민감한 정보를 주고 받을 경우 공격자가 정보를 가로챌 수 있다"고 조언했다.
