세계 최대 익명 네크워크 '토르'서 버그 발견…"쉽게 웹사이트 마비 가능" 작성일 09-12 62 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">KAIST "보안 기법이 되레 악성공격 강화…패치 실적용 위해 협의 진행"</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="ycSTn3P3jP"> <p contents-hash="f6909ca86d4c546c5081d60ad35383982e1cc286b0a845d286a42223fdc09020" dmcf-pid="Wlt3w2g2g6" dmcf-ptype="general">(지디넷코리아=박희범 기자)<span>세계 최대 익명 네크워크 '토르'서 웹사이트 전체를 마비시킬 수 있는 버그가 발견됐다.</span></p> <p contents-hash="05df4b098fe38e0b44f20a0f772a11cf609129a4c6c369c83081cf837f8f242d" dmcf-pid="YSF0rVaVa8" dmcf-ptype="general">KAIST는 전산학부 강민석 교수 연구팀이 지난 8월 미국 시애틀에서 열린 유즈닉스 보안 학술대회(USENIX Security 2025)에서 '토르'의 보안 취약점을 공개, 우수논문상(Honorable Mention Award)을 수상했다고 12일 밝혔다.</p> <p contents-hash="b6f10015123ef602ebf125947a42c786cc26a62223b3ed2e0a83ddb266a58ef9" dmcf-pid="Gv3pmfNfj4" dmcf-ptype="general">유즈닉스 보안 학술대회는 정보보안 분야 세계적인 학회다. 구글 스칼라 h-5 인덱스 기준 보안·암호학 분야 전체 학술대회 및 저널 중 영향력 1위다.</p> <figure class="figure_frm origin_fig" contents-hash="026ec97de6d28095aeb83342e4799ccee52aacef135619a600970965ae07595a" dmcf-pid="HT0Us4j4Nf" dmcf-ptype="figure"> <p class="link_figure"><img alt="KAIST가 제안한 새로운 공격 모식도. 공격자가 미리 설계한 극미량의 공격 트래픽을 토르 내 웹사이트에 전송하면, 혼잡 측정 시스템이 교란되면서 과도한 혼잡 제어가 촉발되고, 이는 결국 일반 사용자의 웹사이트 접근 불가로 이어진다. (그림=KAIST)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/12/ZDNetKorea/20250912112050635svvs.jpg" data-org-width="638" dmcf-mid="qhLaBOFOkN" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/12/ZDNetKorea/20250912112050635svvs.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> KAIST가 제안한 새로운 공격 모식도. 공격자가 미리 설계한 극미량의 공격 트래픽을 토르 내 웹사이트에 전송하면, 혼잡 측정 시스템이 교란되면서 과도한 혼잡 제어가 촉발되고, 이는 결국 일반 사용자의 웹사이트 접근 불가로 이어진다. (그림=KAIST) </figcaption> </figure> <p contents-hash="856097e12af248d7a09910b88c4672c9a1fc6e52050f71fecdcce9b8a15d32a0" dmcf-pid="XypuO8A8jV" dmcf-ptype="general">이번에 강 교수팀이 받은 우수논문상은 전체 논문 400여 편 가운데 약 6%인 25편에만 주어졌다. 특히, 국내에서는 강 교수 연구팀이 유일하게 수상했다.</p> <p contents-hash="9b108771c7aa93313ba773ea4dbdf12b0fb21fa60003a8ed9e6fbe7c96eb52dd" dmcf-pid="ZWU7I6c6A2" dmcf-ptype="general">연구팀은 ‘토르’에서 발생할 수 있는 새로운 서비스 거부(DoS) 공격에 대한 버그(취약점)를 발견하고, 이를 해결하기 위한 패치를 제시했다.</p> <p contents-hash="79588ff18e1bfb648e3577497e45f6a94606516a8fc0bcf081bb5e66717c8e3c" dmcf-pid="5YuzCPkPo9" dmcf-ptype="general">토르는 익명성을 기반으로 하는 다양한 서비스의 핵심 기술로, 전세계적으로 매일 수백만명의 사용자가 이용하는 대표적인 프라이버시 보호 수단이다.</p> <p contents-hash="0d676534340d438e3ef1e3196bfbdf34d8a7a8d05b540e2debe69427190f0e86" dmcf-pid="1G7qhQEQkK" dmcf-ptype="general">강민석 교수는 "토르의 혼잡도 인식 방식이 안전하지 않다는 것을 밝혀낸 것"이라며 "실제 네트워크 실험을 통해 단 2달러의 비용으로 웹사이트를 마비시킬 수 있음을 입증했다"고 설명했다.</p> <p contents-hash="621bbea5e877790dff5c48f9ed558b740aacca7656a211f50d6d138c2e5bd927" dmcf-pid="tHzBlxDxNb" dmcf-ptype="general">강 교수는 또 "기존 토르에 구현된 서비스 거부(DoS) 공격에 대한 보안 기법이 오히려 공격을 더욱 악화시킬 수 있음을 최초로 규명했다"고 덧붙였다.</p> <p contents-hash="6c2cafc69d1a9a420f73d0d2b86859d252aec9e9668602c5b188f9294370e3b5" dmcf-pid="FXqbSMwMoB" dmcf-ptype="general">연구팀은 수학적 모델링을 통해 취약점이 발생하는 원리를 규명하고, 토르가 익명성과 이용가능성 사이에서 균형을 유지할 수 있는 가이드라인도 제시해 관심을 끌었다. 이 가이드라인은 토르 개발진에 전달돼 현재 패치 적용이 진행 중이다.</p> <p contents-hash="849b28408f540c53143243f22c9595965793e3a11bb1fba3e2c3f86d5535da3e" dmcf-pid="3ZBKvRrRAq" dmcf-ptype="general">한편 지난 2월 토르 창립자 로저 딩글다인이 KAIST를 방문, 연구팀과 협력 방안을 논의했다. 토르 운영진은 KAIST 연구팀의 선제적 제보에 대한 대가로 지난 6월 800달러 상당의 버그 현상금을 지급했다.</p> <figure class="figure_frm origin_fig" contents-hash="dbec5eeade705738c81010376b22da8797b1fd1fce129b197b376bb673ab390e" dmcf-pid="05b9TemeAz" dmcf-ptype="figure"> <p class="link_figure"><img alt="토르의 버그를 발견한 KAIST 연구진. 왼쪽부터 이진서 전산학부 박사과정(1저자), 김호빈 연구원(2저자, 현재 미국 CMU 박사과정 재학), 강민석 전산학부 부교수." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/12/ZDNetKorea/20250912112051865nnlh.jpg" data-org-width="640" dmcf-mid="QlH5cBiBgx" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/12/ZDNetKorea/20250912112051865nnlh.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 토르의 버그를 발견한 KAIST 연구진. 왼쪽부터 이진서 전산학부 박사과정(1저자), 김호빈 연구원(2저자, 현재 미국 CMU 박사과정 재학), 강민석 전산학부 부교수. </figcaption> </figure> <p contents-hash="7070c4ac9aa13be740dc49bd73dd5667da9106eeec38d2998e5347ba061e9130" dmcf-pid="pG7qhQEQg7" dmcf-ptype="general">강민석 교수는 “토르 익명성 시스템 보안은 세계적으로 활발히 연구되고 있지만, 국내에서는 이번이 최초의 보안 취약점 연구 사례"라며, “이번에 확인된 취약점은 위험도가 매우 높아 학회 현장에서 토르 보안 연구자들의 큰 주목을 받았다"고 언급했다.</p> <p contents-hash="c4838fb461d36fe72c6231ecb9295b07cc637707d07ac6792a203bb03ef31293" dmcf-pid="UHzBlxDxku" dmcf-ptype="general">강 교수는 "토르 시스템의 익명성 강화뿐 아니라 토르 기술을 활용한 범죄 수사 분야까지 아우르는 종합적 연구를 이어갈 것"이라고 덧붙였다.</p> <p contents-hash="1a8d60a58542b7a3f6fc5ce7dee4f12a108bf27beed0682f731e4c84b114c41f" dmcf-pid="uXqbSMwMgU" dmcf-ptype="general">이번 연구는 이진서 박사과정(제1저자), 김호빈 연구원(제2저자, KAIST 정보보호대학원 석사 졸업· 현 미국 카네기멜런대 박사과정)가 진행했다.</p> <figure class="figure_frm origin_fig" contents-hash="97cd00aff86f4998e741f8a04723d4b1051f6baddeddca23d4d8ef55efc753d0" dmcf-pid="7ZBKvRrRcp" dmcf-ptype="figure"> <p class="link_figure"><img alt="KAIST 이진서 전산학부 박사과정생이 유즈닉스 보안 학술대회에서 토르의 취약점을 공개했다." class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202509/12/ZDNetKorea/20250912112053107ftze.jpg" data-org-width="640" dmcf-mid="xUt3w2g2kQ" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202509/12/ZDNetKorea/20250912112053107ftze.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> KAIST 이진서 전산학부 박사과정생이 유즈닉스 보안 학술대회에서 토르의 취약점을 공개했다. </figcaption> </figure> <p contents-hash="93dbab5bb9ddc6a21f9cf2718f5a101f58f24905fea162678f2c4c6de0887824" dmcf-pid="z5b9TemeA0" dmcf-ptype="general">박희범 기자(hbpark@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 킥플립, 첫사랑 위기 예감? "이 고백은..." 새 앨범 콘셉트 기대감 고조 09-12 다음 '단체전 동메달' 한국 여자 양궁 대표팀, 전원 개인전 8강행 09-12 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
