[IT조선 유진상 기자] 뒷골목은 음침하다. 그래서 각종 범죄에 노출돼 있다. 그런 뒷골목이 인터넷 상에도 존재한다. 바로 ‘딥웹'(Deep Web) 또는 '토르 네트워크’로 불리는 공간이다. 이곳은 누구나가 접속을 할 수는 있지만 쉽게 접근하기엔 어렵다.
이 곳에 접근하기 위해선 IP 우회용 웹브라우저 ‘토르'(TOR, The Onion Router)가 필요하다. 토르 네트워크에서는 익명성이 보장된다. 따라서 이를 악용한 범죄가 잇따라 발견되고 있으며 최근에는 대규모 사이버 공격이나 악성코드 유포 경로로 활용되고 있어 주의가 요구된다.
▲ 빙산에 비유한 딥웹(사진=구글검색)
인터넷은 두 공간이 존재한다. 구글과 네이버 등의 검색엔진으로 접근할 수 있는 곳, 바로 전형적인 인터넷 공간이다. 이곳에서 유저는 방문하는 곳마다 흔적이 남게 된다. 때문에 문제가 될만한 내용은 신고되고, 신원이 조사돼 공개되기도 한다.
또 다른 공간은 딥웹(토르 네트워크)이다. 일반 검색엔진으로는 검색이 되지 않는다. 토르는 온라인 상에서 트래픽 분석이나 IP 주소 추적을 불가능하게 해 익명성을 보장하는 네트워크이기 때문에 초창기에는 내전 중이거나 인터넷에 대한 규제가 엄격한 국가의 사용자들이 제약 및 감시없이 네트워크를 사용하기 위해 활용돼 왔다. 하지만 최근에는 각종 범죄에 이용되고 있다.
수천개 중계 서버 이용, 추적과 분석 어려워
토르 네트워크는 수백, 수천 개의 어니언 라우터(토르 네트워크를 구성하는 노드, 중계 서버)로 구성되어 있으며, P2P(Peer-to-peer) 프로그램처럼 사용자가 많아 질수록 속도도 빨라진다. 트래픽은 목적지까지 바로 전달되지 않고 매번 토르 내 임의의 중계 서버를 통해 전송된다.
각각의 중계 서버는 패킷이 어디서 출발했는지, 최종 목적지는 어디인지 알 수 없으며 다만 다음 중계 서버의 주소를 알 뿐이다. 패킷은 여러 겹으로 암호화 되어 전송되고 중계 서버를 통과할 때 마다 한꺼풀씩 복호화되어 그 다음 중계 서버로 이동하게 된다.
패킷의 이동경로에 관한 정보는 주기적으로 삭제된다. 이와 같은 방식이 그 어느 노드를 통해서도 쉽게 전체 통신을 추적하거나 분석할 수 없도록 한다.
▲ 토르 네트워크 구조(그림=한국인터넷진흥원).
이처럼 우회통로가 많기 때문에 토르 네트워크는 인터넷 접속이 느리다. 마치 전화선을 이용해 인터넷 통신을 했던 1990년대 후반과 같은 모습이다.
토르 브라우저에서 가장 먼저 눈에 띄는 것은 인터넷 접속이 느리다는 점이다. 마치 브라우저 화면에 'Waiting for reply'가 오랫동안 뜨던 1990년대 중반으로 되돌아간 듯하다.
검색은 '히든위키'(HiddenWiki)를 이용한다. 내용은 다소 충격적이다. 마약거래와 돈세탁을 비롯해 각종 암거래, 성인 음란물 등이 판을 친다. 결제 수단은 디지털 화폐 ‘비트코인(Bitcoin)’이다.
대규모 사이버 공격, 악성코드 유포 경로로 활용
이렇게 불법행위에 이용되던 토르 네트워크가 최근 들어 대규모 사이버 공격이나 악성코드 유포 경로로 활용되고 있다.
인포섹 인스티튜트(InfoSec Institute)에서 진행한 토르와 딥웹 관련연구인 프로젝트 아티미스(Project Artemis)에 따르면 토르 URL의 용도에 있어 가장 많은 비중을 차지하고 있는 것이 해킹과 사이버 범죄였다.
이는 토르가 제공하는 익명성 때문이다. 토르 네트워크 상의 시스템들은 독특한 도메인 주소 체계를 사용하기 때문에 추적을 하려해도 중계 서버까지 밖에는 접근을 못한다. 여기에 토르 네트워크가 자체적으로 제공하는 암.복호화 기능은 덤으로 보안성까지도 보장하기 때문에 악성코드가 토르 네트워크를 이용하게 되면 추적이 불가능하게 된다.
일각에서는 토르 네트워크가 제한적으로 추적이 가능하고 속도가 느려 대량의 정보를 탈취하기는 어렵다고 강조하며 토르 네트워크와 악성코드의 공생관계가 오래 가지 않을 것이라고 주장하기도 한다.
미국NSA(국가안보국)가 토르 네트워크를 추적해 사람들의 인터넷 사용을 감시해왔다는 사실이 2013년 말 더 가디언(The Guardian)에 의해 보도된 바 있다. 그러나 NSA의 토르 네트워크 추적은 수작업을 통한 극소수의 사람에게만 가능했으며 익명성을 근본적으로 무력화하는 데는 실패한 것으로 확인됐다.
토르 네트워크의 속도 문제 또한 악성코드가 토르 네트워크를 사용하는데 큰 영향을 끼치지 않는다는 것이 관련 업계의 시각이다.
6.25 청와대 디도스 테러 등 다양한 악성코드 사례 나와
2013년 6월 25일, 청와대 홈페이지 화면이 변조된 사건이 발생한 바 있다. 당시 악성코드는 웹 하드 업체의 설치 파일인 것처럼 위장해 유포됐다. 해당 악성코드는 결국 토르 네트워크를 이용하기 위한 도구를 다시금 다운로드 했으며 마치 정상 프로세스인 것처럼 위장했다.
또 매크로(macro) 악성코드들도 발견되고 있다. 워드나 엑셀, 파워포인트 같은 MS의 오피스 프로그램에는 반복되는 작업이나 자주 사용하는 작업을 명령어로 묶어 한 번의 입력으로 원하는 명령군을 실행할 수 있는 매크로 기능이 있다. 여기에 악성코드를 심어 유포되도록 한 사례가 발견되고 있으며, POS단말을 타깃으로한 추바카(ChewBacca) 악성코드와 안드로이드 악성 앱이 등장하고 있어 주의를 요한다.
이에 전문가들은 토르 네트워크를 사용하지 않는다고 해도 감염될 우려가 높다고 지적하며 사용하는 프로그램이나 운영체제의 최신 보안 패치 유지, 백신 프로그램 사용의 생활화, 아는 사람으로부터 받은 파일이라도 백신 검사 후 열기 등 주의가 필요하다고 조언한다. 특히 최신 보안 패치를 유지하는 한편, 감염을 예방하고 백신 프로그램으로 관련 악성코드를 모두 삭제 조치하는 것이 가장 현실적인 방안이다.
자료제공= 한국인터넷진흥원(KISA)