Tor 위 비트토렌트 사용자를 탈식별하는 세 가지 공격

초록

본 논문은 Tor 네트워크를 이용해 비트토렌트를 구동하는 사용자를 대상으로 세 가지 탈식별 공격을 제시한다. 첫 번째는 트래커에 전송되는 announce 메시지와 핸드셰이크에 포함된 공개 IP를 분석하는 방법, 두 번째는 트래커 응답에 공격자가 제어하는 피어를 삽입해 직접 연결을 유도하는 hijack 공격, 세 번째는 BitTorrent DHT가 UDP를 사용하고 Tor이 UDP를 지원하지 않아 공개 인터페이스로 돌아가는 특성을 이용해 DHT 상에 남는 IP 정보를 추출하는 방법이다. 또한 Tor 회선에서 다중 스트림이 하나의 회선에 묶이는 특성을 이용해 비트토렌트 사용자의 웹 브라우징 행태까지 연계할 수 있음을 보여준다. 실험 결과 9,000여 개의 실제 IP를 성공적으로 수집했으며, 이러한 위협은 Tor 사용자를 오인하게 만들 위험이 있음을 강조한다.

상세 분석

이 논문은 Tor가 제공하는 “소스 IP와 페이로드를 동시에 숨긴다”는 보안 모델이 P2P 프로토콜, 특히 BitTorrent과 결합될 때 예상치 못한 정보 누출 경로를 만들 수 있음을 실증한다. 첫 번째 공격은 트래커와의 HTTP 기반 announce 요청에 포함되는 ‘ip’ 파라미터와, 일부 클라이언트가 핸드셰이크 직후 전송하는 ‘extended handshake’ 메시지에 삽입되는 공개 IP를 도청한다. 비록 모든 클라이언트가 정확한 IP를 포함하는 것은 아니지만, 이 정보가 존재한다면 탈식별은 즉시 가능하다. 두 번째 공격은 트래커가 반환하는 피어 리스트를 변조한다는 점에서 중간자 공격(MITM)과 유사하다. 공격자는 자신이 제어하는 피어의 IP와 포트를 리스트에 삽입하고, 사용자가 해당 피어와 직접 TCP 연결을 시도하도록 만든다. 이때 연결은 Tor의 exit 노드를 통해 이루어지므로, exit 노드 운영자는 연결 시점에 사용자의 실제 IP를 관찰할 수 있다. 이 방법은 사용자가 트래커와만 통신하고 피어와는 직접 연결하지 않을 경우에도 유효하다. 세 번째 공격은 BitTorrent DHT가 UDP 기반임을 이용한다. Tor는 UDP 트래픽을 지원하지 않으므로, 클라이언트가 DHT에 접근하려 할 때 자동으로 공개 인터페이스(즉, NAT 뒤의 실제 IP)로 전환한다. 공격자는 DHT에 존재하는 노드와 포트 정보를 수집하고, 이를 토대로 특정 콘텐츠 해시와 포트 번호가 동일한 노드를 찾아내어 해당 사용자의 공개 IP를 역추적한다. 이 과정은 Tor 회선 내부에서 발생하는 것이 아니라 DHT 자체에서 일어나므로, Tor exit 노드만을 감시하는 기존 방어 체계로는 탐지하기 어렵다. 논문은 또한 Tor 회선이 10분 간격으로 여러 스트림을 하나의 회선에 다중화한다는 점을 이용해, 탈식별된 비트토렌트 사용자의 IP와 동일 회선에서 발생한 웹 브라우징 트래픽을 연관 지어 사용자의 전반적인 온라인 행동을 프로파일링한다는 부수 효과를 입증한다. 실험은 23일간 6개의 Tor exit 노드를 운영하면서 수행됐으며, 약 9,000개의 고유 IP를 수집했다. 이 결과는 Tor가 P2P 트래픽을 보호한다는 일반적인 인식에 큰 의문을 제기한다. 논문은 방어 차원에서 트래커와 DHT에서 IP 정보를 노출하지 않도록 클라이언트를 설계하거나, Tor 내에서 UDP를 지원하도록 하는 방안을 제시하지만, 현재 구현된 Tor와 BitTorrent 클라이언트의 구조적 한계 때문에 실질적인 완전 방어는 어려울 것으로 판단한다.