Tor에서 서비스 거부 공격의 효과와 탐지

초록

본 논문은 Tor 네트워크에 대한 서비스 거부(DoS) 기반 공격의 성공 가능성을 수학적 모델과 시뮬레이션으로 평가하고, 공격자를 탐지하기 위한 결정론적 알고리즘과 확률적 알고리즘을 제안한다.

상세 분석

논문은 Tor 회선 구성 방식을 그래프 모델로 추상화하고, 공격자가 보유한 Guard·Exit·Guard‑Exit 대역폭 비율(g, e, z)과 회선 파괴 확률(p_kill, p_permit)을 핵심 파라미터로 설정한다. 이 파라미터들을 이용해 회선이 “위험”(compromised)하거나 “통제”(controlled)될 확률을 정확히 계산하고, 클라이언트가 K번 시도 후 포기할 때 공격자가 최종적으로 회선을 장악할 확률을 도출한다. 분석 결과, Guard 리스트가 고정되어 있는 현재 Tor 설계에서는 공격자가 Guard 비율(g)이 작아도 p_kill = 1, p_permit = 1인 경우 회선 재구성 시마다 새로운 기회가 주어져 장악 확률이 급격히 상승한다. 반면, Guard 리스트가 충분히 다양하고 p_kill을 낮게 설정하면 성공 확률이 크게 억제된다.

탐지 측면에서는 “3 n 경로 탐색”이라는 결정론적 방법을 제시한다. 여기서 n은 네트워크 내 릴레이 수이며, 공격자가 회선을 강제로 재구성하면 특정 릴레이가 비정상적으로 높은 회선 파괴 비율을 보이게 된다. 이 현상을 이용해 최소 3 n개의 경로를 샘플링하면 공격자를 확정적으로 식별할 수 있다. 실용성을 위해 저자들은 확률적 탐지 알고리즘을 설계했으며, 이는 무작위로 선택된 O(log n)개의 경로만 조사해 높은 탐지율과 낮은 오탐률을 달성한다. 시뮬레이션 결과, 실제 Tor 트래픽을 재현한 환경에서 제안 알고리즘은 p_kill ≥ 0.6인 경우 95 % 이상의 탐지 성공률을 보였으며, 정상 릴레이에 대한 오탐은 2 % 이하에 머물렀다.

또한 논문은 모델 가정(예: 회선 선택 시 교체 샘플링, 릴레이 실패 원인이 오직 공격에만 기인한다 등)이 실제 Tor 동작과 차이가 있음을 인정하고, 이러한 차이가 탐지 정확도에 미치는 영향을 실험적으로 평가한다. 결과적으로, 실제 네트워크에서 발생하는 자연적 실패와 혼합해도 제안 알고리즘은 실용적인 수준의 탐지 성능을 유지한다는 결론에 도달한다.