악성코드가 토르 네트워크 이용하게 되면 추적 불가능 사용 프로그램 및 운영체제 최신 보안 패치 및 백신 검사필수
[보안뉴스= 나경수 전자·정보인협회 회장] 최근에 와서 사이버범죄가 계속 늘어나고 있다. 악성코드가 활개를 치면서 개인이 전용하는 소형 컴퓨터 즉 퍼스널컴퓨터(PC: Personal Computer)나 모바일 기기에 침투해서 중요한 자료 혹은 돈을 빼가는 사고가 잦아지고 있다. 특히 스미싱과 같은 소액결제 유도 사기를 일으키는 악성코드의 경우도 올해 들어와서 계속 발견되고 있다.

보안을 아무리 철저히 강화해도 뒤이어 새로운 형태와 수법으로 만들어지고 있는 악성코드를 완벽히 차단한다는 것은 점점 어려워지고 있다. 악성코드를 누가 어디서 유포하고 있는지 도저히 알아낼 수 없을 뿐만 아니라 왜, 무슨 목적으로 유포하는지도 알 길이 없다. 유포의 출처를 알 수 없는 익명의 지하 네트워크 공간 ‘토르(Tor)’에서는 더욱 오리무중이다.

토르(Tor)는 ‘디 어니언 라우팅(The Onion Routing)’의 약자로 온라인시스템(Online System)에서 트래픽 분석이나 IP 주소추적을 불가능하게 만들어 결국에는 익명성을 보장하는 네트워크를 지칭한다. 초창기에는 내전 중이거나 인터넷에 대한 규제가 엄격한 국가의 사용자들이 제약 혹은 감시를 받지 않고 네트워크를 자유자재로 사용하기 위해서 활용됐다.

토르 네트워크(Tor Network)는 많은 개수(個數)의 어니언 라우터(Onion Router)라고 하는 중계서버로 구성되어 있고 P2P(Peer to Peer) 프로그램처럼 사용자가 많아질수록 속도가 빨라진다.

라우터(router)란 네트워크층의 중계 기능을 써서 복수의 통신망을 상호 접속하는 장치를 말한다. 트래픽(traffic)은 전화 등에서 송수신되는 통화 또는 그 양으로 통신량(通信量)으로 변역된다.

트래픽은 목적지까지 바로 전달되지 않고 매번 토르 내의 임의의 중계서버를 통해 전송된다. 각 중계 서버는 패킷이 어디서 출발했는지를 알 수 없으며, 최종목적지가 어디인지도 알 수 없다. 오직 다음 중계 서버의 주소만을 알 수 있을 뿐이다.

패킷(packet)이란 한번에 전송하는 정보조작의 단위/양이다. 즉 특정형식으로 배열되어 전송의 처리과정에 의해 결정되는 하나의 정리로서 전송(傳送)되는 데이터 및 제어 비트열이다.

컴퓨터 네트워크 내에서는 장문의 메시지는 교통체증을 야기할 염려가 있으므로 메시지를 1,000~2,000비트 정도로 구분해 각각의 수신 부호를 붙여서 송출한다. 이것을 패킷으로 받아낸 컴퓨터는 재조립해 사용한다.

시발점도 도착지도 어디인지도 알 수 없는 네트워크 환경은 악성코드를 유포하기에는 최적의 채널이 될 수 있다. 토르 네트워크를 사용하는 시스템들을 16자리 영 숫자를 이용한 독특한 도메인 주소 체계를 사용한다.

그런데 이 도메인 정보로 추적할 수 있는 마지노선은 공격자 서버에 한참 못 미치는 중계서버 중 하나이다. 그래서 악성코드가 토르 네트워크를 이용하게 되면 추적이 전혀 불가능하고 또 접속이 차단된다.

여기에 자체적으로 제공하는 암호화와 복부호화(複符號化) 기능은 악성코드 유포자에게 보안성도 보장하게 된다. 감염된 시스템과 원격지의 공격자 서버 사이에서 암·복호화 기능이 자연스럽게 보안장치 역할을 하게 되기 때문이다. 토르 네트워크를 선택하는 것만으로도 이러한 장점을 얻을 수 있으니 악성코드 제작자 입장에서 볼 때는 상당히 흥미가 당기는 것이다.

토르 네트워크도 제한적이지만 추적이 어느 정도 가능하고 속도가 느려 대량의 정보를 탈취하기 어렵다. 따라서 악성코드의 공생관계가 그리 오래가지는 않을 것으로 추정된다. 실로 토르 네트워크의 속도문제 또한 악성코드가 이 네트워크를 사용하는데 큰 영향을 끼치지 않을 지금으로서는 조심스럽게 추정된다.

토르 네트워크를 악의적인 방법으로 사용하는 가장 유용한 방법으로 명령제어 서버와 통신을 하면서 설정 정보를 업데이트하거나 추가로 악성코드 모듈을 내려 받아 공격자의 익명성을 유지하는 것으로 알려져 있다. 여하튼 이미 토르 네트워크가 악성코드의 온상이 되어왔다는 것은 분명한 사실이다. 뿐만 아니라 최근에는 판매시점관리 곧 포스(POS: Point of Sale) 시스템을 겨냥한 해킹이나 악성코드가 빠르게 퍼지고 있는데, 이 역시 토르 네트워크를 십분 이용한 것으로 알려져 있다.

토르 네트워크를 이용하는 악성코드의 경우 PC나 모바일 모두가 이 네트워크를 이용하기 위한 도구가 모듈을 포함하고 있다. 때문에 단순히 토르 네트워크를 사용하지 않는다고 해서 악성코드에 감염되지 않는다고 할 수는 없다.

이러한 네트워크를 사용하는 악성코드의 경우도 다른 악성코드와 마찬가지로 사용하는 프로그램이나 운영체제의 최신 보안 패치(patch)를 필히 유지해야 한다. 또한 백신 프로그램의 사용을 생활화하고, 지인으로부터 받은 파일이라고 100% 믿지 말고 백신 검사를 하고 난 후 열기를 하는 등 세심한 주의가 필요하다.


 ▲ 전자정보인협회 나경수 회장
토르 네트워크를 이용하는 명령제어 서버나 악성코드 경유지나 유포지에 대한 차단이나 이에 대항한 어떠한 조치도 지금으로서는 불가능한 것이 현실이다. 무엇보다 정확한 서버의 위치를 알 수 없는 것이 그 주요 이유이다. 그래서 모니터링을 통해 봇넷(BOT-net)의 생성단계에서부터 차단하는 방법이 대안으로 제기되기도 한다.

봇(BOT: Beginning of Tape)이란 ‘데이터의 시단(始端)’으로 번역되는데, 자기 테이프의 시단, 시점을 말한다. 즉 자기 테이프에 데이터를 기록하거나 판독하는 경우, 그 시작점을 테이프의 물리적 말단에서 얼마 떨어진 곳으로 한다. 이를 위해 마커(beginning of tape marker)를 그 위치에 붙인다.

그렇지만 이 방법이 이론적으로는 가능한 것처럼 보이나, 실제로 ‘봇넷’을 생성 단계에서부터 모니터링 한다는 것은 그리 쉬운 일이 아니다. 왜냐하면 상당한 시간과 비용이 필요할뿐더러 세심한 주의를 기울여 꼼꼼히 신경을 써야 하는 작업이다.

결국 최신의 보안패치를 유지해서 무엇보다 사전에 미리미리 감염을 예방하는데 최선을 다해야 한다. 또한 백신 프로그램으로 관련된 악성코드를 모두 삭제 조치하는 것이 지금까지 발견된 가장 현실적이고 실질적인 방안이라고 할 수 있다. 
[글_ 나 경 수 전자·정보인협회 회장(rhaks1@hanmail.net)]
 
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>