프라이버시를 위해 개발된 서버, 이젠 범죄의 온상으로 변해
생산업체라면 토르 서버로부터 오가는 트래픽 일절 차단해야

[보안뉴스 문가용] IBM이 운영하는 엑스포스(X-Force)라는 연구팀은 최근 SQL 인젝션 및 디도스 공격이 꾸준히 증가하고 있는 가운데 토르(Tor) 서비스를 통한 취약점 파악 시도 역시 계속해서 늘어만 가고 있다는 사실을 발표했다.
 


익명 네트워크라고 알려진 토르는 사용자들이 자신의 신분이나 위치를 감추도록 해주며, 그런 특성 때문에 올해 미국에서만 15만 건의 악성 및 범죄 행위의 온상이 되기도 했다. 토르를 통한 공격들 대부분은 IT 및 통신 기술 기업들을 표적으로 삼았으며, 그 다음으로는 생산시설, 금융기관, 교육부문, 도소매업장이 뒤를 이었다.

IBM과 같은 IT 및 통신 기술 기업들이 가장 빈번한 표적이 되는 이유는 일단 IT 환경을 잘 갖추고 있으며, 그 크기마저 방대하기 때문이다. 반대의 경우를 생각해보면 이해하기가 쉽다. “사이버 공격으로 전등불도 잘 들어오지 않는 오지의 농가를 공격하는 건 불가능에 가깝거나 아무런 효력을 발휘하지 못하며, 네트워크 규모가 작아서 취약점이 없을 수밖에 없는 곳은 공격의 효율이 떨어지죠.” 엑스포스의 수석 연구원인 존 컨(John Kuhn)의 설명이다.

하지만 생산 기반시설이 공격당하는 이유는 사뭇 다르다. “생산시설을 노리는 해커들은 보통 특정 정보를 노리는 경우가 많습니다. 흔히 말하는 산업 스파이의 소행인 때가 대부분이라는 것이죠. 대단한 위험성을 내포하고 있습니다.”

그렇기에 생산시설을 갖추고 있거나 생산업이 주 수입원인 기업들은 토르의 접근 자체를 전면차단하는 것이 좋다고 IBM은 권한다. “저는 아는 분들에게 토르와는 그 어떤 트래픽도 주고받지 말라고 권합니다. 토르의 초창기는 이렇지 않았어요. 프라이버시를 지키기 위한 중요하고 기념할만한 발명이며 움직임이었죠. 하지만 지금은 그렇지 않습니다. 타락했다는 걸 인정하고 받아들여야 해요.” IBM이 조사하고 찾아낸 결과에 따르면 토르 트래픽은 대부분 어느 지점에서 봇넷과 연결되어 있다.

토르를 통한 공격 형태 중 가장 빈번히 나타나는 건 SQL 인젝션인 것으로 나타났다. 이는 포인트앤클릭(point-and-click) 방식만으로 SQL 인젝션 공격을 가능하게 해주는 하비(Havij)와 같은 툴의 배포와도 관련이 있다. “인기리에 사용되고 있는 해킹 툴의 일종입니다. 사실 해킹 툴이 아니라 침투실험용으로 만들어진 건데요, 해커들이 더 잘 사용하게 된 것이죠. 마치 토르처럼요.” 이런 툴이 활성화되니 심지어 표적공격이 아닌, 불특정다수를 겨냥한 SQL 인젝션 공격도 많아졌다고 한다.

“게다가 공격에 사용되는 토르의 출구 노드(exit node)가 굉장히 다양해서 당하는 기업 입장에서 한 해커나 해커 그룹을 완벽히 차단하는 것도 어렵습니다. 출구 노드 하나를 차단하면 다른 출구 노드로 공격하면 그만이니까요. 공격 한 번에 보통 100개에서 150개의 출구 노드를 사용합니다.” IBM의 조사에 따르면 출구 노드가 가장 많이 발견된 건 네덜란드와 미국이다. “출구 노드의 수는 통신망 및 인터넷 속도와 관련이 있습니다. 네덜란드와 미국의 망 속도가 높다는 뜻이죠.”

기업들이 기업의 프라이버시를 위해 토르 서버를 사용하기도 하는데 이는 굉장히 위험한 행동이라고 IBM은 설명한다. “기업 차원에서 웹 사이트를 차단하는 곳이 많죠? www.torproject.org와 같이 프라이버시를 넘어 익명성을 지나치게 강조한 사이트와 서비스도 차단 목록에 올라가야 합니다. 그리고 이를 어길 시 조치를 취하겠다는 정책도 만들어야겠죠. 현대의 기업 환경이 토르와 친해져봤자 얻는 것보다 잃는 게 더 많습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>