한국과학기술원(KAIST)이 익명 통신망 ‘토르(Tor)’의 보안 허점을 규명한 연구로 세계적인 정보보안 학술대회에서 주목을 받았다. 이 연구는 토르 네트워크의 구조적 취약점을 실험적으로 입증하고, 보안 시스템 개선 필요성을 제기하며 학계의 큰 반향을 일으켰다.
12일 KAIST는 전산학부 강민석 교수 연구팀이 토르에서 발생할 수 있는 새로운 유형의 ‘서비스 거부(DoS)’ 공격 취약점을 발견해, 미국 시애틀에서 열린 ‘유즈닉스 보안 학술대회(USENIX Security 2025)’에서 우수논문상을 받았다고 밝혔다. 유즈닉스 보안 학술대회는 정보보안 분야에서 최고 권위로 꼽히며, 우수논문상은 전체 채택 논문 중 상위 약 6% 이내의 논문에만 수여된다.
토르는 인터넷 사용자들이 실제 신원을 숨기고 다양한 정보를 교류할 수 있도록 설계된 글로벌 익명 통신 시스템이다. 정치적 감시가 엄격한 국가에서는 언론인, 인권운동가 등이 이를 통해 외부와 소통하기도 한다. 하지만 이번 연구는 이처럼 민감한 용도로 활용되는 시스템조차 상대적으로 적은 비용과 간단한 공격 방식으로 마비시킬 수 있다는 점을 밝혀 우려를 키우고 있다.
연구팀은 토르 네트워크가 혼잡 상황을 감지하는 방식이 근본적으로 불완전하다는 점에 주목했다. 이 취약점을 이용하면 단 2달러라는 저렴한 비용, 기존 공격에 비해 약 0.2% 수준의 자원만으로도 네트워크에서 특정 웹사이트를 쉽게 마비시킬 수 있다는 것이 실험을 통해 입증됐다. 이뿐 아니라, 기존에 구축된 보안 대응 체계가 되레 공격 효과를 더욱 악화시킬 수 있음도 확인됐다.
이번 연구는 단순한 결함 지적에 그치지 않고, 수학적 모델링을 통해 문제의 원리를 규명하고 실제 개발 단계에서 적용 가능한 수준의 해결책까지 제시한 점에서 의미가 크다. KAIST 연구팀은 현재 토르 개발진과 협력해 이를 패치에 반영하는 작업을 진행 중이다. 지난 2월에는 토르 창립자 로저 딩글다인이 한국을 방문해 연구팀과 협력 방안을 논의했으며, 연구의 중요성과 선제적 제보에 대한 보답으로 약 800달러 상당의 버그 현상금도 지급됐다.
국내에서는 처음으로 수행된 이번 연구는 세계적으로도 높은 수준의 보안 취약점 탐지 성과로 평가받고 있다. 강민석 교수는 이번 사례를 계기로 한국 내 정보보안 연구의 저변 확대와 국제적 협력 강화 가능성을 기대했다.
이 같은 흐름은 사이버보안 전반에 대한 기술적 대응의 중요성을 다시금 일깨우며, 앞으로도 익명성을 유지하면서도 안전성을 확보할 수 있는 네트워크 기술 개발에 박차를 가하는 계기가 될 것으로 보인다.
<저작권자 ⓒ TokenPost, 무단전재 및 재배포 금지>