세계 최대 익명 네크워크 '토르'서 버그 발견…"쉽게 웹사이트 마비 가능"

세계 최대 익명 네크워크 '토르'서 웹사이트 전체를 마비시킬 수 있는 버그가 발견됐다. KAIST는 전산학부 강민석 교수 연구팀이 지난 8월 미국 시애틀에서 열린 유즈닉스 보안 학술대회(USENIX Security 2025)에서 '토르'의 보안 취약점을 공개, 우수논문상(Honorable Mention Award)을 수상했다고 12일 밝혔다. 유즈닉스 보안 학술대회는 정보보안 분야 세계적인 학회다. 구글 스칼라 h-5 인덱스 기준 보안·암호학 분야 전체 학술대회 및 저널 중 영향력 1위다. 이번에 강 교수팀이 받은 우수논문상은 전체 논문 400여 편 가운데 약 6%인 25편에만 주어졌다. 특히, 국내에서는 강 교수 연구팀이 유일하게 수상했다. 연구팀은 '토르'에서 발생할 수 있는 새로운 서비스 거부(DoS) 공격에 대한 버그(취약점)를 발견하고, 이를 해결하기 위한 패치를 제시했다. 토르는 익명성을 기반으로 하는 다양한 서비스의 핵심 기술로, 전세계적으로 매일 수백만명의 사용자가 이용하는 대표적인 프라이버시 보호 수단이다. 강민석 교수는 "토르의 혼잡도 인식 방식이 안전하지 않다는 것을 밝혀낸 것"이라며 "실제 네트워크 실험을 통해 단 2달러의 비용으로 웹사이트를 마비시킬 수 있음을 입증했다"고 설명했다. 강 교수는 또 "기존 토르에 구현된 서비스 거부(DoS) 공격에 대한 보안 기법이 오히려 공격을 더욱 악화시킬 수 있음을 최초로 규명했다"고 덧붙였다. 연구팀은 수학적 모델링을 통해 취약점이 발생하는 원리를 규명하고, 토르가 익명성과 이용가능성 사이에서 균형을 유지할 수 있는 가이드라인도 제시해 관심을 끌었다. 이 가이드라인은 토르 개발진에 전달돼 현재 패치 적용이 진행 중이다. 한편 지난 2월 토르 창립자 로저 딩글다인이 KAIST를 방문, 연구팀과 협력 방안을 논의했다. 토르 운영진은 KAIST 연구팀의 선제적 제보에 대한 대가로 지난 6월 800달러 상당의 버그 현상금을 지급했다. 강민석 교수는 “토르 익명성 시스템 보안은 세계적으로 활발히 연구되고 있지만, 국내에서는 이번이 최초의 보안 취약점 연구 사례"라며, “이번에 확인된 취약점은 위험도가 매우 높아 학회 현장에서 토르 보안 연구자들의 큰 주목을 받았다"고 언급했다. 강 교수는 "토르 시스템의 익명성 강화뿐 아니라 토르 기술을 활용한 범죄 수사 분야까지 아우르는 종합적 연구를 이어갈 것"이라고 덧붙였다. 이번 연구는 이진서 박사과정(제1저자), 김호빈 연구원(제2저자, KAIST 정보보호대학원 석사 졸업· 현 미국 카네기멜런대 박사과정)가 진행했다.