"2달러로 마비 가능" KAIST 익명 인터넷 '토르' 취약점 찾았다

유즈닉스 대회 우수논문상…토르 개발진과 협력해 패치 적용 中

(대전=연합뉴스) 박주영 기자 = 한국과학기술원(KAIST)은 전산학부 강민석 교수 연구팀이 익명 네트워크 '토르'(Tor)의 보안 취약점을 규명한 연구로 최근 미국 시애틀에서 열린 '유즈닉스 보안 학술대회'(USENIX Security 2025)에서 우수논문상(Honorable Mention Award)을 받았다고 12일 밝혔다.

유즈닉스 보안 학술대회는 정보보안 분야 세계 최고 권위 학회로, 우수논문상은 전체 논문 중 약 6%에만 주어지는 영예다.

연구팀은 전 세계 수백만 명의 사용자가 이용하는 익명 웹사이트인 토르에서 발생할 수 있는 새로운 서비스 거부(DoS) 공격 취약점을 발견했다.

토르의 혼잡도 인식 방식이 안전하지 않음을 밝혀냈으며, 실제 네트워크 실험을 통해 단 2달러만 있으면 웹사이트를 마비시킬 수 있음을 입증했다.

기존 공격 대비 0.2% 수준의 비용이다.

특히 기존에 구현된 DoS 공격에 대한 보안 기법이 오히려 공격을 더욱 악화시킬 수 있음을 확인했다고 연구팀은 설명했다.

연구팀은 수학적 모델링을 통해 해당 취약점이 발생하는 원리를 규명, 패치에 실제로 적용하기 위해 토르 개발진과 협력하고 있다.

앞서 지난 2월 토르 창립자 로저 딩글다인이 KAIST를 방문해 연구팀과 협력 방안을 논의했으며, 토르 운영진은 연구팀의 선제적 제보에 대한 감사의 뜻으로 800달러 상당의 버그 현상금을 지급했다.

강민석 교수는 "토르의 익명성 시스템 보안에 대한 연구는 세계적으로 활발히 진행되고 있지만, 국내에서는 처음"이라며 "이번에 확인된 취약점은 위험도가 매우 높아 학회 현장에서 다수의 토르 보안 연구자들로부터 주목받았다"고 말했다.

jyoung@yna.co.kr