익명성이 보장되는 것으로 알려진 '토르 네트워크'에서도 사용자를 추적할 수 있는 악성코드가 발견됐다.
시만텍은 파이어폭스 웹브라우저의 취약점을 악용해 사용자가 누구인지 알지 못하게 하는 온라인 상 비밀통신서비스인 토르 네트워크에서도 이를 추적하는 방법이 확인됐다고 12일 밝혔다.
아직 국내에는 잘 알려지지 않은 토르는 지난 6.25 사이버테러 당시 분산서비스거부(DDoS) 공격을 위한 봇넷, C&C서버의 통신수단으로 활용됐으며, 최근 을지훈련을 앞둔 시점에서도 동일 조직이 악성코드를 유포하는 수단으로 활용되고 있는 것으로 나타났다.
이 회사는 익명의 호스팅 서비스를 제공하는 토르의 '프리덤 호스팅' 사이트 사용자들을 식별할 수 있는 악성코드를 발견했다고 설명했다. 이는 파이어폭스의 취약점을 악용해 익명성이 보장된 토르 이용자들의 신원을 확인할 수 있는 악성코드가 유포되면서 누가 네트워크를 사용하고 있는지 추적할 수 있다.
이 악성코드는 미국 사법부가 세계 최대의 아동 포르노 판매업자에 대한 범죄인 인도를 모색한다는 언론 보도 후 발견됐다. FBI는 최근 토르 네트워크에 기반한 프리덤 호스팅 서비스의 창시자인 에릭 오웬 막스를 '지상 최대 아동 포르노 유통' 혐의로 체포한 바 있다.
시만텍에 따르면 새로 발견된 'Trojan.Malscript!html' 악성코드는 최근 결함을 수정한 파이어폭스22와 파이어폭스 ESR 17.0.7의 취약점을 이용한 것으로 나타났다. 또한 번들로 제공되는 토르 브라우저는 파이어폭스 ESR-17를 이용하고 있어 공격 툴로 적극 활용된 것으로 보인다.
이 악성코드는 공격에 성공하면 감염된 컴퓨터의 네트워크 카드 고유의 맥 어드레스와 로컬 호스트 이름을 알아내 IP 65.222.202.54로 전송한다.
단계별 공격 수법은 ▲감염된 서버에서 호스팅되는 웹사이트에 아이프레임(iframe)을 생성하는 악성 자바스크립트 추가 ▲자바스크립트를 통해 감염된 컴퓨터에 고유 식별ID가 포함된 쿠키 저장 ▲아이프레임이 공격자의 서버로부터 HTML 파일 요청 ▲HTML 파일이 취약점을 악용해 악성 활동 실행 ▲감염된 컴퓨터의 이름과 맥어드레스를 공격자 서버로 전송 순으로 이뤄진다.
윤광택 시만텍코리아 이사는 토르 네트워크는 수차례 암호화를 거쳐 구성된 익명 네트워크로 마약판매에서 인원운동까지 폭넓은 용도로 사용되고 있다며 익명성이 보장된다는 점 때문에 해커 등 사이버 범죄자들이 신분을 속이는 도구로 활용할 수 있는 만큼 사용 및 접속시 각별한 주의가 요구된다고 말했다.
토르 네트워크는 온라인 익명성을 보장하는 무료 소프트웨어다. 이는 인터넷 트래픽을 3천개 이상의 중계서버로 구성해 전 세계 무료 네트워크를 거치게 해 네트워크의 감시나 트래픽 분석 및 사용자 위치 추적을 어렵게 만든다.
관련기사
- 을지훈련D-7, 6.25 사이버테러조직 활동 재개2013.08.12
- 사이버 공격 배후 밝히는 7가지 단서는...2013.08.12
- 시만텍, 가짜 모바일 백신 주의보2013.08.12
- 시만텍 "6.25 사이버 테러 배후 다크서울"2013.08.12
각 중계 서버는 암호화한 계층을 해독해 서킷에 포함된 다음 중계 서버만을 알아낸다. 이렇게 해서 남아있는 암호화 된 데이터를 그 다음 서버로 전송하게 되면 발신자가 누구인지 밝히지 않고 심지어 발신자도 모른 채 원데이터를 목적지에 전송할 수 있다. 이를 통해 개인 프라이버시 보호와 기밀 업무를 자유롭게 수행할 수 있도록 해준다.
이 같은 장점은 그동안 아동포르노 등 음란물 유통, 마약거래, 해킹 등에 악용돼 왔다. 토르를 사용하면 웹사이트, 온라인 포스트, 인스턴트 메시지, 기타 커뮤니케이션 사이트 방문 등 사용자의 인터넷 활동 추적이 어렵고 인터넷 활동에 대해 감시를 받지 않기 때문이다.
