구글, Tor 연결 다수의 익명성을 제거할 수 있는 것으로 밝혀져

구글, Tor 연결 다수의 익명성을 제거할 수 있는 것으로 밝혀져

If It Wanted, Google Could Deanonymize a Large Number of Tor Connections

Tor Relay의 트래픽과 Tor의 exit 노드로부터 발생하는 HTTP, DNS 트래픽을 모니터링해 Tor 트래픽의 익명성을 제거하는데 사용될 수 있는 새로운 공격 메쏘드가 발견되었습니다.

DefecTor이라 불리는 이 공격은, 보안 및 프라이버시 전문가들이 “Tor correlation attack(Tor 상관관계 공격)”이라 부르는 공격의 발전된 버전이라고 볼 수 있습니다.

Tor correlation 공격은 오래전부터 연구되어 왔습니다. 이러한 유형의 공격은 글로벌한 공격자가 다양한 단서를 이용하여 토르 트래픽을 모니터링 할 수 있어, 사용자가 Tor연결을 시작하는 것을 볼 수 있습니다. 또한 다양한 단서들을 이용하여 자신의 인바운드 연결을 아웃바운드 패킷 스트림과 연결시킬 수 있습니다. 따라서 공격자는 사용자가 Tor를 통해 접속하는 사이트를 추측하는 것이 가능합니다.

아웃바운드 Tor DNS 트래픽을 통해 correlation 공격 정확도 높일 수 있어

스위스와 미국의 대학 연구원 팀은 correlation 공격을 이용한 익명성 제거 시도 공격 관련 초기 연구는 Tor 네트워크로 들어오는 트래픽과 exit 노드에서 나가는 HTTP 트래픽에만 초점을 맞춰왔다고 설명습니다.

그들은 초기 연구에서는 DNS 쿼리와 관련된 아웃바운드 트래픽의 두 번째 세트를 완벽하게 무시했다고 밝혔습니다. 또한 이 DNS 쿼리들은 Tor correlation 공격에서 추측해낼 때 매우 유용하다고도 덧붙였습니다. 이 공격은 Tor 브라우저가 Tor 네트워크를 통과하는 HTTP와 DNS 트래픽을 함께 묶어서 암호화한 후, exit 노드 레벨에서 DNS 쿼리를 resolve하고 목적지로 HTTP 트래픽을 보내기 때문에 가능합니다.

연구원들은 “우리는 DefecTor 공격을 실행할 수 있는 공격자가 존재할 수 있다는 것을 발견했다. 예를 들면, 구글의 DNS resolver가 Tor 네트워크를 빠져나가는 모든 DNS 요청의 40% 정도를 관찰하고 있다.”고 밝혔습니다.

지금까지 구글은 Tor 네트워크의 익명성을 제거하거나 고의로 방해하는 등의 행위는 하지 않았지만, 만약 구글이 원한다면 이것이 가능함이 증명된 것입니다.

특히, 이 공격에 관심을 가지는 공격자들이 존재하는 것으로 보이며, 정권에 의해 관리되는 Ass(Autonomous Systems: 자율 시스템)을 운영하는 공격자들에도 해당됩니다. 그들은 DefecTor 공격을 통해 알려진 반정부 인사들의 정보 및 그들의 활동내역들을 알아낼 수 있습니다.

연구원들은 “Tor 네트워크를 향한 DefecTor 공격은 매우 명확하며, 실제로 존재하는 것이 밝혀졌다. Tor 릴레이 운영자들은 exit 릴레이가 DNS 도메인 resolve 방식이 좀 더 다양해질 수 있도록 해야할 것이다.”고 주장했습니다.

DefecTor 공격과 관련된 자세한 기술적 정보는 연구원들의 웹사이트에서 찾아볼 수 있습니다. 또한 그들의 논문인 "The Effect of DNS on Tor’s Anonymity"는 여기에서 다운로드할 수 있으며, 이를통해 DefecTor correlation 공격을 완화시킬 수 있는 권고사항들을 확인할 수 있습니다.

출처 :

http://news.softpedia.com/news/if-it-wanted-google-could-deanonymize-a-large-number-of-tor-connections-508863.shtml

https://nymity.ch/tor-dns/