- 유즈닉스 대회 우수논문상…토르 개발진과 협력 패치 적용 中
KAIST 연구진이 익명 인터넷 네트워크 ‘토르(Tor)’의 핵심 취약점을 규명해, 단돈 2달러로도 웹사이트를 마비시킬 수 있다는 사실을 입증했다. 이번 성과는 세계 최고 권위의 정보보안 학회 ‘유즈닉스 보안 학술대회(USENIX Security 2025)’에서 우수논문상(Honorable Mention Award)에 선정됐다. 전체 논문 중 약 6%만 받을 수 있는 권위 있는 상이다.
강민석 KAIST 전산학부 교수 연구팀은 토르의 혼잡도(congestion) 인식 메커니즘이 안전하지 않음을 밝혀냈다. 기존에는 공격자가 대규모 자원을 투입해야 서비스 거부(DoS) 공격이 가능했지만, 연구팀은 실제 네트워크 실험을 통해 단 2달러 수준의 비용으로 웹사이트를 마비시킬 수 있음을 보여주었다. 기존 공격 대비 비용이 0.2%에 불과할 정도로 효율적이다. 더구나, 토르에 이미 구현된 일부 보안 기법이 오히려 공격을 악화시킬 수 있음도 확인됐다.
연구팀은 수학적 모델링으로 취약점 발생 원리를 규명했으며, 토르 개발진과 협력해 패치 적용을 추진 중이다. 앞서 지난 2월에는 토르 창립자 로저 딩글다인이 KAIST를 방문해 협력 방안을 논의했다. 연구팀은 선제적으로 발견 사실을 제보했고, 이에 토르 운영진은 800달러 상당의 버그 바운티를 지급했다.
강민석 교수는 “토르의 익명성 보안 연구가 국제적으로는 활발하지만, 국내에서는 이번이 첫 성과”라며 “취약점의 위험도가 매우 높아 학회 현장에서 토르 보안 연구자들로부터 큰 주목을 받았다”고 말했다.
김지윤 기자/ hello@sciencewave.kr
Science Wave에서 더 알아보기
구독을 신청하면 최신 게시물을 이메일로 받아볼 수 있습니다.