강민석 KAIST 교수 연구팀이 국제 보안 학술대회에서 '우수 논문상'을 거머쥐었다. 강 교수 연구팀은 세계 최대 익명 네트워크 '토르(Tor)'의 보안 취약점을 규명해 해결책을 제시함으로써 글로벌 보안 연구 분야에 새로운 이정표를 세웠다는 평가를 받는다.
KAIST는 전산학부 강 교수 연구팀이 최근 미국 시애틀에서 열린 '유즈닉스 보안 학술대회(USENIX Security 2025)'에 참가해 우수 논문상을 받았다고 12일 밝혔다.
유즈닉스 보안 학술대회는 정보보안 분야에서 세계 최고 권위를 자랑한다. 우수 논문상은 전체 논문 중 상위 6%에만 주어진다.
연구팀은 이 학술대회에서 '토르'에서 발생 가능한 서비스 거부(DoS) 공격 취약점을 발견하고, 이를 해결할 방법을 제시했다.
'토르'는 익명성 기반의 서비스로 하루 수백만 명의 사용자가 이용하는 대표적인 프라이버시 보호 수단으로 자리매김했다.
하지만 연구팀은 토르의 혼잡도 인식 방식이 안전하지 않음을 밝혀냈고 실제 네트워크 실험을 진행해 불과 '2달러'만으로 웹사이트를 마비시킬 수 있음을 입증했다. 2달러는 기존 공격 대비 0.2% 수준의 비용이다.
특히 연구팀은 서비스 거부(DoS) 공격에 적용된 토르의 보안 기법이 오히려 공격을 강화하는 빌미가 될 수 있다는 것을 최초로 규명해 눈길을 끌었다.
연구팀은 보안의 취약점을 밝혀내는 것에 그치지 않고 수학적 모델링으로 취약점이 발생하는 원리를 규명, 토르가 익명성과 이용가능성 사이에서 균형을 유지할 수 있는 가이드라인을 제시했다. 이 가이드라인은 토르 개발진에 전달돼 현재 점진적으로 패치가 적용되는 중이다.
앞서 지난 2월 토르 창립자 로저 딩글다인(Roger Dingledine)은 KAIST를 방문해 연구팀과 협력 논의를 진행했다. 이어 토르 운영진은 연구팀의 선제적 제보에 감사의 뜻을 표하며 지난 6월 800달러 상당의 버그 현상금을 지급했다.
강 교수는 "토르 익명성 시스템의 보안은 세계적으로 활발히 연구되고 있지만 국내에서는 이번이 최초의 보안 취약점 연구 사례"라며, "이번에 확인된 취약점은 위험도가 매우 높아 학회가 열린 현장에서 다수의 토르 보안 연구자로부터 주목받았다"고 소개했다.
그러면서 "연구팀은 앞으로 토르 시스템의 익명성 강화 뿐 아니라 토르 기술을 활용한 범죄 수사 분야까지 아우르는 종합적 연구를 이어가겠다"고 덧붙였다.
한편 이번 연구는 이진서 박사과정이 제1 저자, 김호빈 연구원(KAIST 정보보호대학원 석사 졸업·현 미국 카네기멜런대 박사과정)이 제2 저자로 참여해 수행했다.
강 교수 연구팀은 이번 연구 성과를 인정받아 올해 과학기술정보통신부 기초연구사업(글로벌 기초연구실)에 선정되기도 했다. 이 사업을 토대로 연구팀은 이화여자대, 성신여자대와 국내 연구 협력체계를 구축하고 미국·영국 연구자들과 국제 연구 협력을 확대해 향후 3년간 토르 취약점 및 익명성 관련 심화 연구를 진행할 계획이다.
대전=정일웅 기자 jiw3061@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>