공격자가 암호화폐 관련 사이트에 엑세스하는 사용자에 대한 SSL 스트리핑 공격(SSL Striping Attack)을 수행하기 위해 Tor 네트워크에 악성 서버를 추가하는 사례가 발견되었습니다.

2020년 1월부터 시작된 이 공격은 Tor 네트워크에 서버를 추가한 후, 해당 서버를 Tor Proxy를 통해 익명화된 후 Tor 네트워크가 공용 인터넷으로 다시 들어가는 서버인 “출구 노드(exit node)”로 지정해 구성한 것으로부터 시작됩니다. 공격자는 이 Tor 네트워크에 수천개의 악성 서버를 추가하여 암호화폐 관련 사이트로 향하는 트래픽을 식별하고 SSL 스트리핑 공격을 수행하였습니다. 본 공격은 트래픽이 암호화된 HTTPS 연결을 일반 텍스트로 트래픽이 전송되는 HTTP로 다운그레이드 시켜서 공격하는 MITM(Man-In-The-Middle) 중간자 공격 중 하나입니다.

사실 이번 공격은 2020년 8월, 보안연구원과 Tor 노드 운영자로 알려진 “Nusenu”에 의해 처음 알려졌습니다. 당시 그는 공격자가 3차례에 걸쳐 악의적인 Tor exit 릴레이로 Tor 네트워크에 flood 현상을 일으켜 전체 Tor 네트워크 exit 용량의 약 23%로 정점을 찍은 후 Tor 팀에 의해 공격이 중단된다고 말했습니다.

[그림 1] 2020–06–21과 2020–11–01 사이에 Tor팀에 의해 분리된 악성 exit 노드 비율 (출처: Nusenu)

그러나 2021년 5월 9일, Nusenu는 이러한 공격 유형이 노출되었음에도 불구하고 공격자들이 공격을 현재도 계속 진행중이라고 합니다. Nusenu는 이러한 공격이 2021년 초 두차례에 걸쳐 Tor 네트워크 전체 exit node 용량의 4분의 1에 달했으며, 2021년 2월에는 27%에 도달했다고 말했습니다.

두번째 공격은 첫번째 공격과 마찬가지로 모두 탐지되었으며 Tor exit node가 Tor 네트워크에서 제거되었지만, 공격 인프라가 활성되기 이전에는 제거되지 않았었습니다. 이와 같은 공격이 1년 이상 행해질 수 있었던 주된 이유는 공격자가 악성 exit 릴레이를 조금씩 추가하며 천천히 공격 인프라를 형성해왔기 때문입니다.

[그림 2] 2020-08-20에 보고된 악성 Tor exit 노드가 2021년 4월에 다시 발견된 사진 (출처: Nusenu)

가장 최근에는 Tor 네트워크의 exit 제한을 일일 1,500개 이상의 exit 릴레이에서 2,500개 이상으로 늘린 후 하루도 채 지나지 않아 공격이 발견되었습니다.

Nusenu는 지금까지 1,000대 이상의 서버를 중단했음에도 불구하고 2021년 5월 5일까지 공격자가 전체 Tor 네트워크 exit 용량의 4~6%를 제어하고 있으며 SSL 스트리핑 공격은 여전히 진행중이라고 말했습니다.

2020년 8월, Tor 프로젝트는 웹사이트 운영 및 Tor 브라우저 사용자가 이러한 공격으로부터 보안성을 향상시킬 수 있는 방법에 대한 일련의 권장사항을 발표하였습니다.(링크: https://blog.torproject.org/bad-exit-relays-may-june-2020) Tor 브라우저를 사용하여 암호화폐 관련 및 기타 금융 관련 사이트에 엑세스하는 사용자는 위 권장사항을 준수하는 것이 좋습니다.

참고문서: https://therecord.media/thousands-of-tor-exit-nodes-attacked-cryptocurrency-users-over-the-past-year/

보안관제센터 Team MIR