왼쪽부터 이진서 전산학부 박사과정(1저자), 김호빈 연구원(2저자, 현재 미국 CMU 박사과정 재학), 강민석 교수

2달러로 마비 가능한 ‘토르’ 취약점 세계 최초 규명
보안 패치까지 이끈 수학적 모델링 기반 해법 제시
국내 최초 토르 보안 취약점 연구…국제 보안 연구 생태계 주목

KAIST 전산학부 강민석 교수 연구팀이 미국 시애틀에서 열린 USENIX Security 2025에서 ‘우수 논문상(Honorable Mention Award)’을 수상했다. 이 학술대회는 정보보안 분야 세계 최고 권위를 가진 국제 보안 학술대회로, 우수 논문상은 전체 논문 중 상위 약 6％에게만 주어진다.

연구팀은 전 세계 수백만 명이 사용하는 익명 네트워크 ‘토르(Tor)’의 서비스 거부(DoS) 공격 취약점을 발견하고, 단 2달러만으로 웹사이트를 마비시킬 수 있는 공격 방식을 실험을 통해 입증했다. 이는 기존 공격 대비 0.2％ 수준의 비용으로, 높은 파급력을 가진다.

특히 기존 보안 기법이 오히려 공격을 강화하는 원인이 될 수 있다는 점을 세계 최초로 규명했다. 연구팀은 이에 그치지 않고 수학적 모델링을 통해 취약점의 발생 원리를 이론적으로 분석하고, 토르의 익명성과 이용가능성 사이 균형을 위한 가이드라인을 제시했다. 이 가이드라인은 실제로 토르 개발진에게 전달돼 점진적으로 패치가 적용 중이다.

토르 창립자인 로저 딩글다인은 지난 2월 KAIST를 직접 찾아 연구팀과 협력 방안을 논의했으며, 연구팀의 선제적 제보에 감사의 뜻으로 800달러 상당의 버그 현상금을 지급한 바 있다.

강 교수는 “토르 보안 연구는 세계적으로 활발히 이뤄지고 있지만 국내에서는 이번이 최초 사례”라며, “토르 기술의 익명성 강화는 물론, 이를 활용한 범죄 수사까지 포함하는 종합적 보안 연구를 이어갈 계획”이라고 밝혔다.

이번 연구는 이진서 박사과정생이 제1 저자, 김호빈 연구원(현 카네기멜런대 박사과정)이 제2 저자로 참여했으며, 이 성과를 바탕으로 올해 과학기술정보통신부 기초연구사업(글로벌 기초연구실)에 선정됐다. 앞으로 3년간 이화여대, 성신여대와의 국내 협력과 미국·영국 연구진과의 국제 공동연구를 통해 토르 보안 및 익명성 심화 연구를 진행할 예정이다.

관련 기사 보기

연합뉴스 https://www.yna.co.kr/view/AKR20250912049400063?input=1195m

보안뉴스 https://m.boannews.com/html//detail.html?idx=139228

지디넷코리아 https://zdnet.co.kr/view/?no=20250912111850