Reality Check for Tor Website Fingerprinting in the Open World

이 논문은 새로운 프라이버시 보호 방법론과 대규모 실증 데이터를 통해, 실험실 환경이 아닌 실제 오픈 월드 조건에서도 Tor 웹사이트 지문인식 (WF) 공격이 여전히 높은 정확도로 작동하며 네트워크 변동성과 트래픽 분할 (Conflux) 에도 강건함을 입증했습니다.

핵심

1. 배경: 토르 (Tor) 는 어떻게 작동할까요?

토르는 사용자의 인터넷 트래픽을 **세 명의 우편 배달부 (중계 노드)**를 거쳐 목적지로 보냅니다.

1. 첫 번째 배달부 (가드 노드): 사용자의 집 주소 (IP) 는 알지만, 어디로 가는지는 모릅니다.
2. 두 번째 배달부 (미들 노드): 누구의 물건인지도, 어디로 가는지도 모릅니다. 그냥 전달만 합니다.
3. 세 번째 배달부 (엑시트 노드): 어디로 가는지는 알지만, 누가 보냈는지는 모릅니다.

이렇게 층층이 포장된 상자를 보내기 때문에, 누구도 "누가 무엇을 보냈는지"를 한 번에 알 수 없다고 믿어졌습니다.

2. 문제: 상자 속의 '소음'을 통한 추측 (웹사이트 지문)

하지만 연구자들은 "상자 안의 내용물은 비록 암호화되어 있지만, 상자가 움직이는 패턴은 숨길 수 없다"고 지적합니다.

• 예시: 당신이 친구에게 편지를 보낼 때, 편지 봉투를 갈색으로 싸서 보냈다고 해서 우체부가 "누가 보냈는지"를 모른다는 보장은 없습니다. 하지만 편지를 보낼 때의 타이밍, 편지의 무게, 보내는 순서를 보면 "아, 이 사람은 오늘 뉴스 기사를 읽으러 갔구나"라고 추측할 수 있습니다.

이것을 웹사이트 지문 (Website Fingerprinting) 공격이라고 합니다. 암호화된 데이터는 못 보지만, 데이터가 흐르는 '패턴'을 분석해 사용자가 어떤 웹사이트를 방문했는지 맞히는 기술입니다.

3. 이전 연구의 한계: 실험실 vs 현실

이전까지의 연구들은 대부분 실험실에서 이루어졌습니다.

• 실험실 상황: 깨끗한 방에서, 방해받지 않고, 오직 목표 웹사이트만 방문하는 상황을 시뮬레이션했습니다. 여기서 공격 성공률은 매우 높았습니다.
• 현실 상황: 하지만 실제 인터넷은 시끄럽습니다. 여러 탭을 동시에 열고, 배경에서 영상이 재생되고, 네트워크가 불안정합니다. 이전 연구들은 "실험실에서는 잘 되지만, 실제 세상에서는 안 될지도 모른다"는 의문을 남겼습니다.

4. 이 논문의 핵심: "가장 강력한 우편 배달부"의 시선

이 연구는 새로운 접근법을 취했습니다. 바로 **가장 첫 번째 배달부 (가드 노드)**가 되어보는 것입니다.

• 기존 연구: 보통은 사용자의 집 앞 (ISP) 이나 목적지 앞 (엑시트 노드) 에서 데이터를 모았습니다.
• 이 연구의 혁신: 연구팀이 직접 **토르의 첫 번째 관문 (가드 노드)**을 운영했습니다.
  • 비유: 마치 우체국에 있는 특수 배달부가 되어, 모든 우편물이 들어오는 문 앞에서 "누가 무엇을 보냈는지"를 지켜보는 것과 같습니다.
  • 중요한 점: 이 배달부는 사용자의 주소 (IP) 나 목적지는 절대 기록하지 않았습니다. 오직 "상자가 어떻게 움직였는지 (패턴)"만 기록했습니다. 이는 사용자의 프라이버시를 해치지 않으면서 공격의 가능성을 검증하는 매우 정교한 방법입니다.

5. 주요 발견: "실제 세상에서도 공격은 강력하다!"

연구팀은 실제 토르 사용자의 트래픽 80 만 건 이상을 분석했습니다. 결과는 놀라웠습니다.

1. 공격은 여전히 강력합니다: 실험실 환경뿐만 아니라, 실제 혼잡한 인터넷 환경에서도 최신 기술 (딥러닝 등) 을 사용하면 90% 이상의 정확도로 사용자가 방문한 웹사이트를 맞힐 수 있었습니다.

   • 비유: "실제 시끄러운 거리에서도, 아주 작은 발자국 소리를 듣고 누가 지나갔는지 90% 이상 맞출 수 있다"는 뜻입니다.

2. 작은 데이터로도 가능합니다: 아주 적은 양의 학습 데이터만으로도 공격이 성공했습니다.

3. 시간이 지나도 변하지 않습니다: 웹사이트가 업데이트되거나 시간이 흘러도 (개념 변화), 공격 기술은 여전히 유효했습니다.

4. 새로운 방어책 (Conflux) 의 한계: 토르는 최근 트래픽을 여러 경로로 나누는 '콘플럭스 (Conflux)'라는 기술을 도입했습니다.

   • 비유: "한 번에 한 개의 우편물을 보내는 대신, 두 개의 다른 배달부에게 나누어 보내면 추적이 어렵겠지?"라고 생각한 것입니다.
   • 결과: 하지만 **첫 번째 배달부 (가드 노드)**가 네트워크 속도가 더 빠른 '주요 배달부' 역할을 할 수 있다면, 여전히 처음의 중요한 정보를 다 잡아낼 수 있었습니다. 즉, 이 방어책도 완벽하지는 않았습니다.

6. 결론 및 시사점

이 논문은 **"토르의 익명성이 완벽하지는 않다"**는 사실을 다시 한번 확인시켜 주었습니다.

• 경고: 단순히 암호화만 한다고 해서 안전하지는 않습니다. 데이터가 흐르는 '패턴'만으로도 추적이 가능합니다.
• 기회: 이 연구는 토르 개발자들과 보안 전문가들에게 "우리가 더 강력한 방어책을 만들어야 한다"는 신호를 보냈습니다.
• 윤리: 연구팀은 사용자의 개인정보를 해치지 않으면서 (IP 나 목적지 기록 금지), 오직 패턴 분석만 통해 이 결론을 도출했습니다. 이는 "악용될 수 있는 기술"을 공개함으로써, 오히려 더 튼튼한 방어 시스템을 만드는 데 기여하려는 의도였습니다.

한 줄 요약:

"토르를 통해 익명성을 지키고 싶다면, 단순히 암호화만 믿지 말고 **데이터가 흐르는 '발자국 소리' (패턴)**도 숨길 수 있는 더 강력한 기술이 필요하다는 경고입니다."

기술 요약

1. 문제 정의 (Problem Statement)

• 배경: Tor 는 사용자의 신원과 방문 목적지를 연결하지 못하도록 설계된 익명성 네트워크입니다. 그러나 웹사이트 지문인식 (Website Fingerprinting, WF) 공격은 암호화된 트래픽의 메타데이터 (패킷 타이밍, 방향 등) 를 분석하여 사용자가 방문한 웹사이트를 추론할 수 있습니다.
• 현황과 한계: 기존 WF 연구는 대부분 실험실 환경 (Controlled Lab) 에서 수행되었습니다. 이는 안정적인 네트워크 조건, 명확한 페이지 로드 경계, 배경 트래픽 부재 등 비현실적인 가정을 포함하고 있어, 실제 오픈 월드 (Open World) 환경에서의 공격 효과를 과장하거나 실제 위협을 과소평가할 수 있다는 비판을 받아왔습니다.
• 기존 연구의 부족: Cherubin 등 (2023) 의 연구는 실제 Tor 트래픽을 사용했지만, 훈련 데이터를 Exit 노드에서 수집하고 테스트를 Guard 노드에서 수행하는 등 방법론적 한계 (레이블 불일치, 도메인 단위 분류 등) 로 인해 WF 공격의 효과가 낮다고 결론지었습니다.
• 핵심 질문: 실제 Tor 네트워크 환경과 오픈 월드 조건 하에서도 WF 공격은 여전히 유효한가? 특히 Guard 노드를 공격자로 가정할 때 그 효과는 어떠한가?

2. 방법론 (Methodology)

이 논문은 기존 연구와 차별화된 새로운 Guard-Adversary(가드 공격자) 방법론을 제시하며, 실제 사용자의 프라이버시를 침해하지 않으면서 대규모 오픈 월드 데이터를 구축했습니다.

• 관점 (Vantage Point): 공격자가 Tor Guard(입구) 노드를 통제한다고 가정합니다. Guard 는 클라이언트의 IP 를 알 수 있지만 목적지는 알 수 없습니다.
• 데이터 수집 전략 (Hybrid Approach):
  1. 실제 오픈 월드 배경 트래픽 (Real Open-World Background): Guard 노드에서 수집된 레이블이 없는 (Unlabeled) 실제 Tor 사용자 트래픽을 사용합니다. 이 과정에서 IP 주소나 목적지 정보는 절대 수집하지 않으며, 셀 (Cell) 단위의 메타데이터 (방향, 타임스탬프, 회로 ID 등) 만 기록합니다.
  2. 합성 모니터링 트래픽 (Synthetic Monitored Traces): 통제된 클라이언트를 통해 특정 웹사이트를 방문하여 생성된 레이블이 있는 (Labeled) 트래픽을 훈련 및 테스트에 사용합니다. 이는 실제 사용자 데이터의 프라이버시 문제를 해결하면서도 정확한 페이지 단위 (Webpage-level) 레이블을 제공합니다.
• 데이터 전처리 (Sanitization):
  • 스팸 및 불필요한 회로 제거: 비정상적인 트래픽, 작은 회로 (200 셀 미만), 핸드셰이크 오류 등을 필터링합니다.
  • 트레이스 정제 (Trimming): 페이지 로드 시작 전의 유휴 시간 (Handshake 등) 과 종료 후의 불필요한 패킷을 제거하여 실제 데이터 전송 구간만 추출합니다.
  • 프라이버시 보호: 최종 데이터셋에서 채널/회로 ID 를 제거하고, 타임스탬프를 정규화하여 재식별 (Re-identification) 을 불가능하게 합니다.
• 데이터 규모: 80 만 개 이상의 트레이스를 수집하여 Pre-Conflux(Conflux 프로토콜 도입 전) 와 Post-Conflux(도입 후) 두 가지 데이터셋을 구성했습니다.

3. 주요 기여 (Key Contributions)

1. 프라이버시 보호형 Guard-Adversary 방법론: IP 나 목적지를 수집하지 않고도 Guard 노드에서 실제 오픈 월드 배경 트래픽을 구축하는 새로운 방식을 제안했습니다. 이는 실험실 설정의 비현실적 이점을 제거하면서도 불필요한 단점 (Cherubin 설정의 레이블 불일치 등) 을 피합니다.
2. Guard 노드의 공격자로서의 잠재력 분석: Guard 는 스트림 분리 (Stream Isolation) 와 회로 ID 를 통해 동시 접속된 여러 페이지의 트래픽을 분리 (Demultiplex) 할 수 있어, ISP 와 같은 로컬 네트워크 공격자보다 우월한 공격 능력을 가짐을 증명했습니다.
3. 실제 오픈 월드에서의 WF 공격 유효성 입증: 합성 모니터링 데이터와 실제 오픈 월드 배경 데이터를 결합하여, 최신 WF 공격 기법들이 실제 환경에서도 높은 성능을 보임을首次로 증명했습니다.
4. Conflux 트래픽 분할 메커니즘에 대한 체계적 연구: Tor 의 새로운 다중 경로 프로토콜인 Conflux 가 Guard 공격자에게 미치는 영향을 분석하고, 지연 시간 (Latency) 우위를 가진 Guard 가 여전히 높은 공격 성공률을 유지할 수 있음을 보였습니다.

4. 실험 결과 (Results)

A. 오픈 월드 성능 (Pre-Conflux)

• 성능 지표: Cross-network 설정 (호주에서 훈련, 캐나다에서 테스트) 에서 Deep Fingerprinting (DF) 모델이 **0.956 의 정밀도 (Precision)**와 **0.922 의 재현율 (Recall)**을 달성했습니다 (Base rate 9% 기준).
• 교차 네트워크 (Cross-Network) 강건성:
  • DF 는 타이밍 정보를 사용하지 않고 패킷 방향 시퀀스만 사용하여 네트워크 변동성 (지터, 대역폭 차이) 에 가장 강건했습니다.
  • 반면, 타이밍 의존도가 높은 모델들 (Robust Fingerprinting, Holmes) 은 네트워크 환경이 다른 경우 성능이 급격히 저하되었습니다.
• 소규모 훈련 데이터: 페이지당 70 개의 트레이스만으로도 높은 성능을 유지할 수 있었습니다.
• 개념 드리프트 (Concept Drift): 6 개월 간의 웹페이지 변화에도 불구하고 공격은 유효했으나, 재현율이 다소 감소했습니다 (RF 모델이 시간적 진화에 가장 강건함).

B. Conflux 환경에서의 성능 (Post-Conflux)

• 단일 leg 관찰 시 성능 저하: Conflux 는 트래픽을 여러 회로 (Leg) 로 분할합니다. Guard 가 하나의 Leg 만 관찰할 경우, DF 의 F1 점수가 0.939 에서 0.379 로 급격히 하락했습니다.
• Powerful Guard 시나리오 (지연 시간 우위):
  • Tor 의 Conflux 스케줄링 알고리즘 (LowRTT) 은 지연 시간이 짧은 Leg 를 주회로 (Primary Leg) 로 선택합니다.
  • 공격자 Guard 가 다른 Guard 들보다 지연 시간 (RTT) 이 낮을 경우, 트래픽의 초기 부분 (First Segment) 을 더 많이 포착하게 됩니다.
  • 결과: 128ms 의 지연 시간 우위를 가진 Guard 는 재현율을 0.522 에서 0.881 로 크게 회복시켰습니다. 이는 Conflux 가 완벽한 방어책이 아님을 시사합니다.

C. 타이밍 무관 분류기 (Timing-Independent Classifiers)

• 네트워크 변동성 (지터) 에 대해 타이밍 정보를 사용하지 않는 DF 와 같은 모델이 훨씬 더 강건함을 확인했습니다.

5. 의의 및 결론 (Significance & Conclusion)

• 실제 위협 재확인: 실험실 환경의 가정을 벗어난 실제 오픈 월드 환경에서도 WF 공격은 Tor 사용자의 익명성을 위협할 수 있는 유효한 공격 수단임을 재확인했습니다.
• Guard 노드의 취약성: Tor 의 핵심 설계 요소인 Guard 노드가 악의적으로 통제될 경우, 스트림 분리 기능을 통해 배경 트래픽을 효과적으로 제거하고 타겟 트래픽을 분리할 수 있어 매우 위험한 공격 지점이 될 수 있습니다.
• Conflux 의 한계: Conflux 는 트래픽 분할을 통해 Guard 공격자의 효과를 일부 감소시키지만, 지연 시간 우위를 가진 공격자에게는 여전히 취약합니다.
• 향후 방향:
  • Conflux 스케줄링 알고리즘을 개선하여 지연 시간 편향을 완화해야 합니다.
  • 타이밍 의존적 특징보다 방향성 시퀀스 기반의 모델이 실제 환경에서 더 강건하므로, 이에 대한 방어 메커니즘 연구가 필요합니다.
  • 합성 데이터와 실제 데이터 간의 분류 난이도 차이를 규명하기 위해 더 많은 연구가 필요합니다.

이 논문은 Tor 네트워크의 보안 강화를 위해, 실험실 환경이 아닌 실제 네트워크 조건과 Guard 노드의 특성을 고려한 방어 전략 수립의 필요성을 강력하게 주장합니다.