posted by 알짜 정보 岳岩 2019. 5. 19. 07:22

일반인도 사용할 수 있는 강력한 온라인 프라이버시 보호 툴
설치만 해서 해결되는 게 아냐...딥웹 서핑 시 유의해야 할 것도

[보안뉴스 문가용 기자] 지난 주 주말판에서는 GDPR로 촉발로 된 ‘대 프라이버시 시대’를 기념하기 위해 토르에 대한 몇 가지 오해들을 풀어보았다. 이번 주는 그 토르를 실제로 설치하고 사용하는 방법에 대해 구체적으로 살피고자 한다. 우리나라에서 보편적으로 많이 사용되고 있는 윈도우와 리눅스 시스템에서의 설치법을 먼저 살펴보도록 하자. 

[이미지 = iclickart]


윈도우에서의 토르
1) 윈도우에서 아무 브라우저를 켜고 토르 프로젝트(https://www.torproject.org/download/)에 접속한다. 
2) 페이지가 로딩되면 다양한 체제를 나타내는 그림이 뜨는데, 이 중에 윈도우를 나타내는 걸 클릭한다. 네모가 가장 많은 그림이 그것이다.
3) 사용자의 윈도우 버전이 자동으로 탐지되어, 그에 맞는 파일이 다운로드 된다. 
4) Download in another language or platform을 누르면 언어와 플랫폼을 수동으로 고를 수 있게 된다. 기자의 경우 자동으로 다운로드 된 파일은 설치가 되지 않았고, 수동으로 선택해야만 했다.
5) 다운로드 된 설치 파일을 찾아(보통 다운로드 폴더에 있다) 더블클릭 한다.
6) 설치 과정이 완료되고 실행을 시키면 ‘연결’과 ‘구성’, ‘종료’ 버튼이 있는 창이 하나 뜬다. 구성을 누르면 두 가지 옵션을 체크할 수 있는데, 위의 것은 ‘토르가 우리 나라에서는 검열 대상이다’라는 뜻이다. 맞다면 체크박스를 누르면 되는데, 한국의 경우는 토르가 검열 대상은 아니다.
7) 두 번째는 ‘나는 프록시를 통해 인터넷을 사용한다’로, 해당된다면 체크박스를 누른다. 이 부분을 잘 모르겠다면 토르 브라우저 말고 다른 브라우저를 켜서 인터넷 설정을 확인하거나 PC의 네트워크 환경설정을 확인한다.
8) 이 과정까지 마쳤다면 6)번 창으로 돌아가 ‘연결’ 버튼을 누른다. 그러면 자동 연결 구성이 진행되고 토르 브라우저가 실행된다.
리눅스에서의 토르
1) 토르 웹사이트(https://www.torproject.org/projects/torbrowser.html)에 접속한다. 
2) 페이지 오른쪽 위에 있는 ‘다운로드’ 탭을 눌러서 다운로드 페이지로 간다.
3) 페이지 왼쪽에 있는 보라색 ‘다운로드’ 버튼을 누른다. 설치파일의 다운로드가 진행된다.
4) 터미널을 연다. 까만색 네모 바탕에 흰 글씨가 살짝 가미되어 있는 모양의 아이콘이다. 리눅스 버전에 따라 터미널 아이콘의 위치가 다르긴 하지만 Menu를 통해서 가거나, Alt+Ctrl+T를 눌러서 실행시킬 수 있다.
5) 터미널에서 다운로드 폴더로 간다. 보통 cd Downloads를 누르면 된다. 만약 다른 폴더로 다운로드 받았다면 cd 다음에 그 폴더 이름을 적으면 된다.
6) 그 다음은 설치파일의 압축을 해제하는 것이다. tar -xvJf tor-browser-linux64-7.5.2_language-region.tar.xz를 입력한다. 물론 여기서 language와 region 부분은 받은 파일의 이름에 따라 고쳐야 한다. 
7) 설치가 완료됐다면 cd tor-browser_language라는 명령어를 입력해서 토르 브라우저의 디렉토리로 간다. 여기서 language는 실제로 설치된 토르 버전에 따라 적당히 바꿔줘야 한다.
8) 여기서는 토르 브라우저를 실행하기 전에 환경설정부터 해야 한다. ./start-tor-browser.desktop이라는 명령어를 입력해서 설정 창이 열리도록 한다.
9) 이러면 윈도우 설치 과정 중 6)번에 나타난 창이 뜬다. ‘연결’과 ‘구성’ 버튼이 생성되는데, ‘구성’은 윈도우 설치 과정 6)~7)번과 같다. 상황에 따라 설정을 변경한다.
10) 그 다음 ‘연결’ 버튼을 누른다. 연결 구성이 완료되고 브라우저를 실행시키면 토르를 사용할 수 있게 된다.
‘토르’하면 생각나는 ‘딥웹’, 어떻게 접속할까?
구글이나 네이버 등을 통해 접속할 수 있는 영역은 인터넷 전체 영역의 일부분일 뿐이다. 그 외의 광대한 영역을 우리는 ‘딥웹’이라고 부른다. 딥웹은 완전한 익명성을 기본 원리로 해서 구성된 공간이므로, 딥웹에 접속하고 싶다면 그 자신도 인터넷 상에서 익명의 존재가 되어야 한다. 일반인이 익명의 존재가 되는 가장 쉬운 방법은 토르 네트워크를 통하는 것이다. 
기억해야 할 건 ‘딥웹’은 ‘다크웹’이 아니라는 것이다. 다크웹은 딥웹의 일부분으로 범죄자들이 주로 서식하는 곳을 말한다. 딥웹은 표면웹이 아닌 나머지 모든 공간을 일컫는다. 다크웹은 ‘초대된 자들만’ 참여할 수 있다. 여기서 다루고자 하는 건 다크웹이 아니다.
토르 브라우저가 설치되어 있고, 토르 네트워크와 연결이 되었다면, 딥웹 접속이 간단해진다. 브라우저를 켜고 주소창에 알맞은 주소를 입력하기만 하면 되기 때문이다. 즉 표면웹에서 우리가 하던 것과 크게 다르지 않다. 차이가 있다면 표면웹으로부터 숨어있는 딥웹의 사이트들은 .com이나 .org, .net으로 끝나지 않고, .onion으로 끝나는 게 대분이다.
또한 야후나 구글, 네이버처럼 키워드로 서핑을 해서 알맞은 사이트로 찾아가는 것도 딥웹에서는 잘 되지 않는다. 그렇기 때문에 딥웹에는 딥웹에서만 통하는 서핑 방법이 있는데, 이건 사용자가 꾸준히 알아보고 익혀야 한다. 가장 간단한 시작점은 히든위키(http://thehiddenwiki.org/)에서 주소들을 찾아보는 것이다. 토르 브라우저를 통해서만 접속할 수 있는 사이트들이 나열되어 있다.
영어가 가능하다면 레딧(Reddit)이라는 커뮤니티도 딥웹에 대해 배우기 좋은 곳이다. 레딧 사용자들은 딥웹에 대한 지식과 경험을 풍부하게 공유하고 있으며, 스레드를 따라가다 보면 딥웹 사이트 주소를 얻어낼 수 있게 되는 경우도 많다. 이미 초보 딥웹 사용자가 물어봤을 질문이 제기되었고, 수많은 답이 달려있다. 
딥웹과 다크웹이 다른 곳임은 분명하지만, 그렇다고 딥웹이 불법 행위들로부터 완전히 자유로운, 깨끗한 곳은 아니다. 그러니 딥웹에 접속할 때 항상 주의해야 하는 건 분명하다. 그렇다면 딥웹으로부터 얻을 수 있는 건 무엇일까? 토르 전문가 S.K. 마스터슨(S.K. Masterson)은 “딥웹은 국가나 기관, 일부 기업들의 제재와 규제 및 여러 가지 제한 장치가 발현하기 전, 즉 ‘완전한 자유’를 바탕으로 발전되어 왔어야 할 인터넷 본연과 가장 가까운 형태로 유지되고 있는 곳”이라며, “방대한 딥웹에서 새로운 자유를 경험해볼 수 있을 것”이라고 말한다. 
토르로 안전하게 브라우징 하기
토르를 설치했다고 갑자기 완벽한 익명성이 보장되고 모든 검열이나 감시로부터 자유로워지는 건 아니다. 제대로 활용하는 것이 중요하다. 토르에도 이상적인 사용 방법이 존재한다는 것이다. ‘프라이버시 보호 툴’로서 토르를 사용하기로 결정했다면 다음 몇 가지를 기억해두는 게 도움이 될 것이다. 물론 토르 브라우저를 먼저 가벼운 마음으로 익히고 싶다면 꼭 지키지 않아도 된다. 마스터슨의 의견을 참조했다.
1) 항상 토르 브라우저를 사용하라 : 표면웹에 없는 정보를 찾는 것이든 아니든, 다른 브라우저를 여러 가지로 함께 활용한다면 토르가 소용이 없게 된다. 토르를 최대한 자주 사용해야 토르 네트워크 상의 트래픽을 다양화 하는 데에도 도움이 된다. 
2) 윈도우를 떠나보내라 : 윈도우는 인기가 매우 높은 OS이며, 토르 브라우저와의 호환성도 매우 높다. 하지만 프라이버시와 관련된 취약점들이 지속적으로 발견되고 있다는 치명적인 문제를 해결하지 못하고 있다. 토르 네트워크에 연결되어 있다고 하더라도 윈도우 장비가 침해되는 일은 비일비재하다. 정말 프라이버시를 강력하게 보호하고 싶다면 윈도우보다는 리눅스, 리눅스보다는 테일즈(Tails)가 낫다.
3) 업데이트를 주기적으로 하라 : 토르 브라우저가 아무리 강력한 도구라 한들, 결국 OS 위에 돌아가는 애플리케이션일 뿐이다. 결국 프라이버시는 그 OS와 환경만큼 보호된다는 뜻이다. 그러므로 시스템과 환경 전체를 안전하게 보호하는 게 필수적인 일이 된다. 일반 사용자가 시스템 전체를 안전하게 지키는 가장 간단한 방법은 꾸준한 업데이트다. 최소 1주일에 한 번은 시스템 업데이트 여부를 점검해야 한다.
4) HTTP는 피한다 : 트래픽을 암호화 하는 건 프라이버시 보호의 기본이다. 그러므로 HTTP 대신 HTTP를 사용하는 것부터 정착시켜야 한다. HTTPS가 대단히 강력한 암호화 기능인지는 논란의 여부가 있지만, HTTP는 아예 암호화가 되지 않은 트래픽이다. 토르 브라우저를 사용한다면, HTTPS-에브리웨어(HTTPS-Everywhere)이라는 애드온을 사용해 모든 트래픽을 HTTPS로 암호화할 수 있다. 
5) 자바스크립트, 자바, 플래시는 비활성화 한다 : 토르 브라우저를 사용한다면 이 세 가지 요소는 자동으로 비활성화 된다. 다만 옵션 설정을 통해 활성화시킬 수도 있는데, 이런 유혹만 견뎌내면 된다. 여기에 노스크립트(NoScript)라는 애드온을 설치하면 웹페이지 배경에서 코드가 실행되는 것을 막을 수 있다. 
6) 별도의 이메일 계정을 마련하라 : 프라이버시를 강력하게 보호하고 누구도 당신을 찾아서는 안 된다면 가상의 인물을 만들어 이메일 등의 서비스를 활용해야 한다. 본명으로 사용하는 이메일 등의 각종 온라인 서비스를 토르 네트워크에서 그대로 사용하는 건 추천하지 않는다. 실명이나 실 거주지 주소 등의 정보는 되도록 온라인에서 사용하지 않는 게 좋다. 대체 이메일 계정을 만들어 사용하는 걸 추천한다.
7) 구글을 버려라 : 구글은 세계에서 가장 인기가 높은 검색 엔진이고, 표면웹 서핑에 구글을 사용하는 건 전혀 나쁠 것이 없다. 하지만 토르 브라우저와 구글 검색 엔진의 궁합은 좋지 않다. 구글은 사용자의 인터넷 서핑 과정과 검색 과정에 대해 엄청난 정보를 수집한다. 토르를 사용하는 의미가 없어진다. 토르와 궁합이 좋은 검색 엔진은 덕덕고(DuckDuckGo)다. 토르 브라우저를 시작할 때 첫 화면에 뜨는 것이 덕덕고 엔진이므로, 굳이 구글에 접속하지 않고 계속해서 덕덕고를 사용하면 된다.
인터넷을 안전하게 만드는 것은 정부나 특정 정보보호 전문가만의 일이 아니다. 인터넷과 안전이라는 문제가 그들에게만 맡기기에는 너무나 커버렸기 때문이다. 시장 조사 업체 프로스트 앤 설리반(Frost & Sullivan)의 글로벌 총괄인 아룹 즈치(Aroop Zutshi)는 “이미 몇몇 사람에게 책임을 넘기기에는 너무나 큰 문제”라며 “모두가 해결에 참여할 수밖에 없는 게 현실”이라고 말한다. 
마스터슨은 “토르를 사용하는 게 인터넷을 더 안전하게 만드는 가장 좋은 방법은 아니”라고 분명히 말한다. “하지만 개개인이 프라이버시를 스스로 보호하기 위한 도구를 익히도록 한다는 건, 인터넷 전체를 보다 안전하게 만들기 위해 모두를 참여시키는 방법일 수 있습니다.” 보안뉴스

댓글을 달아 주세요