[지디넷코리아]익명으로 인터넷에 접속하는 것은 이제 과거의 일이 될지도 모른다.

캘리포니아 주립대학교 박사 과정에 재학중인 타다요시 코노가 각각의 컴퓨터 하드웨어에는 고유한 '지문’이 있고 이를 채취해 원격으로 컴퓨터를 식별할 수 있다는 내용의 연구논문을 발표했다. 코노의 핑거프린트 기술은 인터넷에 접속된 컴퓨터라면 어디에 있든지 추적할 수 있는 가능성이 있음을 의미한다.

이 연구논문의 주 저자인 타다요시 코노는 "원격으로 운영체제를 핑거프린트하는, 즉 인터넷에 연결된 기기가 어떤 운영체제를 사용하는지 원격으로 알아낼 수 있는 몇 가지 강력한 방법이 존재한다. 우리는 이 아이디어를 더 발전시킨 하드웨어 원격 핑거프린팅이라는 개념을 소개한 것이다. 이 기술은 대상 기기의 협조가 필요 없다"라고 말했다.

코노의 기술은 다양한 분야에 응용할 수 있다. 예를 들면 ▲한 물리적 기기가 다양한 접속점에서 접속할 때 이를 추적하거나 ▲NAT 뒤에 있는 기기들의 개수를 세거나(이들 기기가 고정된 혹은 임의의 IP 주소를 사용하더라도) ▲특정 주소가 가상 호스트에 대응되는지 판단하기 위해 일련의 주소 구역을 탐지하는 일 등이 있다.

NAT 은 방화벽 뒤의 컴퓨터들이 공공 인터넷에서 단일 IP 주소를 갖는 것처럼 보이게 하기 위해 통상적으로 사용되는 프로토콜이다.

코노의 연구가 인터넷의 익명성에 종지부를 찍는 것은 아닐 것이다. 하지만 키보드로 입력하는 내용을 훔치는 스눕웨어(snoopware) 류의 프로그램과 이를 막기 위한 익명성 보장 소프트웨어 간의 경쟁이 새로운 국면에 접어들었다는 것은 분명하다.

뒤에서 자세히 설명하겠지만 코노의 기술은 타임스탬프를 이용하므로 이에 대처하기 위해 개선된 난수 발생 기술을 사용한 시간 오차 조작(mask) 기술 등을 쓸 수 있다.

사이버 범죄 수사에 큰 효과 기대
코노는 일부 수사기관들이 핑거프린트 기술에 관심을 보이고 있다는 것을 알고 있는 듯 했다. 그의 논문에 "또한 카니보어(Carnivore)와 같은 프로젝트의 일부로서, 핑거프린트 기술을 사용해 이동하면서 사용되는 노트북을 추적할 수도 있다"라고 적었기 때문이다. 카니보어는 미연방수사국(FBI)이 개발한 인터넷 감시 소프트웨어다.

코노는 논문에서 과학 수사(forensic) 애플리케이션에 대해서도 언급했다. 즉 수사관들은 핑거프린트 기술을 사용해 특정 노트북이 특정 장소에서 인터넷에 연결된 것을 입증할 수 있다.

핑거프린트 기술은 인터넷에 접속된 두 대의 컴퓨터에서 정보를 추출해 이들이 접속 시간이나 IP 주소가 다를 뿐 사실상 동일한 물리적 기기라는 점을 밝혀내는 데도 적용할 수 있다.

핑거프린트 기술은 컴퓨터 하드웨어의 아주 미세한 변동, 즉 클럭 오차를 이용하는 것이다. 실제로 코노는 그의 논문에 "핑거프린트 기술은 대부분의 현대적인 TCP 스택이 RFC 1323의 TCP 타임스탬프 옵션을 구현한다는 점을 이용한 것이다. 성능상의 이유로 TCP 전송에 참여하고 있는 각 참여자는 패킷을 전송할 때마다 시간을 기록하는데, 각각의 TCP 헤더에 포함된 이 정보를 사용해 대상 기기의 클럭 오차를 추적함으로써 하드웨어를 핑거프린트할 수 있다"라고 적고 있다.

어디에 있든 숨을 수 없다
그는 또 "핑거프린트 기술을 사용한 결과 측정자가 수천마일 떨어져 있거나, 다중 홉(hop)만큼 떨어져 있거나, 수십 밀리 초만큼 떨어져 있거나, 다른 장소에서 인터넷에 접속하거나, 다른 접속 기술을 사용한다고 하더라도 일관된 측정값을 얻을 수 있었다. 그뿐만 아니라 대상 기기가 NAT이나 방화벽 뒤에 있을 때에도 수동 혹은 반수동 기술을 적용할 수 있다"라고 설명했다.

이 논문은 또한 "핑거프린트는 대상 기기로부터 어떠한 변경이나 협조를 요구하지 않는다"라고 강조한다. 코노와 그의 팀은 윈도우 XP와 2000, 맥 OS X 팬더, 레드햇과 데비안 리눅스, 프리BSD(FreeBSD), 오픈BSD(OpenBSD) 그리고 심지어 윈도우 포켓 PC 2002에 이르기까지 다양한 운영체제에서 핑거프린트 기술을 테스트했다.

이 논문에서는 "모든 경우에 있어서 핑거프린트 기술들 중 최소한 한 가지만 적용해도 클럭 오차를 추정할 수 있으며 아주 적은 데이터만으로도 가능하다는 사실을 발견했다. 그러나 요구되는 데이터의 정확한 분량은 운영체제에 따라 다르다"라고 설명하고 있다.

코노와 연구 팀은 실험 대상을 확대해 테스트를 실시했는데 그 결과 역시 연구 팀의 가설을 입증하는 데 유용했다. 코노는 "학부 컴퓨터 실습실에 있는 겉보기에는 동일한 69대의 윈도우 XP SP1 컴퓨터에서 클럭 오차를 시험했다. 38일 동안 진행된 이 실험을 통해 다른 실험과 마찬가지로 특정 컴퓨터의 클럭 오차는 시간이 흘러도 거의 일정하다는 것을 밝혀냈으며 컴퓨터가 다르면 클럭 오차도 다르다는 사실을 발견했다"라고 설명했다.

코노는 논문에서 "핑거프린트 기술의 주요 장점은 수천 마일 그리고 다중 홉 거리에 떨어진 곳에서도 적용할 수 있다는 점"이라고 결론을 내렸다.

핑거프린트 기술에 대한 정보가 밝혀진 것은 CAIDA(Cooperative Association for Internet Data Analysis)의 수석 조사관인 KC 클래피가 "조기에 완전히 공개하는 것이 좋을 것 같다”는 이유로 이 프로젝트에 대한 정보를 메일링 리스트에 올리고 난 이후다. 그러나 클래피는 "악당들에게는 전달하지 말라"라고 이메일에 적었다. 코노도 CAIDA와 관계를 맺고 있다.

코노의 연구는 5월 캘리포니아에서 열리는 IEEE의 보안 및 프라이버시 심포지엄(Symposium on Security and Privacy)에서 발표될 예정이다. @