토렌트, OSINT로서의 가치 충분

토렌트 트래픽 혹은 토렌트 메타데이터를 오픈소스 인텔리전스(OSINT)로 활용할 수 있다는 연구 결과가 발표됐다. 네덜란드 틸뷔르흐대학의 연구원 두 명과, 또 다른 연구원 한 명이 전 세계에서 가장 유명한 토렌트 인덱스 사이트 중 하나인 더파이럿베이(The Pirate Bay)와 UDP 트래커에서 메타데이터를 수집해 분석하고, 206개의 인기 토렌트에서 6만개 이상의 고유 IP 주소를 조사한 후 내린 결론이다.

토렌트 트래픽이란

토렌트(torrent)는 파일 전송 및 공유 프로토콜 중 하나다. 정식 명칭은 비트토렌트(BitTorrent)로, 한 서버에 필요한 모든 파일을 저장해 두고, 그 파일들이 필요할 때마다 모든 사람들이 그 하나의 서버에 접속해 다운로드 받는 방식의 비효율성을 극복하기 위해 개발됐다. 필요한 파일을 조각으로 나눈 후, 그 조각들을 여러 사람들이 나눠 갖는다는 개념을 가지고 있어 참여하는 사람의 수가 많으면 많을수록(즉 조각이 여러 군데 많이 퍼져 있으면 있을수록) 다운로드 속도가 빨라진다는 특징을 가지고 있다.

하나의 서버에서 파일을 관리하고 분배하는 기존 방식의 경우, 서버 과부하가 일어나기 십상이었고, 여러 사람이 한꺼번에 다운로드를 시작하면 속도가 급히 떨어졌다. 토렌트는 2001년 처음 만들어졌을 때, 바로 이 ‘단일 서버’ 방식의 문제를 해결하면서 각광을 받았다. 리눅스 ISO 파일 등 공유를 목적으로 만들어졌으나 용량이 큰 것들을 효과적으로 배포하는, 획기적 기술이었다. 하지만 현재는 ‘토렌트 = 불법 다운로드’라는 공식이 성립됐을 정도로 이미지가 실추됐다. 하지만 토렌트라는 기술 자체는 합법이며, 가치중립적이다. 

이런 토렌트 기술을 통해 정보가 교류될 때 발생하는 트래픽을 ‘토렌트 트래픽’이라고 한다. “토렌트 트래픽에는 여러 가지 정보가 포함돼 있습니다. 대용량 원본 파일의 조각 데이터, 그 조각 데이터가 어디의 누구에게서 왔는지, 연결된 다른 조각들은 어디에 있는지, 그 조각들이 교류될 때 어느 IP 주소와 포트에 연결되는지, 같은 조각을 가진 피어(토렌트 참여자)들은 누구인지 등 각종 정보가 섞여 있습니다.”

회사에서 토렌트 쓰면 안 되는 이유

보안 담당자들이 이런 토렌트 트래픽을 일종의 OSINT로 여겨 모니터링 해야 하는 이유는 여러 가지다. 가장 먼저는 토렌트 트래픽이 존재한다는 건 회사 임직원 중 누군가가 토렌트를 통해 불법 파일을 다운로드 받고 있을 확률이 높다는 의미가 된다. 이는 회사 이름에 먹칠을 하는, 심각한 저작권 위반 사건으로 확대될 수 있다. 회사는 아무 것도 모른 채 적잖은 벌금을 내야 하는 상황에 직면할 수 있는 것이다. 하지만 이게 다가 아니다.

“토렌트로 공유되는 불법 파일들에는 각종 트로이목마나 백도어, 키로거 등이 숨겨져 있습니다. 토렌트 불법 파일 공유는 현재 해커들이 가장 많이 사용하는 멀웨어 확산 경로 중 하나이기 때문입니다. 임직원이 영화 하나 몰래 다운로드 받은 건 윤리적인 문제만이 아니라 매우 실질적인 ‘보안 사고’로 이어질 수 있는 중대 사안입니다.” 연구원들의 설명이다. 하지만 이게 다가 아니다.

“토렌트를 쓰는 PC가 어떤 상태인지 생각해 봅시다. 토렌트는 그 특성상 파일 조각을 가지고 있는 수많은 컴퓨터들을 서로 연결시켜 주는 기능을 가지고 있습니다. 즉 임직원 누군가 토렌트로 불법 영화를 다운로드 받았다는 건, 그 PC가 이미 외부의 수많은 컴퓨터와 직접 통신을 한 상태라는 의미가 됩니다. 그 과정에서 방화벽 정책이 무시되고, DLP 우회 가능성이 생기는 것이죠.” 그런데 영화 다운로드 한 범인을 잡아냈고, 실제로 탐지된 토렌트 트래픽이 그 일 때문에 발생한 게 밝혀지면 그나마 다행이라고 연구원들은 설명을 잇는다.

“아무리 조사해도 회사 내부 인원 중 그 누구도 영화나 프로그램을 불법 다운로드 하지 않았다면, 보안 담당자가 본 토렌트 트래픽은 뭐였을까요? 누군가 토렌트 연결을 타고 들어왔거나, 토렌트 프로토콜을 사용하는 악성코드에 회사 망 일부가 감염됐을 수도 있다는 의미가 됩니다. 즉 이미 어딘가 공격을 당했는데, 그게 토렌트 트래픽처럼 보이는 것이죠. 그러면 보안 담당자는 망 전체에서 악성 코드를 찾아내야 하는 상황입니다.” 하지만 이게 다가 아니다.

“토렌트는 IP주소를 수많은 외부 컴퓨터로 노출시키는 기술이기도 합니다. 토렌트를 사용하는 순간 회사 IP 주소가 토렌트 추적기에 등록되기 때문입니다. 회사 컴퓨터로 회사 망에서 토렌트를 이용하는 순간 회사의 IP 주소를 수많은 외부인들에게 그냥 알려주는 것과 같습니다. 그 외부인들이 전부 해커는 아니겠지만, 그 중 몇 사람 정도 해킹 범죄 의도를 가진 사람이 섞여 있을 수는 있습니다. 그런 사람들은 IP 주소를 파악한 순간 정찰을 시작할 겁니다. 이런 가능성도 염두에 두고 보강 작업을 시작해야 합니다.” 연구원들의 설명이다.

토렌트 트래픽이 존재하는 것 자체가 비정상일까?

토렌트라는 것 자체를 죄악시해야 하는 것일까? 토렌트 트래픽을 0으로 만드는 게 보안 담 당자들의 몫인 걸까? 그렇지 않다. “의도적으로 허용된 토렌트 트래픽이 있을 수 있기 때문입니다. 예를 들어 리눅스 배포판 ISO를 업무용으로 다운로드 받으려면 토렌트를 이용하는 게 좋은 방법일 수 있습니다. 그 외에도 대용량 오픈소스 데이터셋을 받아야 한다거나, 연구용으로 공개된 자료를 가져올 때, 토렌트를 이용해야하는 경우가 꽤 많습니다. 따라서 업무 망 내 토렌트 트래픽을 0으로 만드는 게 최종 목표여서는 안 됩니다.”

그렇기에 중요한 건 ‘토렌트 트래픽의 존재 여부’가 아니라 ‘토렌트 트래픽의 존재 맥락’이다. 우리 회사 내 토렌트 사용 흔적이 발견된 것만으로 패닉에 빠질 이유가 없다는 것이다. 침착하게, 그 토렌트 트래픽이 누구에 의해, 어떤 목적으로 발생됐는지를 조사해야 한다. “사전에 승인을 받았다거나, 업무 시간에만 사용됐다거나, 로그와 자산 목록에 명확히 기록되었다면 안심해도 될 확률이 높습니다.”

위험한 토렌트 트래픽에는 어떤 신호들이 나타날까? “한두 대가 아니라 여러 PC에서 토렌트 트래픽이 나타날 경우, 혹은 사용자마다 다른 토렌트에 참여할 경우, VPN이나 프록시 사용 흔적이 같이 발견될 때, 근무 시간이든 퇴근 이후 시간이든 토렌트 트래픽이 지속적으로 발견될 때, 업무와 무관한 콘텐츠 조각이 오갈 때는 의심해볼 만합니다.”

토렌트 트래픽을 모니터링 해야 하는 이유

연구원들은 보고서의 결론 부분에 이르러 “토렌트는 종식된 기술이 아니라는 걸 인정하는 것부터 보안 점검을 시작해야 한다”고 강조한다. 대부분의 현장에서 적잖은 보안 담당자들이 “요즘 누가 토렌트를 쓰겠어?” 혹은 “누가 회사에서 토렌트를 쓰겠어?”라 짐작하며 토렌트 트래픽을 점검조차 하지 않는다는 것을 이번 연구를 통해 발견했기 때문이라고. “토렌트 생태계는 여전히 살아 있고, 수많은 사람들이 토렌트로 각종 파일을 공유합니다.”

토렌트로 어떤 파일이 오가는지 살피는 건 그리 중요하지 않다는 것도 연구원들이 강조하는 것 중 하나다. “정말 살펴야 할 건 어떤 IP 주소가 어떤 토렌트에 얼마나 자주 접속하느냐입니다. 파일 이름은 그 후에 살펴도 됩니다. 그 파일을 다운로드 받는 게 불법인지 합법인지도 그 다음에 알아보면 됩니다. 토렌트 트래픽의 앞뒤 상황, 즉 맥락이 훨씬 더 중요합니다.”

마지막 강조점은 더파이럿베이와 UDP 트래커라는, 공개된 데이터를 적극 활용해야 한다는 것이다. “여기서 집계되고 공개되는 데이터는 전부 합법이며 무료입니다. 누구나 볼 수 있고, 이걸 통해 적잖은 통찰을 이끌어낼 수 있습니다. 다만 보지 않고 활용하지 않기 때문에 묻히는 것 뿐이죠. 지금부터라도 토렌트 트래픽을 파보세요. 재미있는 것들이 많이 나올 겁니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Breadcrumbs in the Digital Forest: Tracing Criminals through Torrent Metadata with OSINT - arXiv (프리프린트 논문), 2026년 (토렌트 메타데이터를 OSINT 소스로 활용하여 사용자 프로파일링·행동분석을 수행한 연구로, torrent traffic as OSINT 개념 정리에 직접적 참고 가능)
• Open-source intelligence: a comprehensive review of the current state, applications and future perspectives in cyber security - Open Access 논문, 2023년 (사이버보안·디지털 포렌식에서 OSINT 데이터 소스와 적용 사례를 폭넓게 정리해, 토렌트 트래픽 기반 OSINT 연구 위치를 잡는 데 유용)
• Privacy Concerns and Acceptance Factors of OSINT for Digital Forensics and Law Enforcement - PoPETS, 2023년 (디지털 포렌식·수사에서 OSINT 활용에 대한 수용도와 프라이버시 우려를 분석해, 토렌트 트래픽 OSINT 적용 시 윤리·법적 쟁점을 정리하는 데 도움)
• Vercara's Open-Source Intelligence (OSINT) Report - Vercara, 2024년 (네트워크·트래픽 기반 인텔리전스 수집 및 OSINT 활용 사례를 포함하고 있어, 토렌트 트래픽을 포함한 네트워크 OSINT 활용 방향성 파악에 참고 가능)

절찬리 다운로드 되고 있는 새 해킹 도구, 빌리저

💡Editor’s Pick - 갑자기 PyPI에 등장한 모의 해킹 도구, 빌리저 - 최초 업로더는 중국 CTF 참가자, 지금 관리자는 수상한 보안 업체 - 인공지능 탑재돼 있어 자연어로 악성 명령 실행 가능 새로운 모의 해킹 도구가 공개됐다. 이름은 빌리저(Villager)로, 중국 출신 CTF 대회 참가자가 파이선 리포지터리인 PyPI를 통해 발표한 것이다.

The Tech Edge문가용 기자