미국 정부는 어떻게 전세계 수백만명이 사용하는 익명화 소프트웨어 토르를 해킹해 사용자 신원을 알아내는 걸까? 답은 간단하다. 토르 개발자를 고용했다.
미국 온라인 신문 더데일리닷(The Daily Dot)은 4월 27일 토르 프로젝트 전직 개발자가 FBI를 도와 토르 사용자 신원을 알아내는 맬웨어를 제작했다고 보도했다.
보도에 의하면 미국 베일리 대학교 재학생이었던 매튜 애드만은 2008년 토르 프로젝트에 합류해 토르 브라우저 토르 설정용 GUI 프로그램 Vidalia 개발을 맡았다고 한다. 이같은 사실은 토르 공식 웹사이트 공지를 통해서도 확인할 수 있다. Vidalia는 2013년 이후부터 사용되지 않고 있다.
에드만은 1년 뒤인 2009년 토르를 그만두고 Mitre Corporation에 입사해 2013년까지 수석 사이버보안 엔지니어로 일했다. Mitre는 미국의 비영리 민간조직으로 취약점 데이터베이스 CVE 서비스로도 유명하지만 미국 국방부와 연방기관들로부터 돈을 받고 해킹툴을 개발해 주기도 한다. 이 조직의 주수입원은 미국 정부 대상 사이버보안 및 방위 계약으로 연간 매출은 약 15억 달러다.
에드만은 Mitre에서 FBI의 원격작전팀(Remote Operations Unit)을 돕는 일을 담당했다. 이 팀은 외부에 알려지지 않은 FBI 조직으로 주 업무는 범죄 용의자 감시용 맬웨어 개발과 구입이다. 에드만은 FBI 특별수시관 스티븐 스미스와 함께 Torsploit(Cornhusker 맬웨어라고도 부른다)를 개발했다.
더레지스터誌가 입수한 재판 기록에 의하면 FBI는 Torsploit를 다크웹에서 아동 음란물을 거래하는 범죄 용의자 검거에 사용했다고 한다. Torsploit를 다크웹의 아동 음란물 포털에 심으면 이 사이트에 접속하는 사용자의 토르 브라우저가 플래시를 사용함으로 설정된 경우 사용자의 실제 아이피 주소가 FBI 서버로 timestamp와 함께 전송된다는 것이다.
FBI는 이 정보로 범죄 용의자 25명의 신원을 확보했고, 그 중 19명을 법정에 세웠다. 재판 기록에 의하면 그때부터 FBI는 Cornhusker 사용을 중단하고 보다 광범위한 다른 툴들을 사용하고 있다고 한다. 당시 피고측 변호사는 FBI에 Torsploit 소스코드를 요구했지만 FBI는 소스코드를 분실했다고 답했다.
일각에서는 FBI가 파이어폭스 제로데이 취약점을 알아내서 토르 사용자를 해킹하는 데 사용하는 것이 아닌가 하는 의문을 제기하기도 한다. 토르는 독립적인 브라우저가 아니라 파이어폭스에 보안을 강화한 버전에 불과하므로 파이어폭스 취약점은 토르 취약점이기도 하기 때문이다.
에드만은 Mitre 이후에도 계속해서 FBI를 도와 FBI의 실크로드 마켓플레이스 소탕 작전에서 음란 사이트와 비트코인 거래 적발에 큰 역할을 했으며, 블룸버그, FTI 컨설팅社를 거쳐 현재 BRG(Berkeley Research Group)社 임원으로 재직하고 있다. 이 회사에는 실크로드 사건에 참여했던 3명의 전직 FBI 요원들과 1명의 전직 연방 수사관도 재직 중이다.
BRG社 공식 웹사이트 경영진 소개란은 그의 경력을 “전문분야 사이버보안과 수사, 수사관들과 미국 첩보기관들을 도와 토르나 비트코인 등의 익명 통신 시스템 관련된 사이버 수사 전문가로 활동” 등으로 그의 사진과 함께 소개하고 있다. 그의 경력란에는 토르 프로젝트에서 일했던 사실이 제외되어 있다.
더데일리닷은 에드만에게 인터뷰를 요청했지만 답이 없다고 전했다.
