영국 IT 매체 더 레지스터에 따르면, 사이버 보안 기업 카스퍼스키(Kaspersky) 연구팀이 변형된 토르 브라우저가 중국 사용자의 민감 데이터를 수집한 사실을 발견했다.
브라우저로 수집한 정보는 인터넷 사용 기록과 웹사이트 양식에 입력한 데이터 등이다. 수집된 데이터 중에는 사용자 이름과 위치, 접속 기기 등을 포함한 데이터도 다수 존재한다.
문제의 토르 브라우저는 중국 클라우드 공유 서비스가 호스팅을 제공하며, 실제 토르 브라우저와 인터페이스가 100% 똑같다. 그러나 카스퍼스키 연구팀은 변형된 브라우저에는 디지털 서명이 없으며, 일부 파일이 실제 토르 브라우저와 다르다는 점을 발견했다.
카스퍼스키는 변형된 토르 브라우저를 이용한 중국 사용자 데이터 수집 행위를 ‘오니언포이즌(OnionPoison)’이라고 칭하며, 가짜 토르 브라우저를 경고했다. 이어서 "배후 세력의 정체는 확실하지 않다. 그러나 중국 사용자만 노리고 데이터를 수집한 점은 분명하다"라고 언급했다. 또, 오니언포이즌 개시 세력이 중국 IP 주소 접속이 이루어질 때, C2 서버와 통신한 뒤 DDL 두 번째 단계를 회수할 의도를 지녔다고 설명했다.
카스퍼스키 관계자는 “일반 데이터 탈취 공격 세력과 달리 오니언포이즌은 사용자 패스워드나 쿠키, 지갑 정보 수집 과정을 자동화하지 않았다. 대신, 접속자 신원을 파악할 정보만 수집한다”라며, “공격 세력이 브라우저 이력을 추출해 불법 활동을 추적한다. 그리고 SNS를 통해 피해자에게 접근하고는 당국에 토르 브라우저 사용 시도를 보고하도록 위협했다”라고 전했다.
한편, 오니언포이즌의 피해 규모는 구체적으로 알려지지 않았다. 그러나 토르가 사용자 익명성을 보장하는 브라우저로 유명하다는 점과 토르 사용자 다수가 독재 정권의 검열, 감시를 피하고자 토르에 의존한다는 사실을 고려했을 때, 피해자 수가 적지 않을 것으로 추정된다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
