지난 달 의도적으로 토르(Tor) 트래픽을 방해한다고 비난을 받은 클라우드플레어(CloudFlare)가 공식 성명을 통해 어떤 작업을 왜 하게 되었는지 설명했습니다.
 

토르 사용자들은 출구 노드(exit node)의 IP를 통해 클라우드플레어에 가입된 웹사이트에 접속할 경우 클라우드플레어쪽에서 표시하는 CAPTCHA에 대해서 잘 알고 있습니다. 클라우드플레어에 따르면 이 방식은 토르 IP가 항상 의심스러운 활동을 하는 것을 관찰한 후 적용했다고 합니다.

클라우드플레어는 어제 "클라우드플레어 네트워크를 통해 얻은 자료에 따르면 토르 네트워크를 통해 이뤄지는 요청의 94%는 그 자체로 악성입니다."라고 작성했습니다. "이것은 저희 고객들에게 피해를 주기 위해 설계된 자동화된 요청으로, 논란이 있는 내용을 방문하는 것은 아닙니다." 여기에는 많은 양의 댓글 스팸, 취약점 스캐너, 광고 허위클릭, 콘텐츠 스크랩, 그리고 로그인 스캐닝이 포함됩니다.

토르 프로젝트 회원들이 제기한 감시 문제와 관련해서도 클라우드플레어는 정반대로 자체 인프라를 통해 토르 사용자를 추적한 것은 없다고 부인했으며, 슈퍼쿠키(super-cookie) 같은 추적 시스템 구현도 하지 않았다고 밝혔습니다.

그러나 클라우드플레어는 토르의 출구 노드 IP 주소들을 추적하고 점수를 매긴다는 점은 인정하며 주소들에 대해서 높은 위협 점수를 매겼다고 밝혔습니다. 왜냐하면 토르 브라우저는 개인 추적 방지(anti-fingerprinting) 기술을 내장하고 있고, 클라우드플레어 역시 사용자에게 익명성을 제공하는 프로젝트의 목표를 존중하기 때문에 토르 기반 IP로 들어오는 사용자에게 CAPTCHA를 보여주는 것을 대체할 수 있는 다른 수단이 없다는 것입니다.

이 결정이 논쟁의 여지가 있고 정당한 토르 사용자들을 성가시게 할 수 있지만, 공정하게 하자면 클라우드플레어는 보안 업체이고 고객들도 이런 목적을 위해 서비스에 가입한 것입니다.

클라우드플레어는 많은 고객들이 토르 트래픽도 함께 차단하기를 원하고 있지만 이를 적용시키고 있지 않다는 것도 공개했습니다. 회사측은 고객용 제어판에 고객들이 토르 주소를 허용하거나 CAPTCHA를 표시할 것인지만 정할 수 있게 했다고 밝혔습니다.

이 결정은 토르 트래픽을 차단할 경우 물의를 일으킬 수 있다는 점을 염려했기 때문이라고 합니다. 클라우드플레어는 먼저 토르가 생긴 이유를 이해하고 사이버 범죄자들이 이를 사용하는 것도 프로젝트의 잘못이 아니라고 했습니다. 최근 토르 프로젝트와 함께 토르 브라우저에 일종의 클라이언트쪽 솔루션을 만들기 위해 협력하고 있으며, 그래서 클라우드플레어를 비롯한 다른 보안 업체들이 정당한 토르 사용자와 자동화된 요청을 구별한 다음 후자만 차단할 수 있게 한다고 합니다.

추가적으로 클라우드플레어는 토르 프로젝트가 .onion 주소를 만들 때 SHA256을 사용하기를 희망하고 있습니다. 그렇게 되면 클라우드플레어 고객들이 토르로 들어오는 트래픽을 넘겨주면서 최근 몇 주간 놀라울 정도로 높은 실패율을 보여준 CAPTCHA를 표시할 필요가 없는 .onion 사이트를 만들 수 있게 됩니다.

 * 출처 : Softpedia