COPS 토렌트 추적 방법과 Hash 쉬운 설명

한 방문자분께서 올려주신 장문의 댓글을 보고 저도 재미로 한번 알아보고 정리할겸 포스팅 합니다. 가볍게 쓰는 메모처럼 적는 글이니 감안해서 읽어주세요^^

해시(Hash)는 뭐죠?

댓글에서 가장 궁금해 하셨던 부분은 COPS 라는 기술로 토렌트 클라이언트의 고유 특성 / 해쉬값을 추적하는 기술에 대한 부분이었는데요. HASH를 간단하게 설명드리자면 디지털 증거 지문이라고 불리기도 하는데 보통 데이터의 ‘변조‘ 및 ‘무결성‘을 입증 하기 위해 사용 됩니다.(해시, 해쉬 둘다 같은겁니다.)

윈도우 iso 파일, 안드로이드 APK 파일, 각종 프로그램 다운로드 등 대부분 변조된 파일이 아닌 원본 그대로인 것을 증명 하기 위해서 해시값을 제공하고 체크하게 됩니다. 최근 우분투 리눅스 다운로드 한게 기억나서 찾아보니 이렇게 확인 가능하네요.

그 외에도 해시는 전자상거래, 전자투표 등에도 쓰이고 요즘 핫한 암호화폐 역시 해시를 빼놓을 수 없습니다.

해시함수는 MD(Message Digest)SHA(Secure Hash Algorithm) 계열이 주로 쓰이는데, MD5, SHA-1의 경우 해시충돌이 발견되어서 SHA-256이 주로 쓰이며 비트코인 작업 증명에도 SHA256이 사용된다고 합니다.

위 해시 이미지를 보면 ‘암호화‘처럼 보일 수 있는데요. 암호화랑은 용도가 다릅니다.

COPS 설명

COP 마스코트 SANGO

Child Online Protective Services의 약자로 쉽게 이야기 하면 아청법을 위반하는 동영상 중에서 특히 아동 성범죄와 관련된 동영상이 유통되는 것을 막고 공유, 판매 및 다운로드를 하는 사람과 조직을 검거하기 위한 시스템 입니다.

COP(Child Online Protective) 조직은 International Telecommunication Union에서 제정했으며 UN,인터폴,ENISA(유럽 네트워크 및 정보 보안 기관) 등 국제기구의 지원을 받아 운영 됩니다.

한마디로 법적, 기술적으로 어린이들을 사이버 위협과 범죄에서 보호하기 위한 국제 협력 네트워크 조직입니다.

단순하게 토렌트 업다운로더만 추적하는게 아니라 IRC같은 고대 선조들이 사용하던(..) 채팅 프로그램부터 MEGA(파일 공유, 클라우드 스토리지)도 감시하는데 현재 메가(前메가업로드)는 뉴질랜드 정부가 경영권을 가지고 있으며 COPS와 Hash값을 공유하고 있기 때문에 매칭 되는 파일이 업로드 및 다운로드 되면 COPS 쪽으로 정보가 갈 수 있습니다.

이런 감시를 피하기 위해 해시값을 바꾸려고 파일을 수정하거나 섞어서 올리기도 한다고 합니다.

COPS 토렌트 추적 실시간으로 어떻게?

COPS 로그인 페이지

우선 COPSVPN을 사용한 토렌트 다운로드 유저 추적에 대해 질문하신 분의 의도는 질문자가 그런 자료를 받겠다는 것이 아니라, 한국 아청법의 처벌이 2D, 3D 같은 만화 및 애니메이션 등의 창작물 혹은 교복입은 성인이 나오는 영상물 같이 애매한 부분에 있어서도 적용이 될 수 있는 점, 그리고 기술적인 부분에 대한 질문이었기 때문에 오해하진 마시기 바랍니다.

질문자분께서 나무위키 등을 통해서 얻은 정보 중 궁금하셨던 점은

  • COPS 데이터베이스에 있는 해시값을 통해 해당 데이터를 다운로드 받는 사람을 추적
  • 그와 동시에 P2P클라이언트(토렌트 프로그램)의 특성을 통한 추적을 병행

여기서 토렌트 클라이언트의 해쉬값, 정보를 통해 추적이 가능한지와 클라이언트의 고유값의 변경 그리고 샌드박스에 대해서 궁금해 하셨습니다.

간단한 답변과 호기심

우선 해시의 경우에는 위에서도 말씀드렸지만 토렌트에서 해시가 적용될 수 있는 부분은 토렌트 클라이언트를 다운로드 받을때 해당 설치 파일의 해시, 그리고 토렌트 파일이나 마그넷의 해시 입니다. 둘다 다운로드 하고자 하는 파일의 해시값 입니다.

질문자분이 궁금하셨던 것은 아무래도 프로그램 자체에도 각자 식별이 가능한 ‘지문’ 같은 값이 있고 이걸로 추적이 가능한가? 였던 것 같습니다. 이 부분은 아니라고 봅니다.

COPS 시스템 데이터베이스에 등록된 Hash와 매칭이 되는 영상물을 누군가가 다운로드 받고 COPS 네트워크 시스템에 실시간으로 떴다고 했을때, 영상물의 Hash로 인해서 ‘문제되는 파일’을 받는 것은 인지 및 추적이 가능한것은 알려진 사실이지만, 사용하는 앱의 고유 정보로 잡는다?

수천만번, 수억번 다운로드 되는 프로그램들은 전세계인들 모두 동일한 파일을 받아서 설치합니다. 그렇다면 설치후에 뭔가 개개인을 식별할 수 있는 정보가 생성되어야 하는데 유료 프로그램이고 시리얼을 등록해야 한다거나, 정품 등록을 하는 경우면 모를까 무료 토렌트 프로그램의 경우 이런 케이스는 들어보지 못했습니다.

다만 파일 공유가 이루어 지는 과정에서 생성되는 정보는 있습니다.

토렌트를 통해 업로드 다운로드 하는 피어

Peer시더(Seeder, 공유 파일 전체를 가지고 있는 클라이언트 – 주로 업로더 및 공유자)와 리처(Leecher, 일부만 가지고 있는 클라이언트 – 주로 다운로더)를 총칭 합니다. 클라이언트를 실행할때 20바이트 문자열로 이루어진 Peer_id가 생성됩니다. 피어ID에는 간단한 클라이언트 정보가 포함됩니다.

제가 사용중인 qBittorrent의 경우 ‘익명 모드 사용’을 하면 Peer ID에 클라이언트 지문을 포함시키지 않는다고 합니다.(#)

user-agent는 공백으로 채워지며, IP 어드레스, Listening Port(연결된 포트)가 다이렉트로 공개적인 노출이 되지 않는다고 나오는데, 여기서 중요한것! 잘못된 정보로 인해서 많은 유저들이 IP와 관련된 부분에서 오해를 하고 계시는데요.

익명 모드가 IP를 완전히 숨겨주거나 우회해주는걸로 착각하시는 분들이 꽤 많습니다. 사람으로 치면 마스크 쓰는 정도로 보셔야 합니다. 그리고 저기 보이는 암호화 모드 역시 본인을 숨겨주는 기능이 아님을 알아두셔야 합니다.

이렇게 데이터를 주고 받는 시더와 피어를 포함하고 있는 Swarm, 그리고 이 스웜의 정보는 Tracker 서버와 이어집니다.

토렌트 파일(.Torrent)은 파일고유의 hash, 트래커 주소, 저장되는 디렉토리, 메타 데이터, 파일 이름 등이 들어있습니다.

그래서 COPS 추적 방법은?

토렌트 클라이언트 정보라고 해봤자 IP 주소 처럼 개개인을 특정하고 ‘증거 능력’을 가질 수 있는 확실한 정보도 없어 보이며, 참고 데이터는 될 수 있는 부분은 클릭 몇번으로 감추거나 지울수도 있습니다. 쉽게 수정이 가능한 맥어드레스 같은 느낌 입니다.

뉴스에서 보면 한국 경찰이 한국형인 CPPS 시스템을 운영한다고 하는데요. 토렌트를 통해서 ‘범인’을 잡으려면 ‘증거’가 필요하고 그 증거가 될 수 있는 것은 ”제 생각에는”

  • IP 주소
  • COPS 혹은 CPPS(아청물 프로파일링 시스템)에 등록된 Hash 값과 동일한 자료를 받았는지 여부

위의 2가지가 가장 중요하지 않나 생각해 봅니다. 여기에 정확한 다운로드와 관련된 시간 정보들도 추가되겠지요.

콥스 추적 시스템은 파일 전체 해시값만 보는것이 아니라 구간 별 체크가 가능하다고 알려져있습니다. 한마디로 1기가짜리 파일을 100메가씩 잘라서 공유하거나 다운로드 받아도 콥스 서버에 등록된 자료라면 걸릴 가능성이 있다는 것 입니다.(그리고 당연히 파일명 바꾸는 것도 의미가 없습니다.)

물론 영상을 섞거나 수정해서 새로 인코딩을 했다면 또 모르겠네요.

VPN 사용으로 IP 주소를 우회한다면?

다시 질문하신 부분으로 돌아와서 클라이언트(u토렌트, 비트토렌트, 큐빗토렌트, Flud 등)의 정보를 토대로 특정을 하려면 해당 유저의 저장장치를 압수해서 수색해야 할 것 입니다.

그리고 클라이언트의 고유값 또한 핵심 증거와 더불어 참고로 하는 부분이라 생각합니다. 그리고 이 부분은 반대로 생각하면 가상컴퓨터(Vmware, Virtual Box, 샌드박스 같은), 암호화된 USB나 외장하드에 설치된 OS로 부팅해서 다운로드 받거나 등의 방법을 사용하면 이마저도 매칭할 부분이 사라져 버리지 않을까요.

“이 주변 IP로 Bittorrent 쓰는 사람이 아청물 받았던데 님도 이거 쓰네요? 님 범인?” 이럴순 없기 때문에 클라이언트 정보로 추적을 이어가는 부분이 결정적으로 보이진 않습니다.

어떤 헤비업로더 또는 헤비다운로더가 검거 되었는데 IP 주소, 자료의 해시값도 동일하고 거기다가 Bittorrent 7.10.5 (build 45785) 버전을 이용해 계속해서 많은 자료를 주고받은 기록이 있다. 라고 한다면 도움이 되는 추가 증거가 되긴 하겠지만 조심스럽고 지식과 눈치가 있는 범죄자에게 고민할 부분이 아닌듯 합니다.

두서없이 막 쓰긴 했는데 부족한 부분이나 보충할 부분이 있다면 따뜻하게 댓글 주시기 바랍니다.^^

  • VPN 선택과 최신 정보는 블로그 메뉴에서 보실 수 있습니다.
  • 토렌트 VPN 사용시 더 안전한 설정 방법 – 토렌트 어댑터 설정

17 Comments

  1. 저도 나무위키에 글을 읽었는데
    소설 같은 저작권이 있는 토렌트를 불법으로 받고 있을 때 한국 경찰이 VPN 회사에 연락을 해서 “로그 있냐?”라고 물으면 그 VPN회사가 “날려버렸다”이러고 끝내버리는 경우가 있다고 그러면 한국 경찰도 그냥 넘어간다고 들었습니다. 근데 ㅇㅊ물 같은 것을 토렌트로 받고 있는 경우는 한국 경찰이 로그를 넘기라고 원하면 유명 VPN 회사라도 선뜻 넘기는 걸보면 노로그라는게 그냥 말만 노로그 라고 하는게 아닐까 싶습니다.
    그런 걸 받는 사람들은 쓰레기가 맞지만
    노로그라는 정책이 그냥 이름뿐인거 아닌가 싶네요.
    노로그 라는 뜻이 로그를 저장하지않고 그냥 제거한다는 뜻이잖아요

    1. 선뜻 넘기는 유명 VPN가 어디일까요? 카더라 정보가 넘치기 때문에 출처와팩트가 필요합니다. 제가 쓴 https://netxhack.com/network/vpn-no-log-audit/ 이 글을 보시면 좀 더 자세히 나와있는데요. 제공할 Log 자체가 없음을 제3 기업으로부터 외부 감사까지 받습니다. 참고해보세요.

  2. 이런 방대한..지식 감사합니다 이런세계가 있었네요.
    여쭤볼게 있습니다! 토렌트 같은 프로그램을 이용해서 다운로드나 업로드를 하지않더라도 미리 심어져있는 해쉬값이나 스파이웨어? 등을 통해서 개인의 PC에 저장되어있는 자료를 사찰할 수 있는 가능성들이 있나요? 그게 불법저작권자료나 불건전한 동영상(?)일 경우에요

    1. ‘사찰’은 완전 다른 의미라 그럴 가능성은 매우 낮다고 봐야 합니다. 수사 및 기소할때 ‘증거’를 제출해야하는데 ‘몰래 지켜봤다가 잡았어요’했다가는 파장이 어마어마할거예요. 오프라인은 데이터는 추적할 수 없다고 생각하셔도 됩니다.

  3. 흥미로운 글 입니다만
    본문에서 언급하는 진짜 cops에 등록된 자료라면 보통 인터폴을 통해 VPN 운영사가 아닌
    해당 VPN에서 임차한 서버와 해당 국가 ISP로 바로 때러 가기에 잡히긴 합니다.
    다만 인터폴도 FBI도 다들 시간이 남아도는 기관은 아니기에 경중을 따져서 급한 사안부터 처리하고
    주로 대량으로 받는 사람과 보내는 사람부터 추적에 들어가죠
    대표적으로 토르에 VPN까지 썻는데도 잡힌 사례로는 웰컴투 홈 비디오 사건이 대표적으로 존재합니다.
    국제 공조가 이루어져 내노라 하는 기관들이 다 참여해 3년이란 시간에 걸려 잡아들인 사건인데
    진짜 잡을만큼 중범죄자라면 개인이 VPN 쓰고 토르정도 쓰는 정도로는 완전히 숨지 못한다는 것 이겠죠
    대신 일반 야동이나 국내 한정인 가아청 등을 VPN 쓰고 받는다 치면 해외 공조가 거의 되지 않기에
    잡힐 확률은 로또나 다름없긴 할겁니다.

    1. 장문의 댓글 감사드립니다! expressvpn의 경우 서버가 털렸어도 No log를 확실하게 지켜 무사한 경우가 있어 더 신뢰를 얻게된 케이스가 있었습니다. https://netxhack.com/network/expressvpn-no-log/ 2355님 말대로 이런것에 대비가 제대로 되지 않은 업체들은 확실히 털리겠네요

      해당 사이트 운영자인 손씨는 비트코인 및 비교적 허술한 서버 관리 등으로 꼬리가 잡힌 사례입니다. https://www.coindeskkorea.com/news/articleView.html?idxno=61051

      그리고 미국 수사당국이 해당 사이트의 소스코드를 분석하다 운영자가 자신의 IP 주소를 제대로 숨기지 않은 것도 발견해 주거지를 찾게 되기도 했습니다.

      사실 VPN, 토르를 써도 걸렸다고 설명하기는 어렵지요.

  4. Hash라는것이 비단 토렌트 파일 뿐만이 아니라 사이트에서 동영상을 받을때에 그 파일에 존재하는 고유값이라는 말씀인것 같은데 맞나요

    1. 넵 Hash는 모든 파일에 있고, 진위여부를 가리기 위해서 다운로드 파일을 제공하는 회사들은 원본 해쉬값을 같이 올려놓기도 하죠.

  5. cops는 일반 ㅇㅇ사이트 폰ㅎㅂ나 j**share뭐 이런사이트에서 다운받아지는 야동해시도 감시할까요?

    1. 그런 스트리밍 사이트의 이용자는 실시간 감지나 추적이 어렵습니다. 그럴바엔 그 사이트를 감시하거나 처벌하는게 훨씬 효율적이죠

  6. 음…expressVPN 같은 걸로 IP우회를 하면 COPS에 뜨더라도 express에서 IP 데이터가 없다고 넘기지 않을 것이고, 그래서 다운 받은 IP를 사용한 사람이 누군지 특정할 수 없어서 경찰에서 추적을 못 하기 때문에 클라이언트 해쉬 걱정은 안 해도 되는 것으로 보이네요.

  7. 질문자 본인입니다. 우선 이렇게 새 글로 상세한 답변을 적어주셔서 너무 감사합니다 ㅠㅠ 영어권 사이트는 좀 활발한 것도 같던데 영어다 보니까 완벽한 이해가 힘들고, 원하는 자료를 찾기도 힘들더군요. 최근에는 국내에서도 보안의 중요성에 대한 관심이 많이 올라간 듯하지만, 이에 관한 공부를 하고 질문을 하고 대화를 나눌 곳은 전무한 것 같아서 너무 답답했습니다. 이곳저곳에 흩어진 약간의 정보글을 찾아도 이 블로그 주인장님처럼 바로 자세한 답변을 받을 만한 곳은 정말로 전무했고요.
    사실 이번에 새롭게 작성해주신 글의 경우, 아직도 완벽한 이해가 된 것 같지는 않아서 두번 세번 더 시간을 들여 글을 정독해보려고 합니다. (모르는 게 있으면 또 질문드리겠습니다! ㅎㅎ)
    보안에 관한 공부를 시작한지 그리 오래되지는 않았지만 참으로 방대한 분야가 있는 듯하더군요. 그리고 이렇게 새로운 정보를 알아갈 때마다 참 재미있는 것 같습니다. 덕분에 좋은 글들 잘보고 갑니다. 종종 또 놀러오겠습니다!

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다