Tor / 다크웹 메신저 Ricochet 소개와 유저 검거

Ricochet 사용자는 아마 거의 없을거예요. 저도 예전에 들어만봤지 사용해보진 않아서 지금까지 따로 글을 써보진 않았는데요. 최근 한 방문자분께서 Ricochet에 대해 물어보시고 댓글은 삭제해달라고 남기셨는데요.

궁금한 것을 물어보시는 것은 언제나 환영이고 저도 초,중급자 수준이라 아는 부분은 언제든 기쁘게 대답해드리는데.. 호기심 해결만하고 삭제가 되어버린다면 저도 헛수고를 한 것이 되고, 같은 호기심을 가진 다른 분들이 볼 수 있는 기회도 사라지게 됩니다. 하지만 질문 하신분의 마음을 또 무시할 수는 없어서.. 따로 글을 하나 작성하게 되었습니다.

이 글은 제목 그대로 간단한 소개글 입니다. 매우 단순한 구조의 메신저이고 Tor Network를 통해서만 통신할 수 있다는 특징 이외에는 기능적인 부분을 제가 딱히 알려드릴게 없습니다.

한 줄 요약 : Tor 네트워크로 대화를 주고 받기 위한 메신저다.

Ricochet 설치 및 사용법

정식 명칭이 ‘Ricochet Refresh’로 바뀌었네요. 2014년에 출시되었으니 벌써 10년이 되었습니다. 10년이라는 긴 시간동안 꾸준하게 업데이트 및 업그레이드되면서 유저들의 신뢰를 받아왔다는 것은 대단하다고 생각해요.

공식 웹 사이트 : https://www.ricochetrefresh.net/ 여기로 가시면 됩니다. 한 페이지로 이루어진 구조라 여기서 앱 소개와 다운로드 등 모두 가능합니다.

그리고 직접 빌드하실 분은 Ricochet Github에서 소스를 다운로드 받으실 수 있습니다.

Richchet의 통신 방식이 구체적으로 궁금하신 분들은 Ricochet-Protocol 문서를 확인하세요. 프로토콜은 3개의 계층으로 정의됩니다.

• 연결 계층 : Peer to Peer 통신을 위해 익명화된 TCP 스타일의 연결을 사용
• 패킷 계층 : 연결을 여러 패킷으로 분리하여 채널에 전달합니다. 이를 통해 동일한 연결에서 다양한 작업을 멀티플렉싱할 수 있으며, 채널 수준에서 데이터를 패킷화하여 처리
• 채널 계층 : 채널 유형과 해당 채널의 상태에 따라 패킷을 분석하고 처리

우린 그냥 안심하고 쓰면 될 것 같아요.

크로스 플랫폼

위 주소에서 다운로드를 받으셨으면 설치하셔도되고, 흔적을 덜 남기고 싶거나 USB에 저장해서 다니실 분들을 위해 Portable 버전도 있습니다.

• 윈도우 : 64비트 / 32비트 설치용과 포터블 둘다 있어요.
• MacOS : 인텔 칩과 M1, M2 애플 실리콘 지원
• 리눅스 : 데비안 패키지 및 포터블

사용

Ricochet-refresh 실행 파일을 누르면 위와 같은 화면이 나오는데 위의 Connect를 누르면 알아서 Onion Network에 접속합니다.

이런 복잡한 로그들이 나오는데 진행되는 과정을 알리는 것이라 무시하셔도 됩니다.

저기에 나온 log가 궁금하실까봐 일부 번역해서 가져왔습니다.

2024년 9월 28일 02:18:00.737 [알림] Tor 0.4.8.12 (git-2beaa7557c3c93ec)가 Windows 8 [또는 이후 버전]에서 Libevent 2.1.12-stable, OpenSSL 3.0.15, Zlib 1.3.1, Liblzma 없음, Libzstd 없음, Unknown N/A를 libc로 사용하여 실행 중입니다.

2024년 9월 28일 02:18:00.737 [알림] Tor를 잘못 사용하면 도움이 되지 않습니다! 안전하게 사용하는 방법은 https://support.torproject.org/faq/staying-anonymous/에서 배우세요.

2024년 9월 28일 02:18:29.000 [알림] 127.0.0.1:0에서 Socks listener를 열고 있습니다.
2024년 9월 28일 02:18:29.000 [알림] Socks listener가 포트 49784에서 listening 중입니다.
2024년 9월 28일 02:18:29.000 [알림] 127.0.0.1:49784에서 Socks listener 연결(준비 완료)을 열었습니다.
2024년 9월 28일 02:18:36.000 [알림] 부트스트랩 50% (loading_descriptors): 릴레이 설명자를 로드 중
2024년 9월 28일 02:18:40.000 [알림] 현재의 합의에 종료 노드가 포함되어 있습니다. Tor는 종료 경로 및 내부 경로를 구축할 수 있습니다.
2024년 9월 28일 02:19:14.000 [알림] 부트스트랩 57% (loading_descriptors): 릴레이 설명자를 로드 중
2024년 9월 28일 02:19:18.000 [알림] 부트스트랩 63% (loading_descriptors): 릴레이 설명자를 로드 중
2024년 9월 28일 02:19:21.000 [알림] 부트스트랩 71% (loading_descriptors): 릴레이 설명자를 로드 중
2024년 9월 28일 02:19:21.000 [알림] 부트스트랩 75% (enough_dirinfo): circuit을 구축할 수 있을 만큼의 디렉토리 정보를 로드했습니다.
2024년 9월 28일 02:19:21.000 [알림] 부트스트랩 90% (ap_handshake_done): circuit을 구축을 위한 릴레이와의 핸드셰이크가 완료되었습니다.
2024년 9월 28일 02:19:21.000 [알림] 부트스트랩 95% (circuit_create): Tor circuit을 설정 중입니다.
2024년 9월 28일 02:19:22.000 [알림] 부트스트랩 100% (완료): 완료되었습니다.

Share your Ricochet ID to allow connection requests 아래 보이는 복잡한 주소가 나의 리코쳇 아이디 입니다. 서로 소통하려면 상대방 아이디도 알아야겠죠?

리코쳇 실행 후 Preferences(설정)으로 들어가셔서 Language 선택하시면.. 한국어는 없습니다.

Ricochet 특징

위 다이어그램처럼 Tor Onion Network를 그대로 사용하기 때문에 Tor browser를 통해 소통합니다 추가 보안 계층이 있으므로 단순하게 Tor Browser를 통해 소통하는 것 보다 더 안전하다고 볼 수 있습니다.

• 메타데이터 저항성 : 내가 누구와 대화하고 어떤 대화를 나눴는지에 대한 데이터가 남지 않음.
• 익명성 : IP 주소 및 위치 정보 알 수 없음.
• 분산화 : 신뢰해야 할 서버도, 모니터링할 서버도, 해킹될 서버도 없음으며 당연히 메세지가 저장되지 않습니다.
• 사용하기 쉬움 : 채팅만하면 됨, 메세지는 자동을 보안 처리.
• 네이티브 파일 전송 : 앱 내에서 안전한 파일 전송 기능이 내장.
• 오픈 소스 : 소스 코드가 전부 공개되어있기 때문에 투명함

Tor Network와 많이 닮아있는 메신저 앱 입니다. Ricochet을 사용하기 위해서 따로 Tor Browser를 설치하진 않아도 됩니다. 자체적으로 Onion Network 접속이 이루어집니다.

다크웹 범죄자였던 Ricochet 유저 검거?

재미있는 부분이 있네요. 메뉴에 BluePrint가 있어서 앞으로의 계획인줄알고 봤는데 그건 아니었고 그 아래 2024년 9월 18일에 발표한 내용이 흥미로웠습니다.

‘타이밍 공격’에 대한 이야기였는데요. 뭔데 공식 홈페이지 중간에 따로 발표한건지 궁금해서 읽어보니 독일이 Tor 유저를 잡아낸 내용이어서 읽어보고 검색까지 이어졌습니다.

어떤 일이 있었나?

우선 내용을 알기전에 왜 이런 장문의 글을 홈페이지에 써놨는지부터 알아야 합니다. 바로 독일 경찰이 토르 네트워크를 해킹해서 범죄자를 검거했다는 뉴스가 나오면서 큰 충격을 주었는데, 해당 유저가 Ricochet을 사용했다는 말이 나왔기 때문입니다.

이는 독일의 파노라마 TV 프로그램과 탐사 저널리즘 단체 STRG_F에서 보도한 내용인데요. 독일 연방형사경찰청(BKA)과 프랑크푸르트 검찰총장실이 다크웹에서 불법 자료를 배포하는데 관여한 것으로 의심되는 사용자를 식별할 수 있는 증거를 입수했다고 밝혔습니다.

최근에 검거된 범죄자들은 아니고 2021년에 다크웹에서 아동 성 착취물을 거래하는 Boystown 운영자들이 체포되었는데 그에대한 비하인드 스토리가 최근에 나왔고 실제 2022년에 용의자에게 장기 징역형이 선고되었다고 하네요. 하지만 이는 독일 경찰에서 ‘그렇다’라고 확실하게 말해준게 아니라 교묘하게 인정하는듯 아닌듯 발표해서 많은 가설과 추측이 나오고 있어요.

여러 뉴스들을 찾아보고 내용을 요약하면 아래와 같습니다.

• 독일 정부는 범죄자를 잡기 위해 대량의 Tor Network Node 서버를 세팅했다.
• 장기간 데이터를 수집해서 통계를 내며 추적해왔다.
• 그 중에서 ‘타이밍 공격’을 통해 중단된 프로젝트인 Ricochet 구버전을 사용한 유저의 꼬리를 잡을 수 있었다.

여기서 타이밍 공격은 독일 경찰이 깔아놓은 Tor 네트워크 노드를 거치는 유저들의 Log를 추적하면서 해당 시간대에 Ricochet을 사용한 사람을 추적한 것으로 ‘추정’되고 있습니다.

Recochet-Refresh 입장

• 해당 공격은 2019년-2021년에 발생했다.
• 보안 개선을 위해 당시 소프트웨어를 크게 업데이트 했다.
• 타이밍 공격은 새로운 것이 아니다.
• 사이버 보안 분야에서 절대적인 것은 없으며, 완벽하게 비공개로 유지하려면 디지털 세계와 단절해야하는데 이건 실용적이지 못하다.
• Ricochet-Refresh은 가장 안전한 온라인 소통 방법 중 하나이다.
• 리코쳇 사용시 타이밍 분석 공격으로부터 자신을 보호하기 위해 아무것도 할 필요가 없다.
• 우리는 지속적으로 보안 업데이트를 하고 있으며 ‘타이밍 분석 공격’을 더 어렵게 만들기 위해 개선하고 있다.
• Ricochet은 Ricochet-Refresh와 동일하지 않으며 현재 Tor Network에 더 이상 존재하지 않는 레거시 기술이다.
• Ricochet Refresh는 오픈소스, 계정 필요없음, 데이터 호스팅 서버 없음, 중앙 집중식 조직이나 인프라 없음, 개인의 데이터는 자신의 컴퓨터에 로컬로 저장됨, 통신은 비공개이며 종단 간 암호화 된다.

잡힌놈은 아마 레거시 기술을 사용하는 업데이트 중단된 구버전을 사용하지 않았을까 하는 추측들이 있습니다. 여전히 Ricochet-Refresh는 매우 안전한 P2P 메신저 앱으로 판단됩니다.

함께 읽어보면 좋은 글

Tor VS VPN 토르는 안전한가?

P2P 메신저 세션

보안 메신저 Signal