토르는 단체 및 개인의 온라인 활동에 대한 정부의 추적을 막아주는 일종의 익명성 보장 소프트웨어다. 사실 지금도 다수의 국가들이 온라인 정치·사회활동을 엄중히 단속하고 있다.
국제언론인보호위원회(CPJ) 보고서에 의하면 중국과 중동 국가에서만 지난 1 년간 최소 100명의 블로거들이 온라인 활동 때문에 투옥됐다. 이들 국가에서 온라인 익명성 확보는 개인의 안전과 직결된 사안이며 인터넷상의 흔적을 지워주는 토르는 이를 구현할 최고의 도구인 셈이다.
정부의 대국민 통제력을 무력화시킬 수 있는 토르의 탄생은 아이러니하게도 미국 정부에 의해 촉발됐다. 1995년 미 해군연구소(NRL)의 프로그래머 3명이 적지에서 활동하는 아군 스파이나 병사들을 위해 적들에게 추적·탐지되지 않고 민간 인터넷으로 정보를 주고받을 수 있는 비책 찾기에 나선 것이 그 효시다.
프로그래머들은 연구를 통해 '어니언 라우팅(onion routing)'이라는 기술을 개발했다. 이는 3명이 보유한 다른 PC를 활용, 각각의 정보 패킷을 무작위적으로 라우팅해 패킷의 출발지와 목적지를 숨기는 기법이다.
노드 역할을 하는 이 PC들은 마치 양파껍질을 벗기듯 암호를 한층씩 벗겨내고 3개의 암호가 모두 벗겨지면 무작위적 진로 설정이 완료된다. 때문에 어니언 라우팅 기술에 의해 보내진 정보는 발신자나 발신지의 확인이 매우 어렵다. 물론 이때에도 PC 3대로 구성된 네트워크를 하나의 단위로 설정하면 패킷의 추적이 가능하다.
하지만 이 난제는 더 많은 사용자, 즉 PC들을 네트워크에 참여시키는 방식으로 해결된다. 네트워크의 크기가 커질수록 패킷의 발신지 파악은 더 어려워지기 때문이다.
이런 배경 하에서 2006년 토르프로젝트가 출범했고 2007년 아펠바움이 개발자로 고용됐다. 애플의 암호화 소프트웨어를 해킹한 악명(?) 높은 해커였던 그가 한때 펜타곤의 산하조직이었던 곳에 들어왔다는 점이 이상해 보이지만 애당초 토르프로젝트 자체가 다소 잡종적인 성격을 지녔다는 점에서 그리 특이한 일도 아니다.
일례로 구글, 휴먼 라이트워치 등의 기부금 일부를 제외하면 지금도 토르프로젝트 운용에 필요한 대부분의 자금은 미 연방정부로부터 나온다. 현재 토르 프로그램은 누구나 웹사이트(torproject.org)에서 무료로 다운로드 받을 수 있다. 매년 사용자가 늘고 있는데 작년 한 해 동안의 다운로드 횟수만 무려 3,600만회에 달한다.
토르가 이처럼 주목을 받으면서 아펠바움은 최대 재정 지원자인 미 정부와 종종 불편한 관계를 맺기도 한다. 실제로 위키리크스가 토르를 이용해 스웨덴의 자체 서버에서 미군 기밀문서를 공개한 뒤 미 국토안전부 (DHS)는 그를 요주의 인물로 지정했고 6월 14일에는 DHS에 구금된 채 위키리크스와의 연관성을 조사받기도 했다.
구금에서 풀려난 뒤 아펠바움은 트위터에 이 같은 글을 남겼다. "저는 제가 선택한 삶을 그들이 방해하도록 내버려두지 않을 것입니다." 지난해 말부터 이집트, 예멘을 시작으로 본격화된 '아랍의 봄'은 토르의 인기를 대폭 끌어올렸다. 이집트의 경우 정부가 인터넷을 모두 차단한 1월 27일 이전의 며칠 동안 다운로드 수가 5배나 뛰어올랐다.
아펠바움은 얼마 전 이집트를 다시 찾았다. 그리고 아직까지 비준되지 못한 이집트의 인권법안에 대한 사회운동가들의 질문에 답을 하며 바쁜 시간을 보냈다.
how it works: 어니언 라우팅
토르를 실행한 PC들은 세 겹으로 암호화된 정보를 보낼 경로를 무작위 지정해 발송한다. 위 그림에서 사용자[좌측 상단]가 정보 패킷[M]을 보내면 토르 네트워크상의 다른 PC들을 돌아다니다가 암호가 한 꺼풀씩 차례로 벗겨지면서[3-2-1] 목표로 전달된다. 때문에 패킷이 목표로 발신되기 전까지는 암호화된 상태를 유지하게 되며 발신된 후에도 발신지 및 발신자의 추적이 어렵다.
