Tor 히든 서비스란
Tor 히든 서비스 — 어니언 서비스라고도 불리는 — 는 .onion으로 끝나는 주소를 통해 Tor 네트워크 안에서만 접근할 수 있는 웹사이트 또는 애플리케이션입니다. 일반 웹사이트와 달리 공개 IP 주소가 없으며 DNS에 등록되지도 않습니다. 방문자는 Tor를 통해 접속하며, 방문자와 서버 간의 연결은 어느 쪽도 상대방의 위치나 IP를 알 수 없도록 라우팅됩니다.
이는 일반 웹사이트에 프라이버시 조치를 적용하는 것과는 다르고 더 강력한 모델입니다. 어니언 서비스는 익명성이 프로토콜 자체에 내장되어 있습니다. 서버의 위치는 설계상 숨겨지는 것이지, 잘못 구성할 수도 있는 설정에 의존하는 것이 아닙니다. 유출될 IP 주소도 없고, 압수수색 영장을 받을 수 있는 DNS 레코드도 없으며, 누군가가 스캔하거나 공격할 수 있는 호스팅 IP도 없습니다. 주소 자체가 암호화 키에서 파생되므로 위조가 불가능합니다. 이것은 진정한 의미에서 현재 이용 가능한 가장 강력한 익명 호스팅 형태입니다.
히든 서비스를 운영하는 이유
어니언 서비스는 다양한 합법적 운영자들이 사용합니다. 안전한 제보 채널을 운영하는 뉴스 기관, 저널리스트들이 의존하는 SecureDrop 제출 시스템, 검열에 강한 미러를 제공하는 프라이버시 중심 프로젝트, 메시징 및 파일 공유 도구, 그리고 서버 위치를 아무도 알 수 없는 사이트를 원하는 개인들이 이를 활용합니다. 대형 신문사부터 잘 알려진 소프트웨어 프로젝트에 이르는 주요 기관들이 바로 그 견고함 때문에 어니언 서비스를 운영합니다.
그 이유는 세 가지 속성으로 귀결됩니다. 위치 프라이버시: 서버를 IP로 찾을 수 없으므로 지리적 위치 파악, 스캔, 직접 공격이 불가능합니다. 검열 저항성: 네트워크가 차단할 수 있는 IP나 도메인이 없으므로 일반 사이트가 필터링되는 환경에서도 서비스에 접근할 수 있습니다. 종단 간 암호화: Tor의 프로토콜은 인증 기관 없이 기본적으로 연결을 암호화합니다. 이러한 속성 중 하나라도 프로젝트에 중요하다면 히든 서비스를 운영할 가치가 있으며, 이 가이드에서 하나를 구축합니다.
필요한 것
요구 사항은 간단합니다:
- VPS. 어니언 서비스는 리소스 소모가 적어 소형 플랜으로 충분합니다. no-KYC 오프쇼어 VPS를 선택하는 것이 여기서 특별한 이유가 있습니다 — 서비스의 익명성은 서버 자체의 익명성에도 부분적으로 달려 있습니다. 그 이유는 아래에 설명합니다.
- 최신 Linux 설치 — 여기서 사용하는 명령어는 Debian 또는 Ubuntu 기준입니다.
- Tor Browser를 본인 컴퓨터에 설치하여 완성된 서비스에 접근하고 테스트합니다.
도메인 이름은 필요 없습니다 — .onion 주소가 자동으로 생성됩니다 — 그리고 TLS 인증서도 필요 없습니다. Tor가 암호화를 제공하기 때문입니다.
1단계 — 서버 및 웹 서비스 설정
VPS를 프로비저닝하고 SSH로 연결합니다. 콘텐츠를 제공할 서버를 설치합니다 — 간단한 사이트의 경우 apt install -y nginx로 설치하는 nginx와 같은 경량 웹 서버가 적합합니다.
중요한 설정 사항: 웹 서버를 localhost에만 바인딩하세요. 웹 서비스는 서버의 공개 IP가 아닌 [redacted-ip]에서만 수신 대기해야 합니다. Tor가 로컬로 연결하며, 인터넷에서 직접 접근할 수 있는 것은 없어야 합니다. localhost에 바인딩한다는 것은 서버에 공개 IP가 있더라도 웹사이트 자체는 그 IP에서 서비스되지 않는다는 의미입니다 — Tor만이 콘텐츠에 접근할 수 있습니다. 계속하기 전에 curl [redacted-ip]로 사이트가 로컬에서 정상 작동하는지 확인하세요.
2단계 — Tor 설치 및 어니언 서비스 설정
apt install -y tor로 Tor를 설치합니다. 그런 다음 Tor 설정 파일인 /etc/tor/torrc를 편집하여 히든 서비스를 정의합니다. 두 줄이면 됩니다: Tor가 서비스의 키를 저장할 디렉터리를 가리키는 HiddenServiceDir와 가상 포트 80을 로컬 웹 서버에 매핑하는 HiddenServicePort — 예를 들어 HiddenServicePort 80 [redacted-ip].
systemctl restart tor로 Tor를 재시작합니다. 첫 번째 시작 시 Tor는 지정한 디렉터리에 서비스의 암호화 키 쌍을 생성하고 거기서 .onion 주소를 파생합니다. 이 디렉터리는 이제 서비스의 신원을 담고 있습니다 — 안전하게 백업하고 Tor 사용자만 읽을 수 있도록 유지하세요. 이 키를 가진 사람은 누구든 서비스를 사칭할 수 있으며, 잃어버리면 해당 주소는 영원히 사라집니다.
3단계 — .onion 주소 확인 및 테스트
Tor는 HiddenServiceDir 안의 hostname이라는 파일에 주소를 기록합니다. cat으로 읽으면 .onion으로 끝나는 56자의 주소를 확인할 수 있습니다 — 이것이 서비스의 공개 주소입니다.
본인 컴퓨터에서 Tor Browser를 열고 주소를 붙여넣어 로드합니다. localhost 전용 웹 서비스가 Tor를 통해 완전히 제공되어야 합니다. Tor가 회로를 구성하는 동안 첫 번째 연결에는 몇 초가 걸릴 수 있습니다. 이것으로 끝입니다 — 서비스가 라이브 상태이며, Tor를 가진 누구나 접근할 수 있고, 서버 위치는 모든 방문자로부터 숨겨집니다.
4단계 — 익명성을 유지하기 위한 보안 강화
작동하는 어니언 서비스가 자동으로 익명인 것은 아닙니다. 프로토콜은 서버 위치를 방문자로부터 숨기지만, 몇 가지 실수가 이를 무력화할 수 있습니다. 익명성을 유지하는 운영 원칙:
- 모든 것을 localhost에 바인딩하세요. 웹 서버와 데이터베이스 또는 백엔드가
[redacted-ip]에서만 수신 대기하는지 다시 확인하세요. 공개 IP에 실수로 노출된 서비스는 어니언 사이트와 연결되어 익명성을 해칠 수 있습니다. - 식별 가능한 콘텐츠를 제거하세요. 서버 배너, 기본 오류 페이지, 분석 스크립트, 파일 내의 메타데이터 모두 실제 서버를 노출하거나 다른 사이트와 연결시킬 수 있습니다. 서비스가 실제로 전송하는 내용을 감사하세요.
- 익명으로 관리하세요. 관리 목적으로도 Tor를 통해 서버에 접근하세요 — 절대 자신의 홈 IP에서 직접 SSH로 접속하지 마세요. 어니언 서비스는 서버를 숨기지만, 본인의 연결로 그것을 무효화하지 마세요.
- 서버 자체를 익명으로 유지하세요. 이것이 no-KYC 오프쇼어 VPS가 중요한 이유입니다: 모든 예방 조치에도 불구하고 서비스가 호스트와 연결되더라도, 호스트는 계정에 대한 신원 정보를 보유하지 않고 로그를 보관하지 않는 제공업체여야 합니다. 히든 서비스와 익명 서버는 서로를 강화합니다.
- 외부 통신을 하는 모든 것을 비활성화하세요. 아웃바운드 연결을 만드는 소프트웨어 — 업데이트 핑백, 외부 폰트, 서드파티 API — 는 서버를 노출시킬 수 있습니다. 서비스를 자급자족 형태로 유지하세요.
히든 서비스, 일반 웹, 또는 둘 다
반드시 하나만 선택할 필요는 없습니다. 세 가지 합리적인 설정이 있습니다. 히든 서비스 전용 사이트가 가장 프라이빗한 형태입니다 — 일반 웹상의 흔적이 전혀 없어, 위치를 파악할 수 없어야 하는 제보 채널이나 서비스에 이상적입니다. 어니언 미러가 있는 일반 웹 사이트는 일반 독자에게 정상적으로 서비스하면서 원하는 사람에게는 검열에 강하고 프라이빗한 경로를 제공합니다 — 이것이 대형 뉴스 기관들이 하는 방식입니다. 그리고 프로토콜 수준의 위치 프라이버시가 필요하지 않을 때는 익명으로 웹사이트를 호스팅하는 방법에 관한 가이드에서 다루는 일반 웹 전용 사이트가 더 간단합니다.
가장 강력한 익명성을 위해서는 no-KYC 오프쇼어 VPS에서 히든 서비스 전용으로 운영하는 것이 답입니다: 서버에는 연결된 신원이 없고, 서비스에는 찾을 수 있는 IP가 없으며, 전체 시스템은 Tor를 가진 누구나 접근할 수 있지만 아무도 위치를 파악할 수 없습니다. 위의 원칙으로 설정하면 마케팅 문구가 아닌 프로토콜의 속성으로서 진정한 익명 호스팅이 됩니다.