Nordic 석조 지하 관측소에 있는 NordBastion 북극곰 마스코트가 앞에 큰 진한 보라색 양파 모양의 Tor 심볼을 띄우고 있으며, 그 레이어들 주변으로 사이버 그린의 매트릭스 코드 비가 내리는 모습
방법 안내 · 셀프 호스팅·읽기 10분 · 실습 20분

Tor v3 히든 서비스를 직접 호스팅하세요.
본인의 .onion을 갖기까지 20분.

VPS 프로비저닝부터 Tor 네트워크를 통해서만 접근 가능한 56자 v3 어니언 주소 활성화까지 5단계. Debian 12, 공식 Tor Project 저장소에서 테스트됨.

5단계
  1. 01

    프로비저닝

    Nordic VPS

  2. 02

    설치

    공식 Tor 패키지

  3. 03

    구성하기

    torrc에 두 줄 추가

  4. 04

    주소 가져오기

    cat .../hostname

  5. 05

    보안 강화

    권한 + 격리

Step 01 · 프로비저닝

어떤 Nordic 거점이든 작동합니다. 지리는 Tor가 담당합니다.

클리어넷 사이트와 달리 히든 서비스는 실제로 어느 물리적 거점에 위치하는지에 크게 영향받지 않습니다. 클라이언트는 3개의 Tor 릴레이를 거쳐 도달하므로 거점까지의 지연 시간이 사용자 경험에 큰 영향을 주지 않습니다. 다른 워크로드가 있는 거점을 선택하거나 위협 모델에 가장 잘 부합하는 사법권을 선택하세요(/guides/nordic-jurisdictions-for-privacy-hosting/ 참조).

Sentinel 등급(월 $5.90)은 개인 사이트, Tor 친화적 SSH 엔드포인트, 또는 소규모 Mastodon onion 미러를 호스팅하는 히든 서비스에 충분합니다. 더 큰 히든 서비스(Mastodon 메인 인스턴스, 파일 공유 등)에는 추가 RAM과 디스크를 위해 Garrison 또는 Ravelin이 적합합니다.

2단계 · 설치

공식 Tor Project 저장소를 사용합니다. 배포판 패키지가 아닙니다.

배포판 패키지 Tor는 업스트림보다 수개월 뒤처지는 경우가 많아 보안 수정 사항이 누락될 수 있습니다. Tor Project 공식 apt 저장소를 사용하세요:

apt install -y apt-transport-https gpg curl
curl -fsSL https://deb.torproject.org/torproject.org/A3C4F0F979CAA22CDBA8F512EE8CBC9E886DDD89.asc \
  | gpg --dearmor -o /usr/share/keyrings/tor-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/tor-archive-keyring.gpg] \
  https://deb.torproject.org/torproject.org bookworm main" \
  > /etc/apt/sources.list.d/tor.list
apt update
apt install -y tor deb.torproject.org-keyring

데몬이 실행 중인지 확인하십시오: systemctl status tor — Active (running)으로 보고되어야 합니다. 기본 구성은 인바운드 포트를 열지 않고 Tor를 릴레이 전용 클라이언트로 실행합니다. 다음 단계에서 이를 히든 서비스로 전환합니다.

단계 03 · 구성

torrc의 두 줄. 그게 전부입니다.

/etc/tor/torrc를 열고 다음을 추가합니다.

HiddenServiceDir /var/lib/tor/my_service/
HiddenServicePort 80 127.0.0.1:80

두 가지를 알아 두세요. (1) HiddenServiceDir은 Tor가 서비스의 개인 키(.onion 주소를 정의하는 비밀)를 저장하는 위치입니다. Tor는 첫 실행 시 디렉터리를 생성하며, 내용을 직접 편집해서는 안 됩니다. (2) HiddenServicePort는 onion 상의 공개 포트를 로컬 포트에 매핑합니다. 여기서는 onion의 80번 포트를 127.0.0.1:80(nginx, Apache 등 로컬에서 수신 중인 모든 것)으로 보냅니다. 추가 포트(443의 HTTPS, 22의 SSH 등)를 위해 HiddenServicePort 라인을 더 추가하세요.

로컬 대상을 무엇에 바인딩하든(nginx, sshd, gitea), 0.0.0.0이 아닌 127.0.0.1에서 수신 대기하도록 하십시오. 0.0.0.0에 바인딩된 서비스는 공용 IP에서도 도달 가능하며, 이는 hidden-service 전용 전제를 무력화합니다.

Step 04 · 주소 받기

Tor를 재시작합니다. hostname 파일을 확인하세요.

Tor를 재시작하면 Tor가 v3 키 쌍과 주소를 생성합니다:

systemctl restart tor
cat /var/lib/tor/my_service/hostname
# example output:
# 7f43hp...long-string...7q.onion

.onion으로 끝나는 56자리 base32 문자열이 사용자의 히든 서비스 주소입니다. /var/lib/tor/my_service/hs_ed25519_public_key의 Ed25519 공개 키에서 파생됩니다. 주소를 아는 누구나 Tor Browser(또는 Tor 인식 클라이언트)를 통해 서비스에 접근할 수 있습니다. 테스트하려면 Tor Browser를 열고 주소를 붙여넣은 뒤 엔터를 누르세요. 웹 서비스가 응답해야 합니다.

/var/lib/tor/my_service/의 내용을 안전한 장소에 백업하십시오. 키를 잃으면 .onion 주소를 잃게 됩니다 — 복구할 수 없습니다. 키를 공유하면 보유한 누구든 어떤 서버에서도 동일한 .onion을 실행할 수 있습니다.

단계 05 · 보안 강화

권한, 격리, 배너 제거. 지루하지만 중요한 부분입니다.

1. 서비스가 root가 아닌 debian-tor 사용자로 실행되는지 확인합니다. Debian/Ubuntu에서는 apt install이 이를 처리합니다. 확인: ps aux | grep tor — uid는 0이 아니어야 합니다.

2. 키를 잠급니다. chmod 700 /var/lib/tor/my_service/ — debian-tor만 읽을 수 있습니다. 디렉터리가 모두에게 읽기 가능한 상태이면 Tor는 시작을 거부합니다.

3. 서버 배너를 제거합니다. nginx: http 컨텍스트에서 server_tokens off;. Apache: ServerTokens Prod, ServerSignature Off. 웹 앱: X-Powered-By를 제거하고, 리버스 프록시가 허용하면 Server: 를 비워두십시오. 목표는 .onion으로부터의 HTTP 응답이 IP나 호스트네임을 노출하지 않도록 하는 것입니다.

4. 아웃바운드 DNS 누출을 비활성화합니다. 웹 앱은 요청 시 외부 도메인 이름을 확인해서는 안 됩니다. 그렇지 않으면 해당 DNS 쿼리가 클리어넷을 통해 VPS를 떠나게 됩니다. 발신 호출에 Tor의 SOCKS 프록시(127.0.0.1:9050)를 사용하도록 앱을 설정하십시오.

5. 클리어넷 사이트에 Onion-Location을 설정합니다. 클리어넷 nginx 설정에 이 헤더를 추가하십시오: add_header Onion-Location http://<your-onion>.onion$request_uri; — Tor Browser 사용자는 이제 어니언으로 자동 리디렉션하라는 메시지를 받습니다.

FAQ · Tor

질문들, 답변됨.

처음 히든 서비스를 운영하는 사람이 묻는 8가지 질문.

v3 onion 주소란 무엇이며 v2와 어떻게 다릅니까?

v3 어니언 주소는 Ed25519 공개 키에서 파생된 .onion으로 끝나는 56자의 base32 문자열입니다. v2(2021년부터 Tor에서 더 이상 사용되지 않으며 비활성화됨)는 잘린 RSA-1024 키에서 16자의 base32를 사용했습니다 — 짧지만 암호학적으로 훨씬 약합니다. v3는 더 강한 키(Ed25519), 더 나은 디렉터리 프라이버시(서비스 열거 없음), 클라이언트 인증 지원을 갖추며, 현재 운영 중인 유일한 버전입니다. 16자 .onion 주소를 보면 이미 죽은 주소입니다.

Tor 히든 서비스가 서버 IP를 유출합니까?

올바르게 구성된 경우에는 그렇지 않습니다. Tor는 VPS에서 세 개의 Tor 릴레이(가드, 미들, 랑데부)로 아웃바운드 연결을 하며, VPS IP로 직접 인바운드 연결을 허용하지 않습니다. 히든 서비스는 Tor 회로를 통해서만 접근됩니다. IP를 누출하는 잘못된 설정: 공개 포트에서 서비스 실행(127.0.0.1에 바인딩해야 함), 호스팅된 웹 앱의 DNS 누출, 서버 소프트웨어 배너가 아웃바운드 응답에 IP를 포함하는 경우. 아래의 표준 체크리스트가 각각을 다룹니다.

VPS 업체가 히든 서비스의 내용을 볼 수 있나요?

VPS 제공업체는 귀하의 VPS에서 발신되는 Tor 트래픽을 볼 수 있습니다 — 그들은 "이 서버가 Tor를 실행한다"는 것은 알지만 어떤 콘텐츠에 도달하는지는 모릅니다. 외부에서는 히든 서비스에 무엇이 있는지 볼 수 없으며, 어떤 VPS 제공업체와 마찬가지로 내부에서 디스크에 무엇이 있는지는 볼 수 있습니다. NordBastion은 고객 디스크에 접근하지 않지만, 전체 디스크 암호화로 제어하지 않는 서버는 운영자가 이론적으로 읽을 수 있는 서버입니다. 절대적인 히든 서비스 프라이버시를 위해서는 귀하만 가진 암호 구문으로 LUKS를 실행하십시오 — Servury는 자체 소유 하드웨어에서 이를 기본 제공으로 패키징하지만, 다른 곳(NordBastion 포함)에서는 고객이 설치할 수 있도록 남겨둡니다.

브랜드 이름으로 시작하는 것과 같은 맞춤형 .onion 주소를 어떻게 얻습니까?

mkp224o를 사용하세요. 이는 Ed25519 키 쌍을 무차별 대입해 결과로 나오는 v3 주소가 지정한 접두사로 시작할 때까지 시도하는 오픈소스 도구입니다. 4글자 접두사는 최신 노트북에서 몇 분, 7글자 접두사는 몇 시간, 10글자 이상은 전용 하드웨어에서 수 주에서 수 개월이 걸립니다. 결과로 나오는 onion 주소는 암호학적으로 유효하며, 무차별 대입은 단지 해시된 공개 부분이 원하는 문자로 시작하는 키를 찾을 뿐입니다.

히든 서비스의 속도는 어느 정도입니까?

Clearnet보다 느립니다. Tor는 3개의 릴레이를 거치므로 왕복마다 약 300-800ms의 지연이 추가됩니다. 처리량은 선택된 회로에서 가장 느린 릴레이에 의해 병목됩니다. 정적 콘텐츠의 경우 평균 1-5 MB/s, 대화형 워크로드의 경우 그보다 적은 수치를 예상하십시오. Tor는 서비스 측 익명성이 필요하지 않은 경우를 위해 "HSDir bandwidth" 최적화와 HiddenServiceSingleHopMode를 도입했습니다.

HiddenServiceSingleHopMode를 사용해야 하나요?

위협 모델이 서비스 측이 공개적으로 알려져 있음을 수용하는 경우에만 해당됩니다(예: "이 onion은 Iceland의 내 서버에서 운영된다"고 이미 공표한 경우). 싱글 홉 모드는 서비스 측에서 guard와 middle 릴레이를 건너뛰고 랑데부에 직접 연결하므로 더 빠르지만(지연 시간 200~400ms 감소), 서비스 측 IP는 보호하지 않습니다. 클라이언트 측에서는 여전히 완전한 3홉 프라이버시를 누립니다. 서버 측 익명성이 필요한 히든 서비스라면 비활성화 상태(기본값)로 두세요.

클리어넷 사이트와 동일한 VPS에서 히든 서비스를 실행할 수 있나요?

예, 그리고 많은 사이트가 그렇게 합니다. Clearnet 웹 서버는 포트 80/443에서 공용 IP를 수신 대기하며, Tor hidden service는 동일한 포트에서 127.0.0.1의 동일한 웹 서버를 가리킵니다. 둘 다 동일한 콘텐츠에 도달합니다. 두 가지 운영 참고사항: (1) 웹 서버가 헤더(Server, X-Real-IP, 호스트네임 배너)에 공용 IP를 새기지 않도록 하십시오. (2) Tor Browser 사용자가 onion 주소로 자동 리다이렉트되도록 clearnet 사이트에 Onion-Location HTTP 헤더를 설정하십시오.

Vanguards / Vanguards-lite는 무엇인가요?

Vanguards는 서비스 측에서 가드 릴레이를 고정하는 Tor 애드온으로, 공격자가 서비스가 교체하는 가드를 관찰해 익명성을 제거하는 공격 유형을 완화합니다. Vanguards-lite는 Tor 데몬 0.4.7부터 내장되어 있으며, 현재 Tor 버전의 히든 서비스에 기본적으로 활성화되어 있습니다 — 혜택을 받기 위해 별도 설정이 필요하지 않습니다. 전체 Vanguards 애드온은 대부분의 개인 히든 서비스에는 과도하며, 주로 고가치 대상에 유용합니다.

준비됨

VPS를 주문하고 서비스를 onion 위에 올리세요.

VPS 카탈로그 보기 그다음: VPS 강화 또는: WireGuard VPN

마지막 검토일 · 2026-05-20 · 검증됨 · Debian 12 · Tor 0.4.8+

Part of the series

Anonymous VPS hosting in 2026 — the cluster.

This guide is one spoke of a larger series. The pillar walks the three privacy layers end to end — the sibling spokes below dive into the specifics.

핵심 가이드
Read the pillar · Anonymous VPS hosting in 2026

Three independent layers — signup, payment, network — explained, legal context included, common mistakes flagged.

Open the pillar
Self-host · network
WireGuard VPN on a VPS

Your own WireGuard tunnel — server config, peer keys, kill-switch.

Continue →
Fundamentals
No-KYC VPS, explained

What “no KYC” actually means — and what it does not.

Continue →
Fundamentals
Nordic jurisdictions for privacy hosting

Why Sweden, Finland, Norway and Iceland — the legal floor of each.

Continue →
결제
How to pay a VPS with Monero

XMR end-to-end — wallet, transfer, confirmations, change.

Continue →