![[오늘의 운세] 6월 4일](https://pds.joongang.co.kr/news/component/htmlphoto_mmdata/202406/04/9866f29c-fc4e-4fd9-ad4a-3d0a95d53514.jpg.thumb.jpg/_ir_432x244_/aa.jpg)
지난 21일 두 명의 체코 연구자들에 의해 대중적인 디지털 서명 표준인 오픈PGP(OpenPGP)에서 발견된 결함이 확인됐으나 오픈PGP 그룹의 회장인 필 짐머만은 이 결함이 비교적 경미한 것이라고 밝혔다.
그는 "이것은 실제적인 공격이 아니"라며, "당신의 적수가 당신의 개인 키를 수정할 수 있어야 한다. 그 말은 그들이 당신 컴퓨터에 접근할 수 있어야 한다는 의미"라고 밝혔다. 일단 공격자가 접근하면, 시스템을 모니터링할 수 있는 방법은 그것 말고도 많다. 바로 그 점이 이런 공격을 대부분 무의미한 것으로 만든다고 짐머만은 설명했다.
두 명의 체코 연구자들은 지난 20일 광범위하게 사용되는 암호화 및 디지털 서명 표준인 오픈PGP에서 결함을 발견했다고 밝혔다. 하지만 그들은 기술적인 세부사항에 대해서는 침묵을 지켜, 많은 보안 전문가들이 과연 그런 결함이 실제로 존재하는지 의심하도록 만들었다.
두 명의 연구자들인 블라스티밀 클리마와 토마스 로사는 체코의 정보 기술 회사인 ICZ 그룹 웹 사이트에 발표문을 올렸다. 하지만 이 결함에 대한 보고서는 아직 발표되지 않은 상태다.
두 명의 연구자들은 지난 20일 CNET 뉴스닷컴이 논평을 요구하며, 보낸 e-메일 메시지에 회신하지 않았다.
오픈PGP 표준은 메시지를 암호화시키거나 내용이 변경되지 않았다는 것을 확실하게 해주는 디지털 서명을 실현하기 위해 네트워크 어소시에이츠의 PGP 및 GNU 프라이버시 가드(Privacy Guard)를 비롯한 많은 프로그램에서 사용되고 있다. 이 표준은 두 가지 코드 또는 ''키''를 사용해 메시지를 암호화하고 해독한다. 다른 사람들이 알고 있는 공개 키와 반드시 비밀이 보장돼야 하는 개인 키가 바로 그것이다.
언론 발표에 따르면, 이 결함은 공격자가 암호화된 키를 수정해 그 키로 디지털 서명된 메시지를 입수함으로써 개인 키를 알 수 있도록 만든다. 이 키는 간단한 프로그램을 통해 공격자에게 노출된다. 그 후 이 키는 새로운 메시지에 서명하는데 사용될 수 있어, 공격자에게 전자 문서를 위조할 수 있는 권한을 부여하게 된다.
1991년 원래의 PGP(Pretty Good Privacy) 프로그램을 만들었던 짐머만이나 현재 PGP 상표권을 소유하고 있는 네트워크 어소시에이츠 엔지니어들 모두, 이 연구자들로부터 좀더 자세한 사항을 알아낼 수 없었다.
하지만 오픈PGP 그룹은 이번 발표에서 설명한 것과 같이 공격을 재현할 수 있었고 그런 결함이 실제로 존재한다는 사실을 확인했다.
짐머만은 "우리는 그 공격의 내용을 파악했다. 그들은 우리에게 언질도 주지 않고 무역박람회에서 느닷없이 이 문제를 제기하고 있다"고 밝혔다.
짐머만과 네트워크 어소시에이츠는 ICZ 그룹이 사람들의 이목을 끄는 발표를 통해 사람들의 보안을 위험에 빠뜨렸다며 비난했다.
네트워크 어소시에이츠 PGP 엔지니어링 담당 부사장인 마크 맥카들은 "ICZ 그룹이 웹을 통해 보안에 문제를 거론한 것은 우리가 연구자들과 벤더들에게 보안 문제를 다루도록 권장하는 행동이 아니다"라고 말하면서, 이번에 발표된 정보를 기반으로 그들의 주장을 확인하거나 정체를 밝히는 것은 불가능하다고 덧붙였다.
네트워크 어소시에이츠는 해당 결함을 확인해주지는 않았지만, 맥카들은 회사측이 이 문제를 심각하게 받아들이고 있다고 밝혔다.
그는 "우리는 이러한 하나 하나의 문제들에 대해 매우 심각하게 고려하고 있다. 흥분한 개인들이 PGP 암호를 풀었다고 말했던 예는 얼마든지 많지만 나중에는 사실이 아니라는 것이 밝혀진다. 하지만 우리는 스스로 그것이 사실이 아니라는 것을 입증할 때까지 이를 문제로서 가정할 것"이라고 밝혔다.
Robert Lemos (ZDNet News)
