"오픈소스 암호화 SW 버그 디지털 서명 훼손"

　오픈소스 버그가 디지털 문서·사인 등에 대한 해커의 공격에 결정적으로 취약한 것으로 드러났다.

　C넷은 오픈소스 암호화 SW에 있는 버그가 해커들로 하여금 디지털인증된 메시지를 변조하거나 서명을 위조할 수 있도록 하고 있는 것으로 드러났다고 보도했다.

　GnuPG 그룹의 최신 경고문을 인용한 이 보도에 따르면 이번 결함은 오픈 소스 GNU 프라이버시 가드(GnuPG 혹은 GPG) SW에서 발견됐다.

　이 SW는 ‘프리티 굿 프라이버시’ 암호화 기술에 대한 무료 대체 기술로, 프리BSD·오픈BSD 등 많은 오픈 소스 운용체계(OS) 및 리눅스 보급판과 함께 사용된다.

　따라서 이 결함은 e메일 통신이나 디지털 서명 파일을 입증하기 위해 오픈소스 암호화 기술을 사용하는 사람들이나 이 메시지의 수신자 및 파일의 사용자에게 위협이 될 수 있다.

　C넷은 이에 따라 리눅스와 유닉스 배포자들은 그들의 보안 권고문에서 종종 GPG 디지털 서명을 사용해 그 발표가 조작된 것이 아님을 증명하는 방식을 사용하고 있다고 전했다.

　이 결함을 발견한 타비스 오만디 젠투리눅스 연구원은 “공격자들이 e메일로 발송된 보안 경고문에 정보를 추가하거나 SW 업데이트에 디지털 서명을 위조할 수 있다”며 “이 취약성이 디지털 서명의 가치를 위협할 수 있다”고 지적했다.

　정소영기자@전자신문, syjung@