미국의 대형 보안 업체가 미국 국가안보국(NSA)의 해독 가능성을 우려, 암호화 알고리즘 사용 금지를 권고했다. 이는 NSA가 정보 수집을 위해 실제 IT제품에도 영향을 미쳤다는 의미여서 향배가 주목된다.
24일 외신 및 업계에 따르면 EMC 보안사업본부인 RSA는 최근 자사 고객들에게 이메일을 보내 `Dual EC DRBG`로 알려진 암호화 알고리즘 표준을 쓰지 말 것을 통보했다. RSA는 미국 국립표준기술국(NITS)의 권고에 따른 결정이라며 이 같은 내용을 자사 공식 블로그에도 게재했다. 이 기술은 RSA의 `BSAFE`와 `데이터 프로텍션 매니저`라는 제품에 적용됐다.
RSA는 `Dual EC DRBG` 알고리즘이 NSA의 정보 수집과 연관됐는지는 언급하지 않았다. 하지만 미국 NSA가 암호화 기술의 취약점을 이용, 인터넷 암호 체계를 해독하는 프로그램을 운용해왔다는 폭로가 나온 뒤 내려진 조치다.
뉴욕타임즈는 이달 초 미 중앙정보국(CIA) 요원 에드워드 스노든의 폭로를 토대로 NSA가 2000년부터 인터넷 개인정보 보안의 기초인 암호체계 무력화 프로그램을 운영해 왔다고 보도했다. NSA는 이를 위해 미 국립기술표준원(NIST)이 인터넷 보안 표준을 수립할 당시 자신들이 해독할 수 있는 기술 채택을 유도했으며 현재 이 기술이 표준으로 사용되고 있다고 전했다.
보도 후 논란이 일자 NIST는 “기술 표준에 취약점이 발견되면 전문가들과 즉시 문제 해결에 나서겠다”고 밝힌 바 있는데, 미국 정보 당국의 인터넷 감시 파문이 정보 수집을 넘어 기존의 기술 근간도 흔드는 양상으로 번지고 모습이다.
한편 한국EMC는 이번 권고와 관련해 국내 고객들과는 무관한 내용이라고 전했다.
윤건일기자 benyun@etnews.com
