미 국토안보부(NSA)의 국내외 시민 및 정치 지도자 감시 활동에 보안 업체 RSA가 가담한 것으로 나타나 충격을 주고 있다. 미 NSA가 미국표준기술연구소(NIST)에 불법 프로토콜을 삽입하기 위해 보안업체 RSA에 1000만달러를 지불한 것으로 로이터가 주장했다.
20일(현지시각) 로이터는 NSA와 RSA의 비밀 거래를 폭로했다. 로이터에 따르면 RSA는 NSA의 요구대로 백도어를 만들어주었는데 ‘B세이프’라는 자사의 암호화 기반 보안 소프트웨어 제품 내에 취약한 알고리듬을 포함시킨 것이다. 개발 초기에 이 알고리듬은 NIST의 인증을 획득했고 RSA는 자사의 암호화 제품이 국가가 인증한 프로토콜만 사용했다고 주장할 수 있다.
또 B세이프의 암호화 기술은 근본적으로 결함이 있는 암호화 알고리듬이기 때문에 NSA가 필요하면 언제든 뒤엎을 수 있었다. 이 악의의 프로그램은 DUAL_EC_DRBG로 알려졌다.
원래는 무작위로 숫자를 생성해야 하지만 고정된 동일한 숫자들을 다수 알고리듬에 내장하고 있다. 이 숫자들을 알고 있는 사람이라면 누구나 암호문을 해독할 수 있다. 이는 스노든의 문서에서 확인된 기능으로, NSA에 의해 설치된다.
또 이 알고리듬은 다른 무작위 숫자 생성기들보다 대단히 느려서 대부분의 암호화 프로그램들이 프로그램을 포기하게 만든다. 그러나 B세이프는 폐쇄형 소스 프로토콜을 기반으로 하고 있기 때문에 RSA는 비밀리에 효과적으로 DUAL_EC_DRBG를 디폴트 설정으로 구현할 수 있다.
로이터의 보도 이후 RSA는 백도어를 구현했다는 혐의를 부정했다. RSA 대변인은 “고객의 이익을 최우선으로 생각하며 RSA 설계나 제품에 어떤 백도어도 가능하지 않다”고 말했다. 또 “RSA 제품의 기능들에 대해선 전적으로 RSA가 결정한다”고 덧붙였다. RSA는 지난 2006년 EMC에 인수됐다.
전자신문인터넷 테크트렌드팀
박현선기자 hspark@etnews.com
