커지는 암호화의 힘...메일·웹사이트로 확산

애플-FBI가 테러 용의자가 쓴 아이폰 잠금해제를 둘러싼 법정공방까지 벌어고 있는 가운데 테러감시를 위해 암호화 기능을 약화시키거나 백도어를 심어야한다는 주장에 정면으로 반박하는 프로젝트들이 나오고 있어 눈길을 끈다.

미국 국가안보국(NSA)의 전방위 감시활동을 폭로했던 에드워드 스노든도 썼던 것으로 알려진 암호화 메일 서비스 '라바비트'를 만들었던 개발자들이 새롭게 추진하고 있는 '다크메일', 오픈소스로 모든 웹사이트에 손쉽게 암호화 통신을 적용할 수 있도록 돕는다는 취지로 등장한 '렛츠 인크립트(Let's Encrypt)' 등이 그것이다. 심지어 전통적인 보안회사 시만텍까지 최근 '인크립션 에브리웨어'라는 플랫폼을 가동해 보다 웹호스팅 회사들이 보다 손쉽게 자사에서 관리하고 있는 웹사이트들에 대한 암호화 통신(TLS) 기능을 적용할 수 있도록 돕는다는 계획이다.

■라바비트의 후계자 '다크메일'

먼저 약 40만명 이상 사용자를 확보하고 있었던 암호화 이메일 서비스 라바비트의 후속 프로젝트인 다크메일을 주목 할 만하다. 스노든까지 사용했던 것으로 알려진 라바비트는 2년 전 FBI의 요청으로 최근 애플이 겪는 것과 유사한 법원명령을 받는다. 수사에 필요하다며 암호화 메일 서비스에 대한 관리자용 개인키를 내놓으라는 요청을 받은 것이다. 이후 라바비트는 결국 FBI의 요구를 수용할 수 없다면서 서비스 중단을 선언한다.

라바비트 창업자인 라이다 래비슨과 동료 개발자들은 또 다른 이메일 암호화 서비스인 PGP를 개발했던 필 짐머만, 보안기능을 강조한 스마트폰인 블랙폰을 개발, 공급하고 있는 사일런트서클 최고경영자(CEO)인 마이크 얀케, 공동창업자인 존 칼라스 등의 지원을 받아 지난해 11월부터 '다크메일 테크니컬 얼라이언스'라는 프로젝트를 가동했다.

이 프로젝트는 종단 간 암호화 기술(E2E)을 적용한 암호화 이메일 서비스를 제공하는 것을 목표로 한다. 이들이 개발한 서비스는 '다크 인터넷 메일 환경(DIME)'이라 부르는 것으로 기존 이메일 서버나 이메일 서비스와 연동해 사용할 수 있다. 이러한 방법으로 일반 이메일을 암호화해 송수신하는 방법으로 프라이버시를 보호하고, 감시활동으로부터 자유롭게 하겠다는 것이다. 이 과정에서 기존에 사용해왔던 이메일 서버가 다크메일전송프로토콜(DMTP)과 다크메일접속프로토콜(DMAP)을 활용하게 된다.

■구글-페북-모질라도 OK한 '렛츠 인크립트'가 뭐길래?

전 세계 웹사이트에 암호화 통신 기능을 무료로, 쉽고 빠르게 설치할 수 있도록 지원하자는 취지로 나온 렛츠 인크립트도 주목할만한 프로젝트다.

이 프로젝트는 미국 캘리포니아 소재 공익법인인 인터넷시큐리티리서치그룹(ISRG)이 제안해 구글, 페이스북은 물론 모질라 재단, 리눅스 재단, 시스코 시스템스, 아카마이, 전자프론티어재단(EFF), 인증서 발급기관인 아이덴트러스트 등이 참여하면서 판이 커졌다. ISRG는 인터넷을 통한 안전한 커뮤니케이션을 위해 필요한 재정적, 기술적, 교육적 장벽을 줄이는 것을 목표로 하는 공익법인이다.

위키피디아에 따르면 이 프로젝트는 2012년 모질라 재단에서 근무했던 조시 아스, 에릭 레스콜라라는 개발자가 EFF 소속 피터 에커슬리, 미시건대 알렉스 할더만이 초기 개발을 시작해 ISRG의 지원을 받았던 2013년 5월부터 법인 형태로 프로젝트를 수행해 왔다.

이 프로젝트가 일반인들에게 공개된 것은 2014년 11월18일이며, 지난해 1월28일에는 자동화된 인증 관리 환경(ACME)라는 프로토콜을 표준화 그룹인 IETF에 제안하기도 했다.

그 뒤 지난해 12월3일부터 이 기술에 대한 공개베타서비스가 시작됐다. 아직은 안정성과 보안성에 대해 검토가 필요하지만 무료로, 별다른 설정을 할 필요없이 암호화 통신을 쓸 수 있도록 한다는 점에서 관심을 받고 있다.

이와 관련 국내 보안 커뮤니티 그룹인 시큐리티플러스는 이 기술에 대한 사용자 가이드북 한글판 v1.0을 내놓기도 했다.(관련링크)

가이드북에 따르면 렛츠 인크립트는 "안전한 데이터 전송에 사용되는 HTTPS 사용률을 높이고자, HTTPS 구성에 필수적인 인증서 관리 서비스를 무상으로 배포하는 오픈소스 프로젝트"로 정의된다.

공개된 사용자 가이드북 한글판 v1.0은 페도라와 데비안 리눅스의 아파치 웹서버를 기준으로 작성됐으며, 시큐리티플러스는 현재 작업 중인 v2.0에서는 NGINX, IIS의 웹서버와 라즈베리파이에서 어떻게 구성 및 사용하는지에 대한 내용을 추가할 예정이다.

■"HTTPS 무료로 쉽게 사용할 수 있도록 할 것"

렛츠 인크립트 프로젝트는 기존 인터넷 프로토콜인 HTTP의 낮은 보안성을 극복하기 위해 등장한 암호화 통신 프로토콜인 HTTPS를 보다 쉽게, 무료로 쓸 수 있게 돕는 역할을 한다.

HTTPS는 완벽하지는 않지만 기본적인 데이터 암호화를 통해 공격자의 패킷 도감청을 막고, 데이터가 위변조 됐는지 여부를 확인하고, 사용자와 웹사이트가 서로 믿을만한 곳인가를 증명할 수 있게 돕는다.

다만 이 프로젝트는 HTTPS를 활용하기 위해 인증기관(CA)으로부터 별도 인증서를 발급받아야하고, 이 과정에서 매년 연간 20만원~40만원 수준의 수수료를 지급해야하는 등 어려움 때문에 보급이 더뎠다고 설명한다. 보안회사 웹센스가 발표한 보고서에 따르면 여전히 HTTPS 프로토콜은 전체 웹 프로토콜 중 25%에 불과한 실정이다.

■90일에 한번씩 재인증...인증서 신청자 확인 못하는 점은 한계

아직까지 공개베타를 진행하고 있는 만큼 렛츠 인크립트 프로젝트에 대해서도 보완해야할 점들이 남아있다. 이러한 기술을 활용해 발급받은 인증서는 90일에 한번씩 재인증을 해줘야만 사용할 수 있다.

더 큰 과제는 벌써부터 렛츠 인크립트가 대상 웹사이트에 대한 인증서를 발행하는 과정에서 해당 웹사이트가 실제로 인증서 발급을 요청한 것인지 확인하지 않는다는 점을 악용해 악성코드를 유포하려는 시도가 발견됐다는 점이다.

보안회사 트렌드마이크로가 운영하는 공식 블로그는 일본 내 사용자가 렛츠 인크립트를 통해 암호화 통신하는 웹사이트에 접속했다가 금융정보 해킹툴로 악명 높은 '앵글러 익스플로잇 키트(Angler Exploit Kit)'에 감염시키려는 시도를 확인했다고 밝혔다.

공격자는 해당 웹사이트의 도메인 주소에 대한 서브 도메인 주소를 몰래 만든 뒤 이곳에 악성코드를 올렸다. 그 뒤에는 렛츠 인크립트를 통해 암호화 통신을 하는 방법으로 보안에 문제가 없는 것처럼 위장했다.

■오픈소스프로젝트 한계 극복해야

과거 PGP와 익명 네트워크인 토르에 더해 최근 다크메일, 렛츠 인크립트까지 오픈소스 형태로 프라이버시를 보호할 수 있는 안전한 암호화 이메일, 암호화 통신을 적용한 웹사이트가 얼마나 많은 사용자들을 확보할 수 있을지는 아직 의문이다.

오픈소스프로젝트 특성상 소스코드가 공개돼 자유롭게 여러 방식으로 개발을 진행할 수 있지만 그만큼 해당 프로젝트를 진행하던 중 나온 취약점 등에 대해 책임있게 관리하기 어렵다는 점은 한계로 꼽힌다. 과거 오픈SSL에서 발견된 취약점인 '하트블리드'에 대한 우려가 높았던 점을 보면 그렇다.

관련기사

국내서는 정부의 감시활동에 반발감을 느낀 사용자들이 텔레그램과 같은 보안기능을 강조한 모바일 메신저로 대규모로 이동할 만큼 반발감이 높은 상황에서 이러한 프로젝트를 적용하는 것도 한번쯤 고려해볼만한 대안 중 하나가 될지도 모른다.

중요한 것은 오픈소스 형태로 진행되는 프로젝트들이 전 세계에 유통되는 이메일이나 웹사이트에 대한 보안성을 높여 프라이버시를 보호하면서도 안전한 웹환경을 조성하겠다는 취지는 좋지만 그만큼 프로젝트 자체에 대한 보안성을 높이는 작업에 힘써 제2의 '하드블리드' 사태를 만들지 않도록 관리해야한다는 점이다.