이메일을 암호하하고 서명하는 데 널리 쓰이는 오픈소스 보안 소프트웨어인 'GnuPG'에 외부인이 서명을 위조할 수 있는 치명적인 결함이 숨어 있었던 것으로 드러났다.
GnuPG(GNU 프라이버시 가드)는 1991년 개발된 암호화 기술인 PGP를 기반으로 만들어진 암호화 소프트웨어다. PGP 개발자 중 한 명인 필 짐머만이 1997년 제안해 통과된 오픈소스 암호화 기술인 오픈PGP를 기반으로 한다.
GnuPG는 리눅스 진영에서 이메일 서명은 물론 파일 암호화 등 폭넓은 분야에서 쓰였다. 소프트웨어 버전 관리 시스템인 Git도 각종 서명에 GnuPG를 활용한다.
그러나 GnuPG 소프트웨어에는 다른 사람의 공개키를 이용해서 마치 그 사람이 서명한 것처럼 속일 수 있는 버그가 숨어 있었다.
CVE-2018-12020 으로 분류된 이 문제는 버그나 비정상적인 동작이 발견됐을 때 이를 확인하기 위한 '자세히'(verbose) 모드에 숨어 있었다. 이 모드를 이용하면 다른 사람의 공개키를 이용해서 마치 그 사람이 서명한 것처럼 속일 수 있다.
관련기사
- 아이폰·맥북서 암호화폐 채굴 못한다2018.06.18
- 탈레스, 데이터 암호화 솔루션 클라우드 지원 확대2018.06.18
- 케이사인, RSA서 암호화폐지갑·머신러닝백신 선봬2018.06.18
- "와이파이 이용해 암호화폐 채굴하는 해킹 유행"2018.06.18
이 문제를 공개한 마커스 브링크만은 "이 문제는 1998년에 나온 GnuPG 0.2.2 버전부터 숨어 있었다"며 "GnuPG에 숨은 문제는 핵심 인프라에 큰 영향을 미칠 잠재력을 지녔다"고 평가했다.
현재 GnuPG와 이를 활용하는 소프트웨어인 GPG툴스, 이니그메일 등 오픈소스 소프트웨어는 이 버그를 모두 수정한 상태다. 오픈PGP를 활용한 다른 소프트웨어 역시 곧 문제를 패치할 것으로 보인다.
