미국 국가안보국(NSA)에 협조하는 대신 1천만달러 자금을 받았다는 의혹에 대해 RSA가 혐의를 전면 부인하고 나섰다. 표준으로 인정된 암호화 알고리즘을 사용했을 뿐이며 정보기관과 거래 역시 없었다는 것이다.
23일(현지시간) 미국 지디넷 등 외신에 따르면 EMC 자회사인 RSA는 자사 블로그를 통해 과거에 허용된 알고리즘을 사용했을 뿐이며, 이후에는 이 알고리즘을 쓰지 않도록 조치를 취했다고 밝혔다.
최근 외신에 따르면 NSA는 RSA가 개발한 보안제품에 이중 타원 곡선 난수발생기(Dual Elliptic Curve Deterministic Random Bit Generator) 알고리즘을 적용할 것을 요구했다. 이 과정에서 NSA는 RSA에 1천만달러의 뒷돈을 건냈다는 의혹이 제기됐다.
그러나 RSA는 즉각 반발하고 나섰다. RSA 블로그에는 최근 일부 언론에서 RSA가 NSA와 비밀계약을 맺고, B세이프 암호화 라이브러리 제품에 결함이 있는 난수발생기를 적용했다고 주장했으나 우리는 이러한 의혹을 부인한다고 말했다.
이중 타원 곡선 난수발생기에 사용된 알고리즘은 2006년 미국 국립기술표준원(NIST) 인증을 획득하기도 했다. 그만큼 신뢰성에 대해 검증됐다는 것이다.
RSA는 이보다 앞서 지난 2004년 이중 타원 곡선 난수발생기를 사용하기로 결정했으며 해당 알고리즘은 사용자들이 널리 쓰고 있는 알고리즘 중 하나라고 말했다.
이 회사는 RSA는 보안회사로서 결코 고객과 관련된 세부사항을 알리지 않았으며, RSA 제품의 보안성을 약화시키는 어떠한 프로젝트에도 협력한 적이 없다고 주장했다.
이중 타원 곡선 난수발생기는 지난 2007년 11월 보안 전문가인 브루스 슈나이어를 통해 취약점이 드러난 바 있다. 그는 만약 비밀 숫자를 알고 있다면 32바이트 용량의 결과물만으로도 난수발생기를 통해 나오는 암호를 알아낼 수 있다고 설명했다.
NIST는 지난 9월 해당 난수발생기 알고리즘에서 취약점이 발견됐기 때문에 사용을 자제할 것을 요청한 바 있다. RSA 역시 이러한 조치에 따랐다.
관련기사
- RSA, 암호화SW에 '백도어' 심고 '뒷돈' 챙겨2013.12.24
- 휴대전화 암호 무력화…NSA, 기술 확보2013.12.24
- IBM, 주주로부터 집단소송…"NSA 협조 탓"2013.12.24
- 美NSA, WOW 등 온라인 게임도 감시대상?2013.12.24
뉴욕타임스는 지난 9월 이 문제를 처음 거론한 바 있다. 보도에 따르면 NSA 감시활동 폭로자인 에드워드 스노든은 NSA가 2006년 NIST에서 표준 난수발생기로 사용된 이중 타원 곡선 난수발생기에 해커가 손쉽게 알아낼 수 있도록 백도어를 심었다고 밝힌 바 있다.
그러나 NSA가 RSA에 협력하는 대가로 돈을 건냈는지 여부는 정확히 확인되지 않고 있다. 더구나 보안회사가 돈을 받고 보안취약점을 용인했다는 것은 회사 존폐여부를 걸어야 하는 위험한 도박이나 다름없다.
