미국 버락 오바마 대통령이 국가안보국(NSA)이 최근 불거진 '하트블리드(HEARTBLEED)' 취약점을 활용하도록 묵인했다는 의혹이 제기됐다.
13일(현지시간) 씨넷, 뉴욕타임스 등 외신은 오바마 대통령이 인터넷과 관련된 대부분 취약점을 활용해 감시활동을 수행할 수 있도록 허락했다고 보도했다.
뉴욕타임스에 따르면 그동안 광범위한 감시활동으로 문제가 된 NSA 개혁을 위해 오바마 정부가 꾸린 태스크포스는 3개월 간 검토 끝에 명백한 국가안보에 관련된 일이거나 법집행과 관련된 일을 수행할 때에만 제한적으로 취약점을 활용해 감시활동이나 사이버공격을 할 수 있도록 허용한다고 밝혔다.
그러나 오바마는 해당 안에 대해 폭넓은 예외를 둔 것으로 전해졌다. 이중 인터넷 암호를 풀거나 사이버무기를 만들기 위한 취약점들을 활용할 수 있도록 허용한다는 것이다. 상세한 내역은 공개되지 않았으나 외신은 이 중 오픈SSL에서 발견된 하트블리드 취약점도 포함됐을 것으로 추정하고 있다.
이 취약점은 클라이언트와 서버 사이에 오픈SSL을 통한 암호화 통신시 중간에서 정보를 가로챌 수 있도록 한다.이에 대해 백악관측은 최근 언론보도를 통해 등장한 것처럼 약 2년 전 하트블리드 취약점을 알고 있었다는 내용의 보고서를 부인하며 해당 취약점을 공유한다는 사실은 '편견(bias)'이라고 설명했다.
NSA 등 정보기관을 총괄하는 미국 국가정보국(DNI)은 지난주 공개된 문서를 통해 하트블리드 취약점이 있다는 사실을 알게됐다고 밝혔다.
DNI측은 만약 명백한 국가 안보나 법집행을 위해 필요한 경우가 아니면 이 프로세스는 실행되지 않는다고 해명했다.
그러나 NSA는 수백만개 취약점을 수집해 온 것으로 나타나 하트블리드 취약점도 이미 알고 있었을 것이라는 의혹은 풀리지 않고 있다.
관련기사
- "NSA,하트블리드 취약점 알고도 은폐"2014.04.14
- IT업계, 오픈SSL 취약점 '하트블리드' 비상 경계령2014.04.14
- 파이오링크, 하트블리드 보안취약점 패치 완료2014.04.14
- 리눅스 서버, 오픈SSL 취약점 비상2014.04.14
워싱턴포스트에 따르면 지난해 8월 NSA의 감시활동 폭로자인 에드워드 스노든이 공개한 문서에는 NSA가 2천510만달러를 들여 비밀리에 보안회사들로부터 소프트웨어 취약점에 대한 정보들을 구매해 온 것으로 드러났다.
더구나 외신에 따르면 NSA가 취약점을 직접 고안해 내도록 했다는 의혹이 제기되기도 했다. 지난해 12월 NSA는 미국 보안 회사인 RSA에 1천만달러를 지불하고 취약점이 있는 암호화 알고리즘을 적용하도록 요청했다는 것이다.
