주니퍼, 3년 방치된 '정부감청' 의심코드 없애기로

주니퍼네트웍스가 자사 방화벽 제품인 넷스크린 장비에서 미국 정부 감청 수단이란 의심을 받아 온 소프트웨어 코드를 아예 없애기로 했다.

지난달 주니퍼 넷스크린에 탑재된 소프트웨어 '스크린OS'에서 공격자가 장비의 보안 체계를 우회할 수 있게 해주는 악성 코드가 발견됐다. 취약점을 품은 최초의 스크린OS는 지난 2012년 9월 배포됐다. 이를 탑재한 넷스크린 장비는 3년 넘게 해당 취약점에 노출돼 있었단 얘기다.

취약점은 2가지였다. 가상사설망(VPN)을 오가는 암호화 트래픽을 무단 복호화하는 것과 SSH나 텔넷으로 넷스크린 장비에 관리자 권한으로 접속할 수 있게 해 주는 것. 주니퍼는 취약점을 야기한 부분을, 직접 만들지 않았다는 입장에서 '비인가 코드(unauthorized code)'라고 불렀다.

취약점은 주니퍼의 제품을 도입한 여러 사업자들의 보안에 잠재적 피해를 줄 수 있었다. 당시 주니퍼는 패치를 통해 코드 내부의 취약점 2건을 해결했다고 밝혔지만, 그게 몇년째 논란이 되고 있는 각국 정부의 도·감청 수단 가운데 하나 아니었느냐는 의혹에 시달리게 됐다.

[☞관련기사: 일부 주니퍼 장비, 3년 전부터 백도어에 노출]

의혹이 가라앉지 않자, 주니퍼는 지난 8일 공식블로그를 통해 밥 워럴 최고정보책임자(CIO) 겸 수석부사장(SVP)이 작성한 추가 공지를 냈다. 올해 상반기중 배포될 스크린OS 소프트웨어 코드에서 문제가 된 2가지 부분을 다른 주니퍼 장비에 탑재된 것으로 대체한다는 내용이다.

스크린OS 소스코드에서 걷어내는 부분은 암호화 기능과 관련된 'Dual_EC'와 난수생성 기능과 관련된 'ANSI X9.31', 2개 항목이다. 주니퍼 측은 이 부분의 코드를 '주노스(Junos)' 기반 장비의 소프트웨어 코드와 동일한 것으로 교체할 계획이다.

주노스는 주니퍼의 라우터와 스위치 장비 등 데이터센터 네트워크 인프라를 구성하기 위한 제품 전반에 공통적으로 탑재되는 소프트웨어다. 주니퍼 측은 스크린OS에서 수상한 코드가 발견된 뒤 스크린OS와 주노스에서 다른 문제가 없는지 살폈고, 추가 포착된 문젠 없다고 설명했다.

[☞참조링크: Advancing the Security of Juniper Products]

주니퍼는 공식적으로 인정하지 않지만, 회사측이 작년말 방화벽에서 드러난 취약점 2건을 야기한 스크린OS 소프트웨어의 소스코드를 없애겠다고 밝힌 시기와 정황은 미국 정부 감청 수단으로 활용된 백도어를 뒤늦게 폐쇄하는 것처럼 해석되는 분위기다.

뉴스통신사 로이터와 외신들은 "주니퍼가 미국 국가안보국(NSA)이나 다른 정부 첩보기관이 주니퍼와 협력해 장비에 보안취약점을 삽입했다는 논란을 야기한 Dual_EC와 ANSI X9.31 난수생성기를 교체하기 위해 방화벽을 업그레이드한다"고 전했다.

2013년말 독일매체 데어슈피겔 인터내셔널판은 미국 NSA가 과거 ANT라는 부서를 통해 주니퍼, 시스코, 화웨이, 델 등이 제공한 기기를 해킹해 민간부문에 대한 도감청 활동을 돕는 툴을 판매해 왔고, 그중 주니퍼 방화벽 백도어를 심는 툴도 있었다고 보도했다.

반면 CNN에 인용된 미국 정부 측 관계자 발언에 따르면 오히려 중국이나 러시아같은 타국 정부가 주니퍼의 장비를 통한 공격 배후로 지목됐다. NSA 외주용역업체 직원이었던 에드워드 스노든이 2013년 폭로한 NSA 기밀문서 내용을 부인한 셈이다.

[☞참조링크(2016.1.9. Reuter): Juniper Networks will drop code tied to National Security Agency]