2013.12.23

RSA, 암호화에 NSA와 비밀 거래···로이터

Marc Ferranti | IDG News Service
로이터에 따르면, 미국 NSA(National Security Agency)는 RSA에게 보안 소프트웨어에 널리 사용되어 온 암호화 알고리즘에 고의적으로 결함을 포함시키고자 1,000만 달러를 지급했다.

보안 표준 설정에 있어 정부의 개입 논란이 재점화되고 있는 것이다. 이번 논란의 핵심은 RSA가 정부와의 계약으로 매출을 창출하기 위해 비밀 알고리즘의 약점을 알고 있었냐는 것이다.

로이터는 20일 이 비밀 계약은 감시 프로그램을 지원하기 위해 암호화 표준을 약하게 하려는 NSA 활동의 일환이라고 보도했다.

로이터 기사에 대해 NSA와 스토리지 업체인 EMC의 한 부문인 RSA는 현재까지 대응을 하지 않고 있다.

지난 9월 프로퍼블리카(ProPublica)는 미국 정부의 광범위한 감시 프로그램 활동의 일환으로 NSA가 보안 표준을 약화시키는 일을 하고 있음을 공개했다. 이 기사는 에드워드 스노든의 폭로한 문서를 기반으로 했다.

이 기사는 NSA 암호전문가에 의해 만들어진 이중 타원곡선 난수 발생기(Dual Elliptic Curve Deterministic Random Bit Generator, Dual_EC_DRBG)에 대한 것인데, 보안 제품에 백도어를 만들 수 있도록 한 보안 표준이다.

로이터가 보도한 내용은 RSA가 이중 타원곡선 난수 발생기 기술을 B세이프(BSafe) 툴킷에 사용하는 댓가로 NSA에서 비밀리에 돈을 받았다는 것이다.

지금까지 NSA와 RSA 간에는 적어도 몇 개의 거래가 있었던 것으로 보인다. 2006년 3월 RSA는 NSA가 기밀 통신 프로젝트에 비세이프(BSafe) 암호화 소프트웨어를 선택했다고 발표한 바 있다. 이 거래의 가치에 대한 내용은 밝혀지지 않았다.

RSA 측은 2006년 자체 발표에서 "2005년 RSA 컨퍼런스에서 소개했던 RSA 비세이프(BSAFE) Crypto-C ME 소프트웨어는 NSA가 제시한 스위트 B 암호화 요구들을 해결했다"며, "스위트 B는 IT 산업에서 솔루션을 만드는데 기본이 되는 암호화 알고리즘의 조합을 제공한다"고 말했다.

이번 로이터 기사가 증폭시키는 의문들을 다음과 같다.

- RSA는 비세이프 내에 암호화 소프트웨어를 고의적으로 약화시킨 것인가
- RSA가 이중 타원곡선 난수 발생기에 대한 전문적인 비판에 직면한 것이 기껏 미국 정부로부터 돈을 받기 위함이었나.

로이터는 RSA가 비세이프의 암호 발생기에 이중 타원곡선 난수 발생 알고리즘을 넣고 이의 댓가로 1,000만 달러를 받았다고 추정하고 있다. 이 금액은 당시 RSA 매출의 1/3 이상이었다.

RSA 소프트웨어 내에 있던 이중 타원곡선 난수발생기는 암호화 소프트웨어에서 렌덤으로 숫자를 생성해내는 수단으로 미국국립표준연구소(National Institute for Standards and Technology, NIST) 인증을 통과했다.

그러나 이중 타원곡선 난수발생기의 효능에 대한 의문들이 증폭되고 있었으며 RSA가 NSA와 공개적으로 거래를 한 자체 제품인 B세이프에도 마찬가지로 적용됐다. 이 논란은 수년간 계속됐다.

그러던 가운데 2006년 5월 아인트호벤 공과대학의 베리 쉔메이커와 안드레이 시도렌코가 '이중 타원곡선 난수발생기의 암호해독'이라는 보고서를 발표했다. 이 보고서에서 "우리의 실험 결과와 실증적 논증은 이중 타원곡선 난수발생기는 결코 안전하지 않다는 것을 보여준다"고 주장했다.

올해 9월 NSA가 보안 표준을 약하게 만드는 여러 시도들에 대한 기사가 나간 후에야 NIST는 이중 타원곡선 난수발생기를 사용하지 말 것을 제시했으며 RSA는 이를 따랐다. editor@itworld.co.kr


2013.12.23

RSA, 암호화에 NSA와 비밀 거래···로이터

Marc Ferranti | IDG News Service
로이터에 따르면, 미국 NSA(National Security Agency)는 RSA에게 보안 소프트웨어에 널리 사용되어 온 암호화 알고리즘에 고의적으로 결함을 포함시키고자 1,000만 달러를 지급했다.

보안 표준 설정에 있어 정부의 개입 논란이 재점화되고 있는 것이다. 이번 논란의 핵심은 RSA가 정부와의 계약으로 매출을 창출하기 위해 비밀 알고리즘의 약점을 알고 있었냐는 것이다.

로이터는 20일 이 비밀 계약은 감시 프로그램을 지원하기 위해 암호화 표준을 약하게 하려는 NSA 활동의 일환이라고 보도했다.

로이터 기사에 대해 NSA와 스토리지 업체인 EMC의 한 부문인 RSA는 현재까지 대응을 하지 않고 있다.

지난 9월 프로퍼블리카(ProPublica)는 미국 정부의 광범위한 감시 프로그램 활동의 일환으로 NSA가 보안 표준을 약화시키는 일을 하고 있음을 공개했다. 이 기사는 에드워드 스노든의 폭로한 문서를 기반으로 했다.

이 기사는 NSA 암호전문가에 의해 만들어진 이중 타원곡선 난수 발생기(Dual Elliptic Curve Deterministic Random Bit Generator, Dual_EC_DRBG)에 대한 것인데, 보안 제품에 백도어를 만들 수 있도록 한 보안 표준이다.

로이터가 보도한 내용은 RSA가 이중 타원곡선 난수 발생기 기술을 B세이프(BSafe) 툴킷에 사용하는 댓가로 NSA에서 비밀리에 돈을 받았다는 것이다.

지금까지 NSA와 RSA 간에는 적어도 몇 개의 거래가 있었던 것으로 보인다. 2006년 3월 RSA는 NSA가 기밀 통신 프로젝트에 비세이프(BSafe) 암호화 소프트웨어를 선택했다고 발표한 바 있다. 이 거래의 가치에 대한 내용은 밝혀지지 않았다.

RSA 측은 2006년 자체 발표에서 "2005년 RSA 컨퍼런스에서 소개했던 RSA 비세이프(BSAFE) Crypto-C ME 소프트웨어는 NSA가 제시한 스위트 B 암호화 요구들을 해결했다"며, "스위트 B는 IT 산업에서 솔루션을 만드는데 기본이 되는 암호화 알고리즘의 조합을 제공한다"고 말했다.

이번 로이터 기사가 증폭시키는 의문들을 다음과 같다.

- RSA는 비세이프 내에 암호화 소프트웨어를 고의적으로 약화시킨 것인가
- RSA가 이중 타원곡선 난수 발생기에 대한 전문적인 비판에 직면한 것이 기껏 미국 정부로부터 돈을 받기 위함이었나.

로이터는 RSA가 비세이프의 암호 발생기에 이중 타원곡선 난수 발생 알고리즘을 넣고 이의 댓가로 1,000만 달러를 받았다고 추정하고 있다. 이 금액은 당시 RSA 매출의 1/3 이상이었다.

RSA 소프트웨어 내에 있던 이중 타원곡선 난수발생기는 암호화 소프트웨어에서 렌덤으로 숫자를 생성해내는 수단으로 미국국립표준연구소(National Institute for Standards and Technology, NIST) 인증을 통과했다.

그러나 이중 타원곡선 난수발생기의 효능에 대한 의문들이 증폭되고 있었으며 RSA가 NSA와 공개적으로 거래를 한 자체 제품인 B세이프에도 마찬가지로 적용됐다. 이 논란은 수년간 계속됐다.

그러던 가운데 2006년 5월 아인트호벤 공과대학의 베리 쉔메이커와 안드레이 시도렌코가 '이중 타원곡선 난수발생기의 암호해독'이라는 보고서를 발표했다. 이 보고서에서 "우리의 실험 결과와 실증적 논증은 이중 타원곡선 난수발생기는 결코 안전하지 않다는 것을 보여준다"고 주장했다.

올해 9월 NSA가 보안 표준을 약하게 만드는 여러 시도들에 대한 기사가 나간 후에야 NIST는 이중 타원곡선 난수발생기를 사용하지 말 것을 제시했으며 RSA는 이를 따랐다. editor@itworld.co.kr


X