전세계 이메일 암호화, 1명에게 의존해왔다?

GNU 프라이버시 가드(GPG, GNU Privacy Guard)는 전 세계 언론인이나 보안에 민감한 사람, 예를 들어 에드워드 스노든 같은 내부 고발자도 이용하는 무료 이메일 암호화 애플리케이션이다. 이 암호화 애플리케이션을 지난 1997년부터 혼자 개발해온 인물이 있다. 바로 워너 코흐(Werner Koch)다.

전세계 이메일 암호화, 1명에게 의존해왔다?

코흐는 소프트웨어 엔지니어다. GPG를 개발하기 시작한 건 1997년으로 이후에도 거의 혼자 개발을 진행해왔다. 그는 현재 53세이며 개발 자금 역시 거의 다 소진한 상태다.

그는 자신이 너무 이상주의자라면서 2013년 초에는 GPG 개발을 그만두고 다른 일을 찾으려 했다고 말했다. 하지만 에드워드 스노든과 관련한 뉴스가 나오면서 지금은 그만둘 때가 아니라고 생각했다는 것.

코흐는 기본적인 소프트웨어 코드는 무료로 공개하는 게 백도어 같은 걸 설치하지 않았다는 걸 증명하기 위한 최고의 방법이라고 생각하고 있다. 다만 이런 오픈소스 소프트웨어는 판매로 인한 금전적 이득이 없는 탓에 자원봉사자 참여로 유지되는 게 현실이기도 하다.

그가 희망하는 건 상근 프로그래머를 고용하는 것이지만 기금 모금에는 어려움을 겪고 있다고 한다. 코흐가 연간 얻는 수익은 2만 5,000달러 정도다. 상근 프로그래머를 고용하려는 꿈을 실현하려면 자금 여유가 없어 자금 모금을 실시하고 있다. 지난해 12월부터 기부금 모집을 해 2월 초까지 4만 4,000달러를 모았다고 한다. 물론 그의 목표 금액인 13만 7,000달러에는 아직 부족하다.

코흐가 겪는 문제처럼 인터넷 보안 소프트웨어에도 충분한 재원이 주어지지 않는 문제는 계속 커지고 있다. 지난해 오픈SSL(OpenSSL)에 허트블리드 버그(Heartbleed bug)라는 취약점이 발견된 바 있다. 오픈SSL은 아마존에서 트위터까지 수많은 인터넷 서비스가 사용 중인 암호화 프로그램이지만 이를 유지하는 건 프로그래머 4명이 전부였다. 그나마 4명 중에서도 오픈SSL 개발을 전담으로 해왔던 건 달랑 1명이었다고 한다.

코흐가 개발한 GPG는 맥OS나 윈도용 등 다양한 암호화 소프트웨어에 활용되고 있다. 이런 GPG를 이용한 소프트웨어의 가장 큰 악몽 중 하나는 코흐가 더 이상 개발이 불가능해지는 상황이 될 수 있다.

이메일 암호화가 일반용으로 처음 가능하게 된 건 1991년 마온 PGP(Pretty Good Privacy)다. PGP는 누구나 쓸 수 있는 암호화 애플리케이션이었지만 당시 미국 정부의 규제로 수출이 어려운 상황이었다. 이어 1997년 코흐는 리처드 스톨만의 강의를 들으러 갔다. 스톨만은 청중에게 PGP의 여러분만의 버전을 만들어달라고 호소했다. 이 말을 들은 코흐는 GPG 개발을 시작했다. 코흐는 GPG의 초기 버전을 몇 개월 만에 개발했고 유닉스 계열 운영체제에서만 작동하는 것이었지만 대히트를 기록한다.

그는 이후 1999년 독일 정부로부터 보조금을 받고 GPG의 윈도 호환 버전을 만들었다. 2005년에도 마찬가지로 독일 정부 지원으로 다른 암호화 방식 개발에 나섰다. 하지만 이런 원조로 모인 개발자금도 2010년에는 모두 떨어졌다. 2년 동안 상근 프로그래머 월급을 어렵게 지불해왔지만 2012년 8월에는 이런 여유도 사라졌고 결국 혼자 개발을 하는 처지가 됐다는 것이다. 물론 그는 자신에 대한 관련 기사가 게재된 이후 리눅스재단(Linux Foundation) 측으로부터 6만 달러 보조금을 받게 됐다고 한다.

전자신문인터넷 테크홀릭팀

이상우기자 techholic@etnews.com