오픈소스 버그가 디지털 문서·사인 등에 대한 해커의 공격에 결정적으로 취약한 것으로 드러났다.
C넷은 오픈소스 암호화 SW에 있는 버그가 해커들로 하여금 디지털인증된 메시지를 변조하거나 서명을 위조할 수 있도록 하고 있는 것으로 드러났다고 보도했다.
GnuPG 그룹의 최신 경고문을 인용한 이 보도에 따르면 이번 결함은 오픈 소스 GNU 프라이버시 가드(GnuPG 혹은 GPG) SW에서 발견됐다.
이 SW는 ‘프리티 굿 프라이버시’ 암호화 기술에 대한 무료 대체 기술로, 프리BSD·오픈BSD 등 많은 오픈 소스 운용체계(OS) 및 리눅스 보급판과 함께 사용된다.
따라서 이 결함은 e메일 통신이나 디지털 서명 파일을 입증하기 위해 오픈소스 암호화 기술을 사용하는 사람들이나 이 메시지의 수신자 및 파일의 사용자에게 위협이 될 수 있다.
C넷은 이에 따라 리눅스와 유닉스 배포자들은 그들의 보안 권고문에서 종종 GPG 디지털 서명을 사용해 그 발표가 조작된 것이 아님을 증명하는 방식을 사용하고 있다고 전했다.
이 결함을 발견한 타비스 오만디 젠투리눅스 연구원은 “공격자들이 e메일로 발송된 보안 경고문에 정보를 추가하거나 SW 업데이트에 디지털 서명을 위조할 수 있다”며 “이 취약성이 디지털 서명의 가치를 위협할 수 있다”고 지적했다.
정소영기자@전자신문, syjung@