애플과 구글이 자사 브라우저 암호화 결함 수정에 착수했다. 지난 1990년대부터 있었던 ‘수출 등급 암호화 모드’가 야기한 문제로, 미국 정부가 사이버 보안관리를 소홀히 했다는 논란이 일고 있다.
애플·구글이 자사 브라우저 암호화 보안 결함 ‘프리크(FREAK)’ 보완 작업에 나섰다고 4일 워싱턴포스트 및 주요 외신은 보도했다. 애플은 내주 이를 적용한 사파리 브라우저 업데이트를 진행한다. 구글 또한 파트너사를 상대로 패치 작업을 제공한다.
프리크는 마이크로소프트(MS)와 프랑스 국립 컴퓨터공학연구소(INRIA) 연구진들이 발견했다. SSL·TLS 등 암호화 프로토콜에 영향을 미친다. 브라우저와 HTTPS 보안 웹사이트간의 암호화 수준을 낮추는 버그다.
암호화가 한번 풀리면 해커들이 비밀번호나 개인 정보를 빼낼 수 있고 잠재적으로는 웹사이트 요소를 변경해 광범위한 사이버 공격을 펼치는 것도 가능하다. 이를테면 페이스북의 ‘좋아요’ 버튼에 버그를 적용하는 식이다.
특히 ‘중간자(man-in-the-middle)’ 공격에 취약하다. 중간자 공격은 네트워크 통신을 하는 두 당사자 사이에 끼어들어 주고받는 정보를 중간에서 가로채거나 바꾸는 공격 기법이다.
이는 1990년대 미국 정부가 자국 기업들에게 수출품의 암호화 수준을 ‘수출 등급(Export-grade)’으로 적용하도록 했기 때문이다. 지난 1999년 해당 규제가 풀렸지만 수출 등급 암호화 모드는 PC·서버 등 아직 상당수의 구글·애플 기기에 적용된 상태다.
나디아 히나지 펜실베니아대학 암호해독 전문가는 “누군가 아직 이 모드를 사용하고 있다는 것을 아무도 몰랐을 것”이라고 밝혔다. 수출 등급 암호화 수준은 암호화 키(Key) 길이가 최대 512비트(bit)에 불과해 당시에는 수퍼컴퓨터로 접속해야 풀 수 있었지만 지금은 몇 시간이면 해독해낸다. 실제 연구진은 512비트 암호화 키를 아마존웹서비스(AWS) 기기에서 단돈 104달러를 들여 7.5시간만에 풀었다.
연구진에 따르면 아이폰, 아이패드, 맥북 등 애플의 모든 기기가 수출 등급 암호화 모드를 지원한다. 구글 크롬 브라우저에선 브라우저 자체는 프리크에 영향을 받지 않으나 안드로이드 기기에서 크롬에 접속했을 때는 해킹에 취약한 것으로 나타났다. 오픈SSL에선 이 문제를 지난 1일 수정한 상태다.
연구 결과 전체 웹사이트 중 4분의 1이상이 이 모드를 지원한다. 이 중에는 백악관, 국가안보국(NSA), FBI뿐 아니라 아메리칸익스프레스 등 유통업체와 언론사들도 포함돼 있었다고 연구진은 밝혔다. 수출 등급 암호화를 적용한 상태에서 이들 웹사이트에 접속하면 해킹당할 가능성이 높아지는 셈이다.
연구진들은 이 문제점을 발견하고 즉각 미국 정부와 각 업체에 이 내용을 전달했다. 매튜 D.그린 존스홉킨스대학 암호해독 전문가는 “현재 백악관 홈페이지와 FBI 홈페이지에선 해당 문제가 고쳐진 상태”라고 말했다.
이에 정부 당국이 사이버 보안에 대한 인식을 제대로 갖추지 못했다는 비판이 이어지고 있다. 규제가 수출품에 적용됐던 것을 고려하면 해외에서 이 기기들로 미국의 주요 웹사이트에 접속해 사이버 공격을 벌일 가능성을 정부 스스로 열어준 셈이기 때문이다.
소니 픽처스 해킹 사건 이후 미국 버락 오바마 정부는 사이버 보안 강화 및 개인 정보 보호 정책 등에 주력하고 있다. 최근에는 민관에 사이버보안 정보 교류를 강화하려는 행정명령을 발표하고 NSA 산하에 국가대테러센터와 유사한 형태로 사이버보안에 특화한 ‘사이버위협정보통합센터(CTIIC)를 설립하기로 했다.
김주연기자 pillar@etnews.com
