2018.05.15

PGP 프로토콜서 보안 취약점··· "아직 패치 없어 비활성화해야"

Christina Mercer | Computerworld UK
독일 연구진이 유명 이메일 암호화 프로그램인 'PGP(Pretty Good Privacy)'에서 중요한 보안 취약점을 찾아냈다. 이를 악용하면 현재는 물론 과거에 암호화된 이메일의 내용도 볼 수 있다.

이 취약점을 연구해 온 먼서터대학의 컴퓨터 과학과 교수 세바스티안 쉰즐은 트위터를 통해 15일부터 상세한 내용을 공개할 것이라고 밝혔다. 그는 "이를 악용하면 암호화된 이메일의 텍스트가 노출될 수 있다. 과거에 보낸 암호화된 이메일도 포함된다"라고 말했다.

PGP는 지난 1991년 처음 공개된 이후 암호화된 메시지의 표준으로 자리잡았다. 개인 이메일을 보내는 가장 유명한 방법 중 하나이기도 하다. 최근에는 시그널(Signal)이나 텔레그램(Telegram) 등 엔드투엔드 암호화를 제공하는 개인 메시징 앱이 늘면서 사용이 줄어드는 추세였다.

이 취약점을 미리 검토한 디지털 권리 보호단체인 EFF(Electronic Frontier Foundation)는 "이 보안 취약점은 이메일 커뮤니케이션에 이 툴을 사용하는 사람에게 즉각적인 피해가 될 수 있다. 과거 메시지의 내용까지 공개될 위험이 있다"라고 경고했다. 쥐트도이체 차이퉁 신문도 이 보안 취약점의 상세한 내용을 보도했다.

EFF와 쥐트도이체은 공통적으로 한 가지를 조언했다. PGP를 사용하는 모든 플러그인을 비활성화하고 PGP 암호 이메일을 주고 받는 것을 멈추라는 것이다. 당분간은 시그널과 텔레그램 등 엔드투엔드 암호화를 지원하는 다른 방법을 이용할 것도 권했다. 

EFF는 아웃룩이나 애플 메일 등 주요 이메일 클라이언트에서 PGP 암호화를 비활성화하는 자세한 방법도 공개했다. 에그니메일(Enigmail)이 적용된 썬더버드, GPG툴이 적용된 애플 메일, Gpg4win이 적용된 아웃룩 등을 사용하면 이들 PGP 플러그인을 일시적으로 비활성화하는 방법을 단계별로 확인할 수 있다.

이번 보안 취약점은 PGP 암호화 프로토콜이 아니라 이메일 클라이언트 자체에 있는 것으로 보인다. 암호화 소프트웨어 GNUPG(GNU Privacy Guard)에 따르면, 이 문제는 이메일 프로그램에서 비롯됐다. 복호화 오류를 제대로 확인하지 못하고 HTML 코드가 포함된 이메일 내 링크를 따라가는 문제다. 이 때문에 GNUPG의 주발의자 워너 코크는 이번 문제를 EFF의 '호들갑'이라고 비판했다(그는 이 문제 관련해서 직접 관여하지는 않고 있다고 밝혔다).

현재까지 이 보안 취약점에 대한 수정된 프로그램은 나오지 않았다. 따라서 추가 예방조치를 하고 다른 보안 메시징 서비스를 사용하는 것이 가장 좋은 임시방편이다. ciokr@idg.co.kr
PGP
2018.05.15

PGP 프로토콜서 보안 취약점··· "아직 패치 없어 비활성화해야"

Christina Mercer | Computerworld UK
독일 연구진이 유명 이메일 암호화 프로그램인 'PGP(Pretty Good Privacy)'에서 중요한 보안 취약점을 찾아냈다. 이를 악용하면 현재는 물론 과거에 암호화된 이메일의 내용도 볼 수 있다.

이 취약점을 연구해 온 먼서터대학의 컴퓨터 과학과 교수 세바스티안 쉰즐은 트위터를 통해 15일부터 상세한 내용을 공개할 것이라고 밝혔다. 그는 "이를 악용하면 암호화된 이메일의 텍스트가 노출될 수 있다. 과거에 보낸 암호화된 이메일도 포함된다"라고 말했다.

PGP는 지난 1991년 처음 공개된 이후 암호화된 메시지의 표준으로 자리잡았다. 개인 이메일을 보내는 가장 유명한 방법 중 하나이기도 하다. 최근에는 시그널(Signal)이나 텔레그램(Telegram) 등 엔드투엔드 암호화를 제공하는 개인 메시징 앱이 늘면서 사용이 줄어드는 추세였다.

이 취약점을 미리 검토한 디지털 권리 보호단체인 EFF(Electronic Frontier Foundation)는 "이 보안 취약점은 이메일 커뮤니케이션에 이 툴을 사용하는 사람에게 즉각적인 피해가 될 수 있다. 과거 메시지의 내용까지 공개될 위험이 있다"라고 경고했다. 쥐트도이체 차이퉁 신문도 이 보안 취약점의 상세한 내용을 보도했다.

EFF와 쥐트도이체은 공통적으로 한 가지를 조언했다. PGP를 사용하는 모든 플러그인을 비활성화하고 PGP 암호 이메일을 주고 받는 것을 멈추라는 것이다. 당분간은 시그널과 텔레그램 등 엔드투엔드 암호화를 지원하는 다른 방법을 이용할 것도 권했다. 

EFF는 아웃룩이나 애플 메일 등 주요 이메일 클라이언트에서 PGP 암호화를 비활성화하는 자세한 방법도 공개했다. 에그니메일(Enigmail)이 적용된 썬더버드, GPG툴이 적용된 애플 메일, Gpg4win이 적용된 아웃룩 등을 사용하면 이들 PGP 플러그인을 일시적으로 비활성화하는 방법을 단계별로 확인할 수 있다.

이번 보안 취약점은 PGP 암호화 프로토콜이 아니라 이메일 클라이언트 자체에 있는 것으로 보인다. 암호화 소프트웨어 GNUPG(GNU Privacy Guard)에 따르면, 이 문제는 이메일 프로그램에서 비롯됐다. 복호화 오류를 제대로 확인하지 못하고 HTML 코드가 포함된 이메일 내 링크를 따라가는 문제다. 이 때문에 GNUPG의 주발의자 워너 코크는 이번 문제를 EFF의 '호들갑'이라고 비판했다(그는 이 문제 관련해서 직접 관여하지는 않고 있다고 밝혔다).

현재까지 이 보안 취약점에 대한 수정된 프로그램은 나오지 않았다. 따라서 추가 예방조치를 하고 다른 보안 메시징 서비스를 사용하는 것이 가장 좋은 임시방편이다. ciokr@idg.co.kr
PGP
X