RSA-NSA 거래 의혹, 보안 업계 신뢰에 영향

CSO
미국 NSA가 암호화 해독 방법을 요구하며 RSA에 비용을 지불했다는 최근 보도로 보안 업계가 신뢰에 타격을 입은 것으로 전해졌다.

지난 금요일 NSA가 손상된 암호화 방식을 사용하기 위해 RSA에 1,000만 달러를 지불했다고 로이터통신이 보도했는데 RSA는 이를 부인했다. NSA가 개발한 듀얼 이클립틱 커브 디터미니스틱 랜덤 비트 제너레이터(Dual EC DRBG)는 RSA의 BSAFE 제품군에서 쓰였다.

RSA의 영향 때문에 로이터의 보도는 보안 업계가 술렁이고 있다. 미국 샌프란시스코에서 열린 RSA의 연례 사용자 컨퍼런스는 올해의 가장 큰 보안 행사 중 하나다. 23일 월요일, 보안 전문가로 유명한 미코 하이포넨은 RSA가 NSA와 거래했기 때문에 2014 RSA 컨퍼런스에서 그의 연설을 취소해 달라는 내용의 편지를 RSA에 보냈다.

일요일에 발표된 성명서에서 RSA는 "우리는 로이터의 보도를 전적으로 부인한다"고 밝혔다.

RSA는 자사의 제품을 약화시키거나 제품에 백도어를 도입할 의도를 가지고 그 어떤 계약도 하지 않았고 어떤 프로젝트에도 참여하지 않았다고 주장했다.

그런데도, 일부 보안 전문가들은 RSA의 주장에 동의하지 않았다. 컨설팅 회사인 비숍폭스(firm Bishop Fox)의 보안을 담당하는 칼 리비트는 "RSA의 반응은 보안 커뮤니티에 확신을 주지 못했다”라고 지적했다.

"RSA의 반응은 매우 조심성 있게 노골적으로 크고 중요한 질문을 무시하고 있다"고 그는 말했다.

존스홉킨스대학 연구 조교수이자 암호 해독으로 유명한 매튜 그린은 RSA에 대한 보도는 보안 업계의 명성을 위협했다고 밝혔다.

"우리가 말했던 대부분의 사람들은 우리의 생각에 동의한다. 당신이 환자를 치료하고자 노력하는 의사라면, 누군가가 의도적으로 환자를 아프게 만들고 있는지 알아야 하는 것과 같다”라고 그는 말했다. "나는 당신이 RSA 의혹에 대해 상당히 화가 났을 것이라 생각한다"라고 그는 덧붙였다.

그린은 보안 전문가의 업무가 제품은 안전하게 하는 것이며, 정부 기관이 의도적으로 그것을 망친다면, 분명 화나 날 것이라고 말했다.

지난 주, 독립적인 백악관 패널은 NSA의 전 계약직원인 에드워드 스노든의 문서가 폭로한 NSA의 대규모 데이터 수집이 NSA의 주장처럼 테러 공격을 막기 위해 필요한 지 여부에 대해 질문한 보고서를 공개했다.

스노든의 문서는 미국인과 해외 정상들을 포함한 외국인들에 대해 인터넷과 통신사에서 어떻게 정보를 취합했는지 설명하고 있다.

이 패널의 권고 목록에는 암호화를 훼손하려는 노력을 폐기해야 한다는 내용이 들어 있었다.

RSA는 2004년 NSA-개발 알고리즘에 BSAFE 제품을 창작했는데, 이 BSAFE 제품은 기업 애플리케이션에서 데이터를 암호화하는데 사용된 소프트웨어다. 미국 국립표준연구소(NSIT)는 결국 사용을 위한 기술을 승인했다.

듀얼 EC DRBG가 암호를 풀 수 있도록 개발된 것으로 알려졌으며 NIST는 그것을 사용하지 말 것을 권장했다. 그리고 RSA는 BSAFE에서 이 기술을 제외했다.

NSA가 국가 안보를 지원하는 극비 조직이기 때문에, 기업들은 법적으로 NSA와의 공조에 대해 발설해서는 안된다. 이러한 제한 사항을 감안할 때, 기업이 NNSA와 공조하는지를 물을 수 있는 것은 아무것도 없다. 그리고 NSA는 의회가 새로운 법을 통과시켜야만 할 수 있다.

따라서, 기업은 보안 업체를 선택할 때 위험을 감수해야 한다.

비숍폭스의 선임 보안 애널리스트인 조셉 드메시는 "현실은 어느 시점에 당신이 누군가를 믿어야 하는 것이다. 중요한 것은 당신이 그 누군가를 얼마나 오랫동안 얼마나 많이 신뢰하는데 주의를 기울여야 한다는 점이다”라고 전했다. ciokr@idg.co.kr