오픈소스 암호화 소프트웨어 「GNU Privacy Guard」에서 취약점 발견

폭넓게 이용되고 있는 오픈소스의 암호화 기술에서 문제가 발견되었다. 공격자는 디지털 서명 혹은 암호화가 적용된 메일을 악용할 수 있다고 한다.문제는 특정한 전자 메일 애플리케이션이 「GPG」(GNU Privacy Guard)를 사용해 서명된 메시지를 표시하는 방법으로 존재한다고 GPG 그룹이 6일(미국 시간)에 공개한 보안 경고를 통해 밝혔다. GPG의 처리를 잘 못할 경우, 메시지의 어떤 부분에 서명이 되어있는지 알 수 없게 될 가능성이 있다.경고에 의하면 서명 혹은 서명과 암호화가 적용된 「OpenPGP」 메시지에 새롭게 텍스트를 삽입하고 새로운 텍스트 또한 서명이 적용되고 있다고 사용자들을 속일 수 있다고 한다.암호화 기술을 사용하고, 이메일을 인증하거나 암호화 하는 사용자들에게 있어서는 이것은 큰 위험으로 받아들여진다. 2006년에도 이와 같은 GPG 관련 사건이 발생했다. 이 문제를 발견한 「코어 보안 시스템즈」(Core Security Systems)에 의하면 다수의 오픈소스 이메일 클라이언트가 이 취약점을 지니고 있다고 한다. 코어에 의하면 KDE의 「KMail」, 노벨의 「이볼루션」(Evolution)과, 「실피드」(Sylpheed) 「멋」(Mutt) 「GnuMail.org」등의 어플리케이션이 취약점의 영향을 받는다고 한다. 코어에 의하면 모질라의 메일 클라이언트인「에니그메일」(Enigmail) 역시 같은 취약점의 영향을 받는다고 한다.코어는 “중요한 것은, 이것이 암호화의 문제가 아닌 것이다. 사용자에게 정보를 표시할 때의 처리방법이나 서드 파티 애플리케이션과 GPG 교환으로 문제가 발생한다.”라고 경고했다.공격자들은 이 문제를 악용하여 자세히 살펴보지 않으면 안전해 보이는 이메일에 콘텐츠를 추가하거나 스팸메일 대책 기능과 같은 콘텐츠 필터링 기능을 회피할 수 있다고 코어는 밝혔다.GPG는 암호화 기술 「Pretty Good Privacy」를 대신하는 무료 오픈소스 소프트웨어이다. GPG 통해 생성되는 이메일은 다수의 섹션으로 분류되는데 모든 섹션에 서명이나 암호화가 이루어지지 않았어도 이메일 프로그램이 이를 올바르게 해석하지 않고 메시지의 100%가 안전하다고 판정해 버리는 일이 있다.「산즈 인터넷 스톰 센터」(SANS Internet Storm Center)의 직원 아리고 트리울지(Arrigo Triulzi)는 산즈의 블로그에 “메시지 전체가 암호화 되고 서명이 붙어있다는 것을 표시하는 아이콘이 있는데, 실제로는 텍스트, 화상, 바이너리 들 일부의 내용이 안전하지 않은 경우가 있다.”라고 설명했다.GPG 그룹은 서명이 포함되어 있거나 암호화된 메시지의 악용을 막는 업데이트를 공개했다. 하지만, 서명 메시지를 올바르게 표시하려면 GPG 업데이트를 한 다음, 이메일 애플리케이션 역시 업그레이드 하지 않은 안 된다고 한다.GPG는 “이러한 패치를 적용하면, 취약점을 지니고 있는 일부의 애플리케이션으로 특정 메시지를 처리할 수 없게 되는 경우가 있다. 이러한 경우, GPG로서는 아무것도 할 수 없지만, 그 애플리케이션에 수정을 더 할 필요가 있다.”라고 경고했다.에니그메일은 이미 업데이트를 제공하기 시작하고 있다.코어는 사용자가 메일이 악용 당하는 것을 감지해 큰 피해를 예방하기 위한 대책도 공개했다. GPG를 이용, 서명의 유효성을 확인하는 것 외에 「--status-fd라는 특수 옵션을 추가하면 메일에 대한 상세한 추가정보를 알 수 있다고 코어는 말했다. @