트위터가 미국 국가안보국(NSA) 등과 같은 정부기관 등이 트윗을 훔쳐보는 일을 막기 위해 새로운 암호기법을 도입했다.
23일(현지시간) 더레지스터 등 외신은 트위터가 '비대칭 곡선 디피-헬맨(ECDHE) 암호 스위트'를 적용해 순방향 비밀성(forward secrecy)'을 구현했다고 보도했다.
트위터는 기존에 인터넷을 통해 송수신 되는 메시지를 안전하게 관리하기 위해 SSL 암호화 통신을 사용해 왔다. 웹브라우저 주소 창에 뜨는 'https'라는 문구는 SSL 방식 암호화 통신을 통해 전송되는 트래픽이 보호되고 있다는 점을 뜻한다.문제는 암호화 된 파일이 전송되면 수신자가 이를 보기 위해서는 다시 암호를 푸는 과정이 필요하다는 것이다. NSA나 기타 공격자들은 복호화된 메시지를 훔쳐보거나 암호화된 파일을 풀어낼 수 있는 개인 키를 수신자로부터 몰래 빼오는 수법을 사용해 왔다. 일명 '중간자공격(Man In The Middle attack, MITM)'이라 불리는 해킹 수법이다.
트위터는 이러한 문제를 해결하기 위해 메시지 송수신 과정에 사용된 웹브라우저, 애플리케이션(앱), 트위터 서버 등이 별도로 세션 키를 만들도록 했다. 개인 키를 알아낸다고 하더라도 송수신 과정에서 어떤 웹브라우저들끼리 서로 연결을 맺었는지를 알아내야만 내용을 확인할 수 있게 한 것이다.
예를 들어 NSA가 트위터 사용자들이 보낸 암호화 된 메시지를 훔쳐내 확보하고 있으며, 이를 풀어낼 수 있는 개인 키를 갖고 있다고 하더라도 별도로 각 세션에 대한 키가 없으면 내용을 확인할 수 없게 되는 셈이다.
기존에 밝혀진 내용에 따르면 NSA는 실제로 미국 주요 IT회사들이 사용하는 인터넷 백본망에서 광케이블, 주요 데이터 센터와 연결된 회선으로부터 데이터를 수집해 왔다.
트위터는 직접 NSA를 언급하지는 않았으나 사용자들이 강력하게 보안성을 높이고, 서드파티를 통해 이뤄질 수 있는 감시를 막고, 네트워크나 특정 세션을 보호하기 위해 이러한 방법을 도입했다.
관련기사
- 스마트TV, 시청정보 전송시 보안위협 경고2013.11.23
- 미리보는 2014년 보안 위협 시나리오2013.11.23
- 익스플로러 보안 업데이트, 취약점 패치 누락 소동2013.11.23
- 아마존, 클라우드 보안 강화...로그 분석 기술 공개2013.11.23
트위터 보안 엔지니어 제이콥 호프만 앤드류스는 만약 공격자가 모든 트위터 사용자들의 암호화된 트래픽을 기록해 이후에 크랙이나 트위터 사용자들이 가진 개인 키를 알아내려고 할 경우 그들은 기록된 트래픽에 대한 암호를 풀기 위해 해당 키를 사용할 수 없다고 말했다.
트위터에 따르면 트윗 송수신 관련 인터넷 트래픽 중 75%는 ECDHE 방식이 적용됐으며 나머지 25%가 과거 클라이언트 버전을 사용하는 탓에 해당 기술이 적용되지 않았다.