미국 보안솔루션업체 EMC RSA가 미국 국가안보국(NSA)로부터 1천만달러(106억원)을 받고 전산시스템에 몰래 접근할 수 있는 우회통로(백도어)를 미리 심어둔 것으로 드러났다.
20일(현지시간) 미국 씨넷 등 외신에 따르면, NSA는 지난 2000년대 중반 암호화 SW인 'B세이프'에 `쌍대 타원 곡선 공식`이라는 난수 발생 방식의 알고리즘을 포함시키라는 NSA의 요구를 들어주는 대가로 1천만달러의 돈을 받았다.
로이터에 따르면 RSA는 NSA의 요구대로 백도어를 만들어‘B세이프’에 포함시켰고, 이 알고리즘은 개발초기 미국 국립기술표준원(NIST) 인증을 획득했다. 또 B세이프의 암호화 기술은 근본적으로 결함 있는 암호화 알고리즘이기 때문에 NSA가 필요하면 언제든 뒤엎을 수 있었던 것으로 알려졌다.
암호화 기술은 원래는 무작위로 숫자를 생성해야 하지만 RSA B세이프는 고정된 동일한 숫자들을 다수 알고리즘에 내장했다. 이 숫자를 알고 있는 사람이라면 누구나 암호문을 해독할 수 있다. 이는 스노든의 NSA 사찰 폭로 문서에서 확인된 기능으로, NSA에 의해 설치된다.
로이터는 이 금액이 보잘것없는 것처럼 보이지만 당시 RSA 관련 부서의 전년도 매출 3분의1 이상이란 사실을 증권당국에 제출된 서류를 보면 알 수 있다고 지적했다.
RSA가 NSA 요구로 암호화SW에 백도어를 만들었다는 폭로는 지난 9월 제기됐다. 그러나 대가성 있는 조치였다는 폭로는 처음이다. RSA는 전세계 컴퓨터의 암호화 근본 이론인 `공개 키 암호화`를 정립한 학자들이 1982년 창립한 회사로, 세계 보안 원천기술을 선도해왔다. 2006년 EMC에 인수됐다.
RSA 측은 항상 고객의 이익을 최우선에 두고 행동하며 어떠한 경우에도 자사 제품에 백도어를 설계하거나 뒷문을 이용할 수 있도록 하지 않는다라며 제품 특징과 기능에 관한 결정은 우리가 내린다고 해명했다.
관련기사
- EMC "트래픽탐지 보안에 빅데이터 응용"2013.12.22
- 美RSA, 해킹파문 OTP 4천만대 전면리콜2013.12.22
- 美RSA OTP해킹 파문…금융권 '주의'당부2013.12.22
- EMC, 네트워크 보안SW업체 인수2013.12.22
그러나 민간 보안기술 전문업체가 정부기관과 뒷거래를 통해 사찰을 도왔다는 사실이 드러남에 따라 보안업체에 대한 신뢰도가 추락할 것으로 예상된다.
브루스 슈나이더란 보안 전문가는 NSA가 한 회사에만 뇌물을 줬는지, 누가 연루돼 있는지 알 수 없다라며 지금 누구를 믿을 수 있겠느냐고 밝혔다.
