아트 코비엘로 RSA 회장이 미국 국가안보국(NSA)과의 뒷거래 의혹에 대해 처음으로 말문을 열었다. NSA가 제시한 암호화 알고리즘에 취약점이 있다는 사실을 뒤늦게 알아낸 것이 화근이었을 뿐 대가를 받은 것은 아니라는 입장이다.
25일(현지시간) 미국 지디넷, 월스트리트저널, 더레지스터 등 외신들은 미국 샌프란시스코에서 개최 중인 글로벌 보안 컨퍼런스인 'RSA2014'에서 기조연설을 맡은 코비엘로 회장이 이 같이 해명했다고 보도했다.
코비엘로 회장은 NSA가 보안 커뮤니티 내에 신뢰를 무너뜨렸다면 그것은 문제라고 생각하며 (문제가 지속된다면) 우리는 NSA와 일할 수 없다며 뒷거래 의혹을 전면부인했다.
지난해 12월 로이터 통신은 NSA 감시활동 폭로자인 에드워드 스노든이 공개한 문서를 토대로 RSA가 'B세이프'라는 보안제품에 NSA로부터 1천만달러를 받는 대가로 취약점이 존재하는 암호화 알고리즘을 적용했다는 의혹을 제기한 바 있다. 해당 제품을 쓰는 기업, 기관 등이 모두 NSA의 감시대상이 될 수 있었다는 설명이다.이 문제에 대해 코비엘로 회장은 RSA 뿐만 아니라 미국 내 다른 보안회사들과 마찬가지로 자국 보호를 위해 NSA와 협력하고 있으나 (RSA 제품에 적용한) 이중 타원 곡선 난수발생기(Dual Elliptic Curve Deterministic Random Bit Generator) 알고리즘은 미국 국립기술표준원(NIST)으로부터 인증 받은 기술을 사용한 것이고, 이후에 취약점이 발견된 후에는 이를 변경했다고 해명했다.
코비엘로 회장은 월스트리트저널과 별도 인터뷰에서 만약 NSA가 보안 커뮤니티 내에 신뢰를 무너뜨렸다면 그것은 문제라고 생각하며 그렇다고 하면 우리는 NSA와 일할 수 없다고 못박았다.
그는 이어 현재 NSA와 암호화 기술과 관련된 어떤 거래도 없다며 만약 거래를 하게 된다면 (안전성에 대한) 보장이 필요할 것이라고 말했다.
RSA 전체 매출에서 암호화 제품이 차지하는 비중은 높은 편은 아니다. 이와 관련 코비엘로 회장은 B세이프는 주로 정부기관에 납품하고 있었으며 비즈니스적으로 큰 영향은 없었다고 말했다.
월스트리트저널은 제보를 통해 최근 실제 RSA와 NSA 사이에 이 같은 계약이 있었다는 사실을 확인했다고 보도했으나 이 역시 아직 정확한 물증은 나오지 않고 있다.
설사 RSA가 NSA와 뒷거래를 하지 않았다고 하더라도 해당 취약점에 대해 늑장대응한 책임을 피할 수 없을 것으로 보인다. 해당 암호화 알고리즘에 대한 취약점은 이미 7년 전에 수학자를 통해 발견된 것이기 때문이다.
이에 대해 코비엘로 회장은 소 잃고 외양간 고친 격(20/20 hinsight)이 됐다고 시인하며 보안담당자들 중 소수만 해당 알고리즘의 취약점을 발견해 대응이 늦었다고 해명했다.
코비엘로 회장과 RSA의 적극적인 해명에도 불구하고 RSA컨퍼런스에 참석해 왔던 주요 보안전문가들은 올해 행사에 불참을 선언하면서 '트러스티콘'이라는 별도 행사를 내주 중 개최할 예정이다.
그는 이어 NSA가 도를 넘어선 행동을 해 온 만큼 해당 기관이 해야하는 역할은 적절한 통제 아래 자국을 보호하는 일이라고 주장했다.
이날 기조연설에서 코비엘로 회장은 온라인 상 신뢰, 프라이버시 침해를 막기 위한 4가지 원칙을 제시했다.
먼저 전 세계 정부가 사이버무기를 사용하지 않도록 협약을 맺을 것을 제안했다. 핵무기, 생화학무기 사용을 금지하는 것처럼 사이버무기에서도 같은 협약이 필요하다는 것이다.
두번째로는 국가들 간에 사이버 범죄에 대해 공조체계를 마련할 필요가 있다고 강조했다. 사이버 범죄 수사, 체포, 기소 등에 대한 공조가 필요하다는 설명이다.
세번째는 각국 정부들 간에 온라인 환경을 안전하게 보호하고, 지적재산권을 존중할 수 있도록 하는 원칙을 세워야 한다고 역설했다. 법의 원칙이 세워져야한다는 것이다.
관련기사
- NSA 후폭풍...RSA 보안 컨퍼런스 흥행 위기?2014.02.26
- 유명 보안 전문가, RSA 컨퍼런스 불참 선언..왜?2014.02.26
- RSA, NSA서 돈 받고 특정 암호 사용 혐의 부인2014.02.26
- RSA, 암호화SW에 '백도어' 심고 '뒷돈' 챙겨2014.02.26
끝으로 온라인 상에서 사람들의 프라이버시가 존중돼야 한다고 밝혔다. 개인정보가 디지털 세상에 광범위하게 유통되고 있는 만큼 미래를 위해 법적으로 보호돼야 한다고 설명했다.
코비엘로 회장은 많은 사람들이 이러한 원칙을 채택할 수 있는가에 대해 회의적이거나 냉소적으로 반응할 것으로 보지만 이미 전 세계에 핵전쟁, 생화학 전쟁 등을 금지해 왔다는 점을 보면 사이버 공간에서 적용하지 못할 이유는 없다고 주장했다.