본문 바로가기

Home > 열린마당 > 공개SW 소식

공개SW 소식

GnuPG에 서명 위조 가능한 결함...20년만에 발견

OSS 게시글 작성 시각 2018-06-18 16:43:44 게시글 조회수 4930

2018년 06월 18일 

              ⓒ 지디넷코리아, 권봉석 기자 / bskwon@zdnet.co.kr

 

이메일을 암호하하고 서명하는 데 널리 쓰이는 오픈소스 보안 소프트웨어인 'GnuPG'에 외부인이 서명을 위조할 수 있는 치명적인 결함이 숨어 있었던 것으로 드러났다.


GnuPG(GNU 프라이버시 가드)는 1991년 개발된 암호화 기술인 PGP를 기반으로 만들어진 암호화 소프트웨어다. PGP 개발자 중 한 명인 필 짐머만이 1997년 제안해 통과된 오픈소스 암호화 기술인 오픈PGP를 기반으로 한다.


GnuPG는 리눅스 진영에서 이메일 서명은 물론 파일 암호화 등 폭넓은 분야에서 쓰였다. 소프트웨어 버전 관리 시스템인 Git도 각종 서명에 GnuPG를 활용한다.


그러나 GnuPG 소프트웨어에는 다른 사람의 공개키를 이용해서 마치 그 사람이 서명한 것처럼 속일 수 있는 버그가 숨어 있었다.


CVE-2018-12020 으로 분류된 이 문제는 버그나 비정상적인 동작이 발견됐을 때 이를 확인하기 위한 '자세히'(verbose) 모드에 숨어 있었다. 이 모드를 이용하면 다른 사람의 공개키를 이용해서 마치 그 사람이 서명한 것처럼 속일 수 있다.


이 문제를 공개한 마커스 브링크만은 "이 문제는 1998년에 나온 GnuPG 0.2.2 버전부터 숨어 있었다"며 "GnuPG에 숨은 문제는 핵심 인프라에 큰 영향을 미칠 잠재력을 지녔다"고 평가했다.


현재 GnuPG와 이를 활용하는 소프트웨어인 GPG툴스, 이니그메일 등 오픈소스 소프트웨어는 이 버그를 모두 수정한 상태다. 오픈PGP를 활용한 다른 소프트웨어 역시 곧 문제를 패치할 것으로 보인다.

 

※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지


[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20180618062524]

맨 위로
맨 위로