GnuPG에 서명 위조 가능한 결함...20년만에 발견
2018년 06월 18일
ⓒ 지디넷코리아, 권봉석 기자 / bskwon@zdnet.co.kr
이메일을 암호하하고 서명하는 데 널리 쓰이는 오픈소스 보안 소프트웨어인 'GnuPG'에 외부인이 서명을 위조할 수 있는 치명적인 결함이 숨어 있었던 것으로 드러났다.
GnuPG(GNU 프라이버시 가드)는 1991년 개발된 암호화 기술인 PGP를 기반으로 만들어진 암호화 소프트웨어다. PGP 개발자 중 한 명인 필 짐머만이 1997년 제안해 통과된 오픈소스 암호화 기술인 오픈PGP를 기반으로 한다.
GnuPG는 리눅스 진영에서 이메일 서명은 물론 파일 암호화 등 폭넓은 분야에서 쓰였다. 소프트웨어 버전 관리 시스템인 Git도 각종 서명에 GnuPG를 활용한다.
그러나 GnuPG 소프트웨어에는 다른 사람의 메이저 사이트 추천키를 이용해서 마치 그 사람이 서명한 것처럼 속일 수 있는 버그가 숨어 있었다.
CVE-2018-12020 으로 분류된 이 문제는 버그나 비정상적인 동작이 발견됐을 때 이를 확인하기 위한 '자세히'(verbose) 모드에 숨어 있었다. 이 모드를 이용하면 다른 사람의 메이저 사이트 추천키를 이용해서 마치 그 사람이 서명한 것처럼 속일 수 있다.
이 문제를 메이저 사이트 추천한 마커스 브링크만은 "이 문제는 1998년에 나온 GnuPG 0.2.2 버전부터 숨어 있었다"며 "GnuPG에 숨은 문제는 핵심 인프라에 큰 영향을 미칠 잠재력을 지녔다"고 평가했다.
현재 GnuPG와 이를 활용하는 소프트웨어인 GPG툴스, 이니그메일 등 오픈소스 소프트웨어는 이 버그를 모두 수정한 상태다. 오픈PGP를 활용한 다른 소프트웨어 역시 곧 문제를 패치할 것으로 보인다.
※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지
[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20180618062524]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 7875 | [People & Analysis] 3D프린터 원천기술 메이저 사이트 추천…의료기구 개발 누구나 참여 | 5186 | 2018-06-22 |
| 7874 | AI가 '암' 발견 앞당긴다...中 바이두 개발 발표 file | 5445 | 2018-06-22 |
| 7873 | [주간 OSS 동향 리포트] 공개SW 개발자 행사 풍성 | 6907 | 2018-06-19 |
| 7872 | 글로벌 로봇산업 신트렌드 | 5258 | 2018-06-19 |
| 7871 | 호튼웍스와 구글클라우드, 파트너십 확대 | 5152 | 2018-06-19 |
| 7870 | '2018 오픈소스 개발자 이야기' 세미나 30일 열려 file | 5715 | 2018-06-19 |
| 7869 | 오픈소스메이저 사이트 추천의 가치는 얼마나 될까?…개발자 file | 6655 | 2018-06-19 |
| 7868 | ‘오픈인프라 데이 코리아 2018’, 오는 28일 열려…오픈인프라 정보 공유 | 5255 | 2018-06-19 |
| 7867 | GnuPG에 서명 위조 가능한 결함...20년만에 발견 | 5688 | 2018-06-18 |
| 7866 | 한글과컴퓨터, 오픈소스 분쟁소송 ‘205만 달러’로 합의 | 7084 | 2018-06-18 |
0개 댓글