GnuPG에 서명 위조 가능한 결함...20년만에 발견
2018년 06월 18일
ⓒ 지디넷코리아, 권봉석 기자 / bskwon@zdnet.co.kr
이메일을 암호하하고 서명하는 데 널리 쓰이는 오픈소스 보안 소프트웨어인 'GnuPG'에 외부인이 서명을 위조할 수 있는 치명적인 결함이 숨어 있었던 것으로 드러났다.
GnuPG(GNU 프라이버시 가드)는 1991년 개발된 암호화 기술인 PGP를 기반으로 만들어진 암호화 소프트웨어다. PGP 개발자 중 한 명인 필 짐머만이 1997년 제안해 통과된 오픈소스 암호화 기술인 오픈PGP를 기반으로 한다.
GnuPG는 리눅스 진영에서 이메일 서명은 물론 파일 암호화 등 폭넓은 분야에서 쓰였다. 소프트웨어 버전 관리 시스템인 Git도 각종 서명에 GnuPG를 활용한다.
그러나 GnuPG 소프트웨어에는 다른 사람의 공개키를 이용해서 마치 그 사람이 서명한 것처럼 속일 수 있는 버그가 숨어 있었다.
CVE-2018-12020 으로 분류된 이 문제는 버그나 비정상적인 동작이 발견됐을 때 이를 확인하기 위한 '자세히'(verbose) 모드에 숨어 있었다. 이 모드를 이용하면 다른 사람의 공개키를 이용해서 마치 그 사람이 서명한 것처럼 속일 수 있다.
이 문제를 공개한 마커스 브링크만은 "이 문제는 1998년에 나온 GnuPG 0.2.2 버전부터 숨어 있었다"며 "GnuPG에 숨은 문제는 핵심 인프라에 큰 영향을 미칠 잠재력을 지녔다"고 평가했다.
현재 GnuPG와 이를 활용하는 소프트웨어인 GPG툴스, 이니그메일 등 오픈소스 소프트웨어는 이 버그를 모두 수정한 상태다. 오픈PGP를 활용한 다른 소프트웨어 역시 곧 문제를 패치할 것으로 보인다.
※ 본 내용은 (주)메가뉴스(http://www.zdnet.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 지디넷코리아. 무단전재 및 재배포 금지
[원문출처 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20180618062524]
번호 | 제목 | 조회수 | 작성 |
---|---|---|---|
공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 304691 | 2020-10-27 |
공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 294298 | 2020-10-27 |
7867 | GnuPG에 서명 위조 가능한 결함...20년만에 발견 | 5117 | 2018-06-18 |
7866 | 한글과컴퓨터, 오픈소스 분쟁소송 ‘205만 달러’로 합의 | 6177 | 2018-06-18 |
7865 | 원주시, 오픈소스 이용 공간정보시스템 개발 | 4775 | 2018-06-18 |
7864 | 페이스북, 자체 개발 로드밸런서를 오픈소스로 공개 | 5373 | 2018-06-18 |
7863 | 고려대, 세계 최초 SW테스팅 탐색전략 자동생성 기술 개발 | 4990 | 2018-06-18 |
7862 | 얼굴 움직임 따라 패턴 바꾸는 로봇 제어 페로플루이드 | 4818 | 2018-06-18 |
7861 | [해외소식]페이스북 오픈소스 소나(Sonar) | 5081 | 2018-06-14 |
7860 | [주간 OSS 동향 리포트] '오픈소스' 주도권 경쟁, 글로벌 IT기업 행보 주목 | 6660 | 2018-06-12 |
7859 | 블록체인으로 전자투표 신뢰도 높인다 | 5223 | 2018-06-12 |
7858 | [국제]MS, AI 반도체 개발 시도..구글 맹추격 | 5217 | 2018-06-12 |
0개 댓글