인기 전자우편 암호화 툴인 PGP(Pretty Good Privacy)를 사용하는 사용자가 내용을 알 수 없는 전자우편을 받은 후 회신할 경우 전자우편 메시지 암호가 해독될 수 있는 것으로 밝혀졌다.
컬럼비아대학과 인터넷 보안회사 카운터페인인터넷시큐리티는 해커가 전자우편 메시지를 가로채 이를 무슨 뜻인지 알 수 없는 문장으로 재포장해 수신자에게 전달하는 수법으로 메시지 암호를 해독할 수 있다는 사실을 찾아냈다고 밝혔다.
이들은 수신자가 재포장된 전자우편의 내용을 알 수 없기 때문에 발신자에게 재전송을 요청할 가능성이 높으며 수신자가 원문 메시지를 받은 그대로 첨부시킨 채 재전송을 요청할 경우 해커가 원문 메시지를 해독할 수 있게 된다고 설명했다.
전자우편 메시지를 중간에서 가로채는 일은 ‘스니퍼’로 알려진 소프트웨어를 사용하면 간단한 일이며 일부 기업의 경우 스니퍼 같은 프로그램으로 직원의 사적인 전자우편 사용을 감시하고 있기도 한다.
PGP는 그동안 전자우편 감시망을 피하려는 인권운동가에서 일부 FBI요원 등에 이르기까지 광범위한 사용자층을 갖고 있으며 미국 정부는 PGP가 범죄나 테러 등에 악용될 가능성을 들어 지난 99년까지 이 기술의 판매 제한을 추진했었던 강력한 암호화 기술이다.
인터넷엔지니어링태스크포스에서 오픈PGP 표준 작성을 주도했던 존 칼라스는 많은 PGP 소프트웨어 패키지들이 전자우편 메시지를 압축해 전송하기 때문에 이번 결함이 심각한 문제이기는 하지만 실제로 그런 수법으로 해킹하는 것은 어려울 것이라고 반박했다. 그는 또 많은 보안 프로그래머들이 오픈 PGP 표준의 결함을 고치는 솔루션을 이미 만들고 있다고 밝혔다.
<황도연기자 dyhwang@etnews.co.kr>