NSA가 보안회사와 비밀 계약을 하다

오늘 해커뉴스 스레드[1]에서 완전 대박 뉴스[2,3]를 봤다.

RSA 시큐리티라는 회사가 있는 모양인데, 위키피디아에 따르면 RSA 알고리즘을 만든 그 장본인들이 설립한 회사인 듯 하다. 설립자의 네임벨류인지는 몰라도 세계 보안시장의 상당 규모를 장악하고 있는 듯.

이 회사가 NSA에게 천만달러의 돈을 받고, 보안 모듈을 약화시켰다는 정보가 스노든의 최근 폭로문서에서 드러난 모양이다. 당연하게도 NSA는 부정하고 있지만 그걸 믿는 사람은 없을 듯. ㅋ

로이터 기사[2] 내용의 일부는 번역되어 한국일보 기사[3]에 그대로 언급되어 있다. 본인과 같은 영어 울렁증-_-이 있는 사람은 한국일보 기사를 읽어보시라. ㅋㅋ

일전에 NSA의 패악[4]에 대해 언급한 적이 있지만, 이제 보안에 관해서는 아무도 믿을 수 없는 지경에 이른게 아닌가 싶다.

일전에 포스팅하려다가 귀찮아서 안한-_- 사건이 생각난다. NSA가 페이스북과 구글의 데이터 센터를 도청해오고 있었다는 사실이 알려지자 가장 광분했던 이들이 바로 데이터 센터 보안 담당자들이라는데, 구글 보안 담당자는 구글 플러스[5]에 fuck라는 거친 표현을 쓰면서 NSA를 욕해서 잠시 화제[6]가 됐다. 하긴 나라도 짱났겠다. ㅋㅋ

여하간 보안에 관해서는 이제 미국 정부와 다른 정부들 뿐만 아니라 사기업들까지 불신의 벽이 만들어지고 있다. NSA의 패악은 어디까지 드러날 것인가. 스노든의 다음 폭로가 괜히 기다려진다-_-

 


2013.12.24
https://gist.github.com/0xabad1dea/8101758

 


2014.4.1
로이터 Exclusive – NSA infiltrated RSA security more deeply than thought: Study Mon Mar 31, 2014 11:04am EDT

 


2015.5.15
the intercept MANY OF THE NSA’S LOUDEST DEFENDERS HAVE FINANCIAL TIES TO NSA CONTRACTORS 05/13/2015 3:44 AM

 


[1] https://news.ycombinator.com/item?id=6944118
[2] 로이터 Exclusive: Secret contract tied NSA and security industry pioneer Fri Dec 20, 2013 5:07pm EST
[3] 한국일보 “보안 원천기술업체 RSA, ‘뒷문’ 만들고 NSA서 뒷돈” 2013.12.21 15:52:02
[4] 내 백과사전 인터넷의 거의 모든 암호화를 뚫는 NSA의 해독 능력 2013년 9월 6일
[5] https://plus.google.com/+BrandonDowney/posts/SfYy8xbDWGG
[6] 뉴스1 구글 보안기술자 “NSA의 케이블 감청은 불법” 2013-11-07 04:34

Advertisements

2 thoughts on “NSA가 보안회사와 비밀 계약을 하다

  1. 이건 https://zariski.wordpress.com/2013/10/11/%ec%95%94%ed%98%b8%ed%99%94-%ec%95%8c%ea%b3%a0%eb%a6%ac%ec%a6%98%ec%9d%84-%ec%96%bc%eb%a7%88%eb%82%98-%ec%8b%a0%eb%a2%b0%ed%95%a0-%ec%88%98-%ec%9e%88%eb%82%98/#comment-3080 이거의 follow-up입니다.
    Dual EC DRBG를 쓰는 곳이 별로 없는데(가령 openssl이라는 상당히 널리 쓰이는 SSL/TLS 라이브러리에서는 해당 알고리즘 구현이 망가져 있는데 여태까지 아무도 몰랐다고 합니다: http://marc.info/?l=openssl-announce&m=138747119822324&w=2 ) 미국 정부 관련 recommendation에 들어있다 보니까 정부 납품과 관련된 곳에서 종종 쓰고 있었습니다.
    해당 알고리즘을 쓰는 몇 안되는 사례 중 하나가 RSA Security입니다. 이전 사건에 RSA Security에서는 바로 해당 제품들을 쓰지 말라는 공지를 내린 바도 있고요: http://arstechnica.com/security/2013/09/stop-using-nsa-influence-code-in-our-product-rsa-tells-customers/ 그때는 그냥 표준 권고안이니까 따랐거니 싶었는데 이번 뉴스를 보니 그렇게 단순한 사건은 아니었을지도 모르겠습니다.
    RSA Security에서는 일단 해명문을 내놓긴 했는데 https://blogs.rsa.com/news-media-2/rsa-response/ 이후 어떻게 될지 더 지켜봐야 할 듯 하네요.

    • 그렇군요. 제 생각에는 뒷돈을 주고받는 당사자 모두 치명적인 뉴스라서, 수사를 진행하면 모를까 이대로는 진실이 드러나기 꽤 어려울 것 같습니다. 정보 감사합니다.

답글 남기기

아래 항목을 채우거나 오른쪽 아이콘 중 하나를 클릭하여 로그 인 하세요:

WordPress.com 로고

WordPress.com의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Twitter 사진

Twitter의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Facebook 사진

Facebook의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

Google+ photo

Google+의 계정을 사용하여 댓글을 남깁니다. 로그아웃 / 변경 )

%s에 연결하는 중