웹 암호기술 임의 조작 `프레이크` 취약점 발견

웹 브라우저에서 사용하는 암호화 기술을 임의로 조작해 512비트의 허술한 암호시스템으로 전환한 뒤 각종 버그를 일으키거나 사이버 공격까지 할 수 있도록 하는 취약점이 발견됐다. 미국 정부는 물론 전세계 주요 웹사이트 상당수가 이 취약점에 노출 돼 있어 신속한 대응이 요구되고 있다.

4일 워싱턴포스트 등 외신은 웹 브라우저의 암호시스템을 허술한 체계로 변경할 수 있도록 하는 취약점 '프리크(FREAK; Factoring attack on RSA-EXPORT Keys)'가 미국 및 프랑스 연구진에 의해 발견됐다고 보도했다. 연구진 측은 "해당 취약점을 악용하면 현재 웹 브라우저의 암호기술을 10년 전 구형 암호기술인 512비트 암호기술로 임의 변경하고 변경된 암호를 해독해 웹 브라우저를 공격하는 정밀한 사이버 공격이 일어날 수 있다"고 밝혔다.

미시간주립대학교 연구진은 암호화 통신(SSL)을 제공하는 전세계 웹사이트 1400만곳 가운데 500만곳이 프리크 버그에 취약하다는 조사결과를 발표했다. 이들이 공개한 목록에는 백악관 등 미국 정부기관 웹사이트와 아메리칸익스프레스 같은 금융회사도 포함됐다. 국내 웹사이트 중에도 정부기관 홈페이지 138곳과 주요 대학 50곳, 매일경제 등 언론사 및 KT, LG유플러스 통신사 웹사이트까지 총 1200곳 이상이 포함된 것으로 나타났다.

외신은 미연방수사국(FBI)이 최근 이 취약점을 보완하는 기술을 개발했으며, 해당 취약점이 있는 것으로 알려진 구글 안드로이드와 애플은 빠른 시일 내 버그를 해결할 수 있는 패치를 배포할 예정이라고 보도했다.

강은성기자 esther@