플레이스테이션 3 ⓒ미(美) PlaySataion 홈페이지

국제 보안 연구자 단체가 웹사이트들을 보호하는 알고리즘을 손상시키는 방법으로 거의 탐지 불가능한 피싱 공격을 수행할 수 있다는 내용을 발표해 화제다. 특히 이들의 공격 기술은 200여개의 소니 플레이스테이션 3를 이용한 것으로 알려져 많은 관심을 받았다.

독립 연구자 제이콥 아펠바움(Jacob Appelbaum), 알렉산더 소티로프(Alexander Sotirov) 뿐만 아니라 스위스 로잔 공과대학(Ecole Polytechnique Federale de Lausanne), 미(美) 버클리 대학과 캘리포니아 대학, 네덜란드 에인트호벤 공대(Eindhoven University of Technology) 등의 컴퓨터 과학자들로 구성된 국제적인 보안 연구팀은 지난 12월 27일부터 30일까지 독일 베를린에서 개최된 해커 컨퍼런스 CCC(Chaos Communication Congress) 2008에서 MD5 해쉬 알고리즘을 이용한 피싱 공격 기술에 관한 내용을 발표했다.

이들 연구자들은 인증 생성에 이용되는 MD5 해쉬 알고리즘의 취약성을 이용해 베리사인(Verisign)의 RapidSSL.com 인증 권한을 해킹, 인터넷 사이트의 가짜 디지털 인증을 생성할 수 있었다고 밝혔다.

MD5 해쉬 알고리즘은 동일한 해쉬 값을 갖는 두 개의 각기 다른 문서가 생성될 수 있는 취약점을 갖고 있다. 이것으로 공격자는 진짜 사이트의 인증과 동일한 피싱 사이트를 생성할 수 있는 것이다.

이들 연구자들은 플레이스테이션 3를 이용해 ‘로우그(rogue) 인증 권한’을 구축, 사실상 모든 브라우저가 신뢰할만한 허위 인증을 발행할 수 있었다. 플레이스테이션의 셀 프로세서는 특히 암호화 기능을 수행하는데 탁월하기 때문에 암호 해독자들 사이에서 인기가 높다는 것이 이들의 설명.

그러나 이 공격을 착수하는 것은 쉽지 않다. 공격자들이 이 기술을 이용하려면 우선 피해자들이 가짜 디지털 인증을 호스트하는 악성 웹사이트를 방문하도록 속여야만 하기 때문이다. 이와 관련해 이들 연구자들은 “이 기술이 실제 공격으로 이용될 가능성은 낮다”며 “이번 연구는 단지 MD5 해싱 알고리즘이 더 이상 기업들의 인증에 이용되어서는 안 된다는 것을 보여주기 위한 것”이라고 설명했다.

한편 이번 연구에 협조한 RapidSSL.com은 이달 말쯤 MD5 인증 발행을 중단할 예정이며 이후 고객들을 위한 새로운 디지털 인증 방식을 제공하기 위해 총력을 기울이고 있는 것으로 알려졌다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>