NSA와 IETF: 공격자는 약화된 암호화의 표준화를 구매할 수 있는가?

 (blog.cr.yp.to)
2P by GN⁺ 8일전 | ★ favorite | 댓글 1개
  • NSAGCHQ 등 감시 기관이 기존 ECC+PQ 이중 암호화에서 PQ 단일 암호화로의 표준화 약화를 추진 중임
  • 이러한 변화는 IETF TLS 워킹 그룹 등 표준화 조직 내부의 절차, 군사 예산, 대기업 구매 요건과 연동됨
  • 다수 보안 전문가 및 현장에서는 이중 암호화 유지가 실제 위협과 결함 발생 가능성을 감안할 때 상식적인 선택임을 강조함
  • 단일 PQ 표준 도입을 둘러싸고 법적 절차적 요건, 합의의 정의, 항의 처리 미흡 등 심각한 절차 문제도 발생함
  • NSA 등 일부 조직의 구매력과 영향력이 궁극적으로 취약한 표준을 노멀화하고, 보안 생태계 전반에 위험을 증가시키는 현상임

서론: 이중 암호화(하이브리드) 방식의 필요성과 현실적 배경

  • 포스트퀀텀(PQ) 암호화는 기존 ECC 기반 암호화 위에 추가적인 보안 레이어로 도입되고 있음
  • 예시: Google CECPQ1(전통 ECC인 X25519 + PQ NewHope1024), CECPQ2(ECC+NTRUHRSS701), CECPQ2b(ECC+SIKEp434)
  • 최신 브라우저들은 Cloudflare 기준 절반 이상이 PQ를 사용하며, 대부분이 ECC와 동시 적용(이중화) 형태임
  • PQ가 이론상 강력하더라도 새 취약점이나 알고리듬 붕괴가 발생할 수 있고, 실제로 SIKE 공개 붕괴 등 문제가 발생했음
  • 이중 암호화는 자동차 안전벨트처럼, 미지의 위험이나 결함에 대비하기 위한 현실적 완충 장치 역할

NSA와 GCHQ의 표준화 영향력 및 목표

  • NSA, GCHQ는 ECC+PQ 이중 암호화가 아닌, 단일 PQ 암호화(하이브리드 미적용) 표준으로 약화하려 시도 중임
  • Dual EC와 같이 "보안 강화"라는 명분으로 논리적 오류가 있는 논리를 되풀이하며, 실제로는 취약점 유입 및 영향력 확대가 목적임
  • NSA는 군사/국가기간망 조달 기준을 활용해, 예산 집행을 통해 상품/서비스가 단일 PQ를 따르도록 유도함
  • Cisco, Google, IBM, Microsoft 등 주요 기업들은 NSA 등 기관 요구에 맞춰 PQ 단일 암호화 구현을 공식화/지지하고 있음

"자사 제품 사용" (Dogfooding) 주장과 현실

  • NSA는 DES(56비트) 약화, 표준화 당시에도 "우리는 DES를 국가 정보용으로도 쓴다" 식의 강화된 신뢰성 어필 마케팅을 활용했음
  • 실제로는 Triple-DES 등 다중 레이어 방식으로 중요 정보 보호함
  • 현재도 NSA는 주요 데이터 보호 시 두 가지 독립 암호화 계층을 운영하여 단일 실패 상황을 방지하려고 함

표준 채택 절차와 IETF의 사례

  • IETF에서 TLS에 대한 하이브리드(ECC+PQ) 도입 초안은 2025년 3월, 별다른 반대 없이 채택됨
  • 반면 단일 PQ 초안은 여러 보안 전문가들이 안전성, WG charter, 복잡성 증가 등 다양한 지적을 제기
    • SIKE 사례처럼 하나라도 깨질 경우 전체 보안이 무너지는 위험
    • NSA의 구매 주도 행위가 BCP 188 및 WG의 "보안 증진" 목적 위배
  • 하이브리드는 실질적 단점 없이 안전성만 증가시키는, 현실적 최적 선택

법적/정책적 절차와 합의 요건

  • 미국 법률상 표준화 조직은 공개성, 이해관계 균형, 적법 절차, 이의제기 응답, 합의(concensus) 를 충족해야 함
  • 대법원 판례 및 OMB 규정에 따라 "합의"는 단순 투표가 아닌, 각 반대의견의 공정한 검토와 정보 제공, 진정한 광범위 동의를 의미함
  • 실제 IETF 사례에서 22명 찬성, 7명 반대라는 비율만으로 일반적 합의로 보기는 곤란함
  • IETF 내 다수 지지 의견은 매우 짤막하고, 반대의 논거에 대해 실질적/구체적 응답이나 토론이 부족했음

위험 요인 요약

  • NSA 등 영향력 높은 기관이 예산 집행 및 표준화 조직 참여를 활용하여 취약점 내재화 및 산업 종속 현상을 유도함
  • Dual EC, SIKE 등 이전 표준화 실패로 인해 중요한 보안 약점 노출 및 재앙적 결과가 반복될 수 있음
  • 실질적으로는 이중 암호화가 기본이 되고 있는 반면, 약화 표준이 "절약" 혹은 "단순화" 명분으로 도입될 경우 전체 생태계가 위험에 처할 수 있음

결론 및 시사점

  • 표준화 주체의 공정성, 투명성 강화, 실제 시장 요구를 반영한 이중 암호화 채택 촉진이 필요함
  • NSA 등 공격적 영향력 행사로 인한 생태계 전반의 보안 약화 가능성에 대한 경각심 필요
  • 위험을 줄일 수 있는 선진 사례(이중 암호화 보편화 등) 확산을 위해 개발자와 기업의 적극적 관심 및 감시 체계 마련이 매우 중요함
GN⁺ 8일전  [-]
Hacker News 의견

  • DJB가 2022년부터 NSA의 입장에 대해 꾸준히 비판해왔음(참고: DJB의 블로그 글) 실제로 하이브리드가 아닌 PQ 키 교환을 실제 애플리케이션에 도입하자는 주장이 있다는 사실에 큰 놀람을 느낌 만약 이게 NSA가 알아서 쉽게 깰 수 있도록 꾸민 장치가 아니라면, 어쨌든 최근에서야 나온 메커니즘에 엄청난 신뢰를 보이는 것임 이 상황은 마치 "하수에서 바이러스 탐지 가능해졌으니 병원에서 전염병 가능성 보고할 필요 없음" 이라고 주장하는 것과 비슷한데, 일부 사람들의 목표가 모두와 완전히 반대일 수도 있다는 점에서 더 위험함 DJB가 2022년 글에서 NSA는 공개적으로 "추가 보안 계층을 섣불리 도입해 문제가 발생한 극소수 사례"를 들고, NIST PQC 프로세스에 신뢰를 표명한 것이 전부임을 지적함

    • "최근에서야 개발된 메커니즘"이 뭔지 좀 더 구체적으로 말해줬으면 좋겠음

  • 이 주제에 대해 논쟁할 지점이 많음 A) 사이버 정부기관은 절대 신뢰하면 안 됨 B) NSA는 우리가 상상하는 그런 곳이 아님, 정말 기이한 와일드 웨스트임, 경험자로서 확신함 C) 암호학은 그냥 보안이나 메시지 교환보다 훨씬 많은 것이 얽혀있음, 뭔가(생명체일 수도 있음)가 복호화될 수 있다는 사실조차 모를 때도 있음 D) NSA는 정말로, 정말로 치사함, 디지털 CIA라 할 수 있을 정도이고, tech/telecom/manufacturer 기업 등 곳곳에서 사이버 스파이로 활동함 E) NSA의 조언은 절대 따르지 말아야 함 / 그들은 악용 중심 문화임

    • "뭔가(생명체일 수도 있음)가 복호화될 수 있다"는 게 무슨 의미인지 궁금함

    • NSA를 신뢰하지 말라는 말 말고, 왜 당신 자신을 신뢰해야 하는지 논리를 펼쳐줬으면 함

  • 문제제기를 공개적으로 하면서도, 불만이 3일 전에 공식적으로 기각됐다는 사실(참고: IESG 공식 문서)은 언급하지 않은 점이 이상하게 느껴짐

    • 당신과 작성자 모두를 존중하는데, 기각 문서는 정작 주요 이슈에 대한 실질적 답변 없이 그냥 "절차적 문제 없음" "불복하려면 형식에 맞춰 제대로 다시 내라"는 정도로 끝남 이런 대응은 신뢰감을 더 떨어뜨림

    • 기록의 완결성을 위해 공개된 건 좋다고 생각함 이런 이슈는 항상 "암호화 약화"를 노리는 사람이 쉽게 포기하지 않는 오랜 역사가 있다는 점을 잊으면 안 됨

  • 이 사안이 많이 걱정되는 일이고, DJB가 이에 맞서 싸우는 점에 존경을 표함 한가지 궁금한 건 NSA가 신경써야 할 정도로 실질적으로 위험신호가 되는 타겟이 누구냐는 것임

    • 기술에 밝은 타겟은 어차피 하이브리드 키교환 쓸 거고,

    • 보통 사용자나 기술을 잘 모르는 타겟은 이미 PRISM 같은 감시로 암호화 의미가 거의 없음

    • 그렇다면 NSA의 진짜 속셈이 뭐냐는 의문임

    • 대부분의 조직은 그냥 Cisco 라우터나 웹브라우저의 기본 보안 설정을 그대로 따라 사용함 NSA는 처음엔 (완전히 안전하지 않은) 프로토콜들도 "지원"하도록 요구하고, 보편화되면 이것을 "기본값"으로 삼도록 준수 검사까지 하게 만듦

    • 모든 대상을 백도어 기술로 커버 못하더라도 시장의 30%만 써도 대성공인 셈 정보수집은 수치의 게임이고, 그물만 넓게 치면 언젠가 많은 대상을 포착할 수 있음

    • QUANTUMINSERT와 결합하면 원래 더 강한 암호화 쓰던 사람도 다운그레이드 공격에 노출되어버릴 위험이 있음

    • 걱정된다는 게 정확히 뭘 의미하는지, 구체적으로 말해줬으면 함

    • 99%의 글로벌 TLS 트래픽이 위험하다는 의미 아닌지 궁금함

  • RSA를 ECC로 교체하자는 열광적인 흐름도 동일하게 의심스러움 오래 신뢰받던 알고리즘이 갑자기 신뢰받지 못하고, 구현이 어렵고, 느리고, 유행에 뒤처진다는 주장이 정말 동시에 뻔한 패턴으로 쏟아져나왔다고 생각함 이것이 매우 비자연스럽게 느껴짐

  • 저런 시도를 한다는 생각만으로도 기존 두 겹 암호 위에 3번째 계층을 하나 더 추가하고 싶어짐

    • 사실 대부분의 암호/애플리케이션에선 암호화 계층을 여러 겹 쌓아도 비용이 크게 들지 않음 10겹쯤 겹치는 게 손해볼 일 없음

  • "포스트퀀텀 알고리즘이 심지어 오늘날 컴퓨터로도 깨질 수 있다"는 주장은 사실상 "무지 기반 보안(Security Through Ignorance)"을 제공하는 셈임 이 암호가 안전한지? 아무도 모름! 결과 나올 때까지 기다려보자는 식임

  • 여러 사건이 얽힌 드라마가 있는 것 같은데, 그와 별개로 이 글을 읽고 중요한 표준은 정부가 아닌 곳에서 결정돼야 한다는 생각이 들었음 과연 어떤 곳이 표준화 프로세스를 맡는 게 좋을까? Linux Foundation? 지금은 이더리움 생태계에서 영지식증명(ZK proof) 쪽에 암호수학 인재들이 모여 있는 것 같음 Vitalik이 NIST처럼 콘테스트를 열면 다들 주목할 듯 가장 필요한 건 "실전 적용 전 가짜 데이터로 암호를 뚫으려는 공격자에게 보상을 주는 구조"를 만드는 것임 암호가 표준화되기 전에 이미 공격을 받게 하는 게 이상적임 이더리움 측에서 이런 바운티 제도 잘 운영 중임 윤리적 공개를 통해 암호전문가가 실제 보상을 받으면 비윤리적인 쪽에 팔 유인이 줄어듦

  • 무서운 점은 Wouters라는 사람이 Bernstein에게 매우 불친절하고 공격적인 CoC(행동강령) 메시지로 밴을 위협했음(참고: 이메일 원문) "프로세스를 신뢰하라"는 역설적 경험임

  • FIPS는 보안표준의 최후 보루 같은 존재임

    • 처음에 FIPS를 "보안표준의 바순(bassoon, 악기)"로 잘못읽어서 헷갈렸음, 뇌가 전혀 다른 상상을 시작했음
답변달기