1. 개요

얼마전 GNU PG 에 20년 만에 결함이 발견됐다! 라는 기사를 접하게 되었는데요.

여기저기 널리 활용되고 있는 이 보안 SW에 서명 위조 가능한 결함이라니.. 이를 활용하는 S/W들은 버그 픽스 하느라 정신없겠구나..생각이 들더라구요. 조만간에 패치가 진행될 계획이라고 합니다.

GNU PG가 뭔지 간단하게 알아보겠습니다.

2. GNU PG가 뭐죠?

GNU Privacy Guard(GNU 프라이버시 가드). 1991년 개발된 암호화 기술인 PGP를 기반으로 만들어진 암호화 소프트웨어로 붸르너 코흐(Werner Koch)가 처음 개발했다고 합니다.

GnuPG는 오픈PGP 표준을 다루는 RFC 4880를 만족하는데, 현재 버전의 GPG는 GnuPG나 다른 오픈PGP 호환 프로그램과 상호 운용이 가능하다고 해요.

가장 최근 릴리즈된 버전은 GnuPG 2.1.21 (2017.5.15 발표) 입니다.  위키에서 보니 GnuPG는 GPL3 라이선스로 배포된다고 합니다.

GnuPG 1.4.18과 2.0.26 기준으로, GnuPG는 다음 알고리즘을 지원한다고 합니다. (From 나무위키)

공개키: RSA, ElGamal, DSA
암호화: IDEA [1], 3DES, CAST5, Blowfish, AES-128, AES-192, AES-256, Twofish, Camellia-128, Camellia-192, Camellia-256 [2]
해시: MD5, SHA-1, RIPEMD-160, SHA-256, SHA-384, SHA-512, SHA-224
압축: 압축하지 않음, ZIP, ZLIB, BZIP2

3. 어디에 쓰이나요?

GNU PG는 이메일을 암호하하고 서명하는 데 널리 쓰이는 오픈소스 보안 소프트웨어로 알려져 있는데요~ Git도 각종 서명에 GNU PG 를 활용하고 있다고 합니다.

4. 그런 GNU PG에 20년만에 결함이 발견?

취약점 넘버는 CVE-2018-12020 라고 합니다.

기사에서 보니, 외부인이 서명을 위조할 수 있는 치명적인 결함이 숨어 있었던 것으로 드러났다! 라고 표현이 되어있네요.

1998년 나온 초기 버전(GnuPG 0.2.2)에 숨은 버그라고 합니다. (마커스 브링크만 - 이 문제를 공개한 사람)

※ 기사링크 : http://www.zdnet.co.kr/news/news_view.asp?artice_id=20180618062524