‘백지영 비디오 풀 버전’은 첨단 암호시스템이 해독되면서 유출된 것인가.
일부 언론이 비디오 유출경위를 놓고 ‘카이스트 한 학생이 하루 만에 해킹했다더라’ ‘첨단 암호체계가 풀렸다더라’는 ‘소문’을 보도하면서, 요즘 인터넷 전문가들은 비디오 내용보다 이 부분에 더 큰 관심을 갖고 있다.
암호해독은 엄청난 파괴력을 가질 수 있다. 이 비디오에 걸어둔 암호체계는 인터넷뱅킹, 전자상거래에서 사용되는 체계와 동일한 것으로 추정되고 있다. 따라서 만약 암호가 해독됐다면 인터넷 이용자의 사생활 및 재산보호, 각종 인터넷 비즈니스모델의 안정성에 심각한 타격을 주게 된다.
결론부터 말하자면 풀 버전의 첨단 암호체계는 풀리지 않은 것으로 나타나고 있다. 인터넷 보안업체들은 “백지영 비디오사건의 또 다른 선정성이 드러나는 대목”이라고 항변한다.
금융기관, 전자상거래 암호체계
백지영 비디오는 P씨가 만든 B사이트를 통해 인터넷 상에 처음 공개됐다. 보안업체 ‘소프트포럼’의 김종덕 암호연구실장(암호학박사)이 11월30일 ‘주간동아’의 요청을 받아 B사이트의 암호구조를 분석했다. 이 사이트는 구입 안내창구로 들어가기-신용카드번호입력-20달러 결제 확인-풀 버전 1회 실행 후 종료 순으로 기능한다(이용자가 풀 버전 파일 자체를 다운로드할 수는 없도록 돼 있다). 김실장은 신용카드연계부분에 암호체계가 걸렸을 것으로 추정한다. “대부분의 포르노사이트 운영자들은 500달러정도의 비용을 들여 암호체계가 포함된 인증서를 구입하는 방법으로 신용카드결제시스템을 사이트에 장착한다. 이 사이트도 그랬을 공산이 크다. 이때 들어가는 암호체계는 금융기관, 기업, 전자상거래 업체에서도 이용되는 RSA알고리즘 이다.”
이 사이트에서 풀 버전이 유출될 수 있는 경로는 세 가지다. RSA암호가 풀렸을 가능성, 동영상에 걸어둔 패스워드가 풀렸을 가능성, 누군가 20달러를 내고 풀 버전을 실행시킨 후 이를 화면째로 복사했을 가능성이 그것이다.
그러나 김실장은 “단시간 내 RSA 암호 해킹은 불가능하다”고 설명했다. 다음은 그가 말하는 이유.
“RSA 암호를 푸는 키(key)의 길이는 1024비트로 영문이나 숫자 128자가 조합된 분량이다. 모든 경우의 수를 따져 이 암호를 푸는 데 걸리는 시간은 약 3000만mips year(초당 100만 회의 연산을 수행하는 컴퓨터로 3000만년이 걸린다는 의미로, 펜티엄Ⅲ PC로 작업했을 때 6만년이 소요된다. 다른 말로 펜티엄Ⅲ PC 6만대를 합친 성능의 슈퍼컴퓨터로도 암호를 푸는 데 1년이 걸린다는 뜻이 된다). 따라서 사이트에 풀 버전이 뜬 지 수 일∼수 주일 만에 누군가 이 암호를 풀었다는 설은 실현 불가능한 이야기다.”
포르노사이트 유료 동영상에 걸어둔 패스워드는 보통 영어와 숫자의 조합으로 이뤄진 네자릿수 정도. 돈을 지불하지 않고 동영상에 접근하려면 패스워드를 알아내야 한다. 그런데 이 정도는 그리 어렵지 않은 일이라고 한다. “불법사이트를 통칭하는 ‘WAREZ’에는 경우의 수를 계속 대입해 딱 맞는 패스워드를 찾아내는 프로그램이 널려 있다.”(김 실장) 그는 “백지영 풀 버전 동영상에 평균 수준의 패스워드가 걸려 있다면 이를 깨는 데는 하루면 충분할 것이다. 이런 작업은 일상적인 수준”이라고 말했다.
세번째 경로를 재현하기 위해 컴퓨터포털사이트 www.pcbee.co.kr의 이적 기자가 11월30일 실험을 해 보였다. 그는 윈도미디어인코더프로그램을 실행시켰다(이 프로그램은 www.myfolder.
net 등 인터넷사이트에서 무료로 구입할 수 있다). 인코더는 모니터에서 동영상이 흘러나오는 동안 소리와 화면을 모두 잡아 저장했다. 인터넷초보자도 쉽게 따라할 수 있는 수준. 이기자는 “암호는 신용카드결제시스템에 걸려 있기 때문에 모니터에서 실행되고 있는 백지영 풀 버전을 복사하는 데는 암호의 방해를 받지 않는다”고 말했다.
그렇다면 화질 문제는 어떻게 되는가. 인코더엔 파일용량 선택 기능이 있다. 이기자는 이를 활용해 복사되는 동영상을 대용량파일로 만들었다. 복사본은 화질과 음질의 수준에서 원본과 구분할 수 없었다.
‘백지영 풀 버전이 최초로 실린 B사이트의 RSA 암호체계가 풀렸을 가능성이 높다’고 보도해 타 매체의 후속보도를 부른 것으로 알려진 한 인터넷뉴스업체는 최근 이 부분을 삭제해 다시 올렸다. 이 업체 관계자는 “재검토과정에서 인코더프로그램을 이용한 단순 복사로 풀 버전이 유출됐다는 쪽으로 결론이 나와 기사를 수정했다”고 말했다.
백지영 풀 버전 사건에 고도의 암호해킹은 없었던 것으로 확인되고 있다. 김종덕 실장은 “네티즌들은 자신의 재산이 저장돼 있는 사이트의 보안기능을 신뢰해도 된다”고 말했다.
일부 언론이 비디오 유출경위를 놓고 ‘카이스트 한 학생이 하루 만에 해킹했다더라’ ‘첨단 암호체계가 풀렸다더라’는 ‘소문’을 보도하면서, 요즘 인터넷 전문가들은 비디오 내용보다 이 부분에 더 큰 관심을 갖고 있다.
암호해독은 엄청난 파괴력을 가질 수 있다. 이 비디오에 걸어둔 암호체계는 인터넷뱅킹, 전자상거래에서 사용되는 체계와 동일한 것으로 추정되고 있다. 따라서 만약 암호가 해독됐다면 인터넷 이용자의 사생활 및 재산보호, 각종 인터넷 비즈니스모델의 안정성에 심각한 타격을 주게 된다.
결론부터 말하자면 풀 버전의 첨단 암호체계는 풀리지 않은 것으로 나타나고 있다. 인터넷 보안업체들은 “백지영 비디오사건의 또 다른 선정성이 드러나는 대목”이라고 항변한다.
금융기관, 전자상거래 암호체계
백지영 비디오는 P씨가 만든 B사이트를 통해 인터넷 상에 처음 공개됐다. 보안업체 ‘소프트포럼’의 김종덕 암호연구실장(암호학박사)이 11월30일 ‘주간동아’의 요청을 받아 B사이트의 암호구조를 분석했다. 이 사이트는 구입 안내창구로 들어가기-신용카드번호입력-20달러 결제 확인-풀 버전 1회 실행 후 종료 순으로 기능한다(이용자가 풀 버전 파일 자체를 다운로드할 수는 없도록 돼 있다). 김실장은 신용카드연계부분에 암호체계가 걸렸을 것으로 추정한다. “대부분의 포르노사이트 운영자들은 500달러정도의 비용을 들여 암호체계가 포함된 인증서를 구입하는 방법으로 신용카드결제시스템을 사이트에 장착한다. 이 사이트도 그랬을 공산이 크다. 이때 들어가는 암호체계는 금융기관, 기업, 전자상거래 업체에서도 이용되는 RSA알고리즘 이다.”
이 사이트에서 풀 버전이 유출될 수 있는 경로는 세 가지다. RSA암호가 풀렸을 가능성, 동영상에 걸어둔 패스워드가 풀렸을 가능성, 누군가 20달러를 내고 풀 버전을 실행시킨 후 이를 화면째로 복사했을 가능성이 그것이다.
그러나 김실장은 “단시간 내 RSA 암호 해킹은 불가능하다”고 설명했다. 다음은 그가 말하는 이유.
“RSA 암호를 푸는 키(key)의 길이는 1024비트로 영문이나 숫자 128자가 조합된 분량이다. 모든 경우의 수를 따져 이 암호를 푸는 데 걸리는 시간은 약 3000만mips year(초당 100만 회의 연산을 수행하는 컴퓨터로 3000만년이 걸린다는 의미로, 펜티엄Ⅲ PC로 작업했을 때 6만년이 소요된다. 다른 말로 펜티엄Ⅲ PC 6만대를 합친 성능의 슈퍼컴퓨터로도 암호를 푸는 데 1년이 걸린다는 뜻이 된다). 따라서 사이트에 풀 버전이 뜬 지 수 일∼수 주일 만에 누군가 이 암호를 풀었다는 설은 실현 불가능한 이야기다.”
포르노사이트 유료 동영상에 걸어둔 패스워드는 보통 영어와 숫자의 조합으로 이뤄진 네자릿수 정도. 돈을 지불하지 않고 동영상에 접근하려면 패스워드를 알아내야 한다. 그런데 이 정도는 그리 어렵지 않은 일이라고 한다. “불법사이트를 통칭하는 ‘WAREZ’에는 경우의 수를 계속 대입해 딱 맞는 패스워드를 찾아내는 프로그램이 널려 있다.”(김 실장) 그는 “백지영 풀 버전 동영상에 평균 수준의 패스워드가 걸려 있다면 이를 깨는 데는 하루면 충분할 것이다. 이런 작업은 일상적인 수준”이라고 말했다.
세번째 경로를 재현하기 위해 컴퓨터포털사이트 www.pcbee.co.kr의 이적 기자가 11월30일 실험을 해 보였다. 그는 윈도미디어인코더프로그램을 실행시켰다(이 프로그램은 www.myfolder.
net 등 인터넷사이트에서 무료로 구입할 수 있다). 인코더는 모니터에서 동영상이 흘러나오는 동안 소리와 화면을 모두 잡아 저장했다. 인터넷초보자도 쉽게 따라할 수 있는 수준. 이기자는 “암호는 신용카드결제시스템에 걸려 있기 때문에 모니터에서 실행되고 있는 백지영 풀 버전을 복사하는 데는 암호의 방해를 받지 않는다”고 말했다.
그렇다면 화질 문제는 어떻게 되는가. 인코더엔 파일용량 선택 기능이 있다. 이기자는 이를 활용해 복사되는 동영상을 대용량파일로 만들었다. 복사본은 화질과 음질의 수준에서 원본과 구분할 수 없었다.
‘백지영 풀 버전이 최초로 실린 B사이트의 RSA 암호체계가 풀렸을 가능성이 높다’고 보도해 타 매체의 후속보도를 부른 것으로 알려진 한 인터넷뉴스업체는 최근 이 부분을 삭제해 다시 올렸다. 이 업체 관계자는 “재검토과정에서 인코더프로그램을 이용한 단순 복사로 풀 버전이 유출됐다는 쪽으로 결론이 나와 기사를 수정했다”고 말했다.
백지영 풀 버전 사건에 고도의 암호해킹은 없었던 것으로 확인되고 있다. 김종덕 실장은 “네티즌들은 자신의 재산이 저장돼 있는 사이트의 보안기능을 신뢰해도 된다”고 말했다.