[번역문]
미국 국가 안보국 (“NSA”: National Security Agency) 의 감시에 따른 분노와 우려로 인해 전문가들이 오픈소스 암호화를 빠르게 받아들이다
미국 국가 안보국 (“NSA”: National Security Agency) 의 스파이 행위로 인해 불안과 근심이 생긴 글로벌 IT기업들이 미국 정부와 다른 정부 감청기관들이 자신들을 감청할 수 없도록 하기 위하여 보안을 강화하고 있다. 각 기업들이 이와 같은 보안 강화 행위를 하면 할수록 그들은 현재 못미더운 존재가 되어버린 “소유권을 중시하는” (proprietary) 도구들 대신에, “오픈소스 보안 툴 (tool)” [그 중에서도 특히 암호화 툴] 에 점점 더 의존하게 될 것이다. 구글, 페이스북, 그리고 야후는 최근에 그들이 그들의 데이터를 보호하는데 사용하는 “암호화 키” (encryption keys) 의 길이를 이전보다 더 늘리기로 결정하였다. 이와 같이 암호화 키의 길이를 늘릴 경우에는 암호화 키에 걸린 암호를 추측하여 암호화 된 정보를 푸는 것이 더 어려워진다. 또한 들리는 소문에 의하면, 트위터는 개인 사용자들 간에 “직접 메세지” (direct messaging) 를 보낼 경우 그와 같은 메세지를 암호화하여 보내는 것을 계획하고 있다고 한다.
오픈소스를 지지하는 사람들은 오래전부터 전적으로 믿을 수 있는 암호화 체계는 “오픈소스 암호화 소프트웨어” 밖에 없다고 주장하여 왔다. 왜냐하면, 소스코드를 분석해보지 않고서는, 정부 혹은 다른 어떤 공격자가 그 시스템의 보안체계에 어떠한 보안 누설 경로를 만들어 놓았는지를 완벽하게 파악하는 것이 불가능하기 때문이다. 이와 같은 문제점들은 최근에 발견된 문서들에서 극명하게 드러났다.
발견된 문서들에 따르면, 미국 국가 안보국 (NSA) 은 자신들이 만든 흠결이 있는 암호화 방법이 표준 암호화 방법으로 채택되도록 미국 표준기술연구소 (NIST: National Institute of Standards and Technology) 와 국제표준화기구 (ISO: International Organization for Standardization) 에 압력을 행사 하였다. 이와 같은 “흠결이 있는 암호화 표준”을 믿고 그러한 표준에 자사의 보안을 맡겼었던 수없이 많은 회사들이 최근에는 그들의 데이터 보안 필요 정도에 따라 더 믿을 수 있는 표준으로 보안 시스템을 바꾸고 있다.
보안전문가들은 과거의 그 어느 때보다도 더 오픈소스 암호호 프로그램을 사용할 것을 보안에 민감한 개인들이나 기관들에 조언하고 있다. 인터넷 엔지니어링 테스크 포스 (Internet Engineering Task Force) 의 한 멤버는 유비쿼터스 감시 (ubiquitous surveillance) 로부터 인터넷 기반시설들을 보호하기 위하여 새로운 오픈소스 소프트웨어와 하드웨어를 개발하는 것을 제안하였다. 인터넷의 대부분은
이미 오픈소스 소프트웨어 프로젝트들에 의해 보호를 받고 있다. GPG와 같은 프로젝트는 이미 오래 전부터 보안이 되는 이메일과 문서 암호화 서비스를 제공하고 있다. XMPP의 오퍼레이터 (operator)들이 행한 것과 같은 다수의 발표들을 볼 때 우리는 “통신과 암호화에 있어서의 오픈 표준” (open standards for communications and encryption) 그리고 “오픈소스 소프트웨어”를 채택하려는 강력한 움직임이 있다는 것을 알 수 있다.
[원문]
Anger and worry over NSA surveillance has experts urging a move toward open source encryption Disturbed and concerned about NSA spying, global IT companies are scaling up security to exclude US and other State listeners. As they do so they will be relying increasingly on FOSS security tools--especially encryption tools-- in preference to now discredited proprietary alternatives. Google, Facebook, and Yahoo have recently decided to increase the length of encryption keys used to secure their data, which should make it more difficult for others to decrypt information by guessing the key. Twitter is rumored to be making plans to implement encryption for direct messaging between individual users.
Open source advocates have long maintained that the only encryption that can be trusted is open source encryption software because without the ability to inspect the source code it is impossible to tell if a government or other attacker has compromised the security of the system. Those concerns may have been validated by recent documents showing that the NSA pushed for a flawed encryption method it created to be adopted as a standard by both the U.S. National Institute of Standards and Technology (NIST) and the International Organization for Standardization (ISO). Numerous companies who had been relying on the flawed encryption standard have recently switched over to more reliable standards for their data protection needs.
Security experts are advocating more then ever for the use of open source encryption programs for security conscious individuals and institutions. A member of the Internet Engineering Task Force has suggested developing new open source software and hardware to help secure Internet ructure from ubiquitous surveillance. Much of the Internet is already secured by open source software projects. Projects such as GPG have long been relied on to provide secure email and document encryption. A number of announcements such as the one made by operators of XMPP indicate a strong move towards the adoption of open source software and open standards for communications and encryption.
출 처 : SFLC (Software Freedom Law Center, http://www.softwarefreedom.org/)
