전직 계약자인 에드워드 스노든(Edward Snowden)이 공개한 일급 비밀 문서에 따르면 미국과 영국 정보 기관은 수억 명의 사람들이 개인 데이터, 온라인 거래 및 이메일의 프라이버시를 보호하기 위해 사용하는 온라인 암호화의 상당 부분을 성공적으로 해독했다고 합니다.
파일에 따르면 국가 안보국(National Security Agency)과 영국의 GCHQ는 인터넷 회사가 소비자에게 통신, 온라인 뱅킹 및 의료 기록을 범죄자나 정부가 해독할 수 없다는 점을 확신시키기 위해 제공한 보증을 광범위하게 훼손했음을 보여줍니다.
문서에 따르면 해당 기관은 방대한 인터넷 트래픽에 액세스하는 능력에 대한 가장 큰 위협 중 하나로 간주되는 "인터넷 전반에 걸쳐 유비쿼터스 암호화 사용"에 대한 체계적이고 지속적인 공격에서 일련의 방법을 채택했습니다. .
이러한 방법에는 국제 암호화 표준 설정에 대한 NSA의 통제를 보장하기 위한 은밀한 조치, 슈퍼컴퓨터를 사용하여 "무차별 대입"으로 암호화를 해제하는 것, 가장 철저하게 보호되는 비밀인 기술 회사 및 인터넷 서비스 제공업체와의 협력이 포함됩니다.
이러한 은밀한 파트너십을 통해 기관은 백도어 또는 트랩도어로 알려진 비밀 취약점을 상용 암호화 소프트웨어에 삽입했습니다.
NSA와 GCHQ의 파일은 Guardian이 입수했으며 자세한 내용은 현재 확인 중입니다. New York Times 및 ProPublica와 협력하여 오늘 출판되었습니다. 그들은 다음을 밝힙니다:
-
암호화 기술에 대한 10년간의 NSA 프로그램은 2010년 인터넷 케이블 도청을 통해 수집된 "대량"의 데이터를 새롭게 "이용 가능"하게 만드는 획기적인 발전을 이루었습니다.
-
NSA는 기술 회사와 협력하여 제품 설계에 "은밀하게 영향을 미치기" 위한 프로그램에 연간 250억 XNUMX천만 달러를 지출합니다.
-
암호화에 대한 기능의 비밀은 엄격하게 보호되며 분석가들은 "소스나 방법에 대해 묻거나 추측하지 마십시오"라고 경고했습니다.
-
NSA는 강력한 암호 해독 프로그램을 "미국이 사이버 공간에 대한 무제한 접근 및 사용을 유지하기 위한 입장료"라고 설명합니다.
-
GCHQ 팀은 Hotmail, Google, Yahoo 및 Facebook으로 명명된 "빅 4" 서비스 제공업체의 암호화된 트래픽에 대한 방법을 개발하기 위해 노력해 왔습니다.
기관들은 암호화를 무력화하는 능력이 대테러 및 외국 정보 수집이라는 핵심 임무에 필수적이라고 주장합니다.
그러나 보안 전문가들은 이들이 인터넷 자체와 모든 사용자의 개인정보를 공격했다고 비난했습니다. 암호화 전문가이자 하버드 버크만 인터넷 및 사회 센터 연구원인 Bruce Schneier는 "암호화는 온라인 신뢰의 기초를 형성합니다."라고 말했습니다. "NSA는 도청을 위한 근시안적인 노력으로 의도적으로 온라인 보안을 약화시킴으로써 인터넷 구조 자체를 훼손하고 있습니다." 기관 간의 기밀 브리핑은 "네트워크 보안 및 개인정보 보호"에 대한 성공을 축하합니다.
2010년 GCHQ 문서에는 "지난 XNUMX년 동안 NSA는 널리 사용되는 인터넷 암호화 기술을 해독하기 위한 공격적이고 다각적인 노력을 주도해 왔습니다."라고 명시되어 있습니다. "지금까지 폐기되었던 방대한 양의 암호화된 인터넷 데이터가 이제 악용될 수 있습니다."
내부 기관 메모에는 영국 분석가 중 NSA의 진행 상황에 대한 프레젠테이션이 나와 있었습니다. "아직 브리핑을 받지 않은 사람들은 당황했습니다!"
문서에 자세히 설명되지 않은 획기적인 발전은 정보 기관이 전 세계 광섬유 케이블을 통해 흐르는 "대량" 데이터를 모니터링하고 암호화를 해제할 수 있음을 의미합니다. 이 데이터는 인터넷 회사 경영진의 확신에도 불구하고 정부의 손이 닿지 않는 곳.
NSA의 암호화 반대 전쟁의 핵심 구성 요소인 기술 회사와의 협력은 "Sigint [정보 신호] 활성화"라는 제목 아래 미국 정보 커뮤니티의 일급 비밀 2013년 예산 요청에 자세히 설명되어 있습니다.
이전 NSA 문서에 따르면 이 프로그램에 대한 자금(올해 254.9억 20만 달러)은 연간 2011천만 달러의 비용으로 운영되는 프리즘 프로그램의 자금을 왜소하게 만듭니다. 800년 이후 Sigint 활성화에 대한 총 지출은 XNUMX억 달러를 넘어섰습니다. 이 프로그램은 "미국 및 해외 IT 산업을 적극적으로 참여시켜 상용 제품의 디자인에 은밀하게 영향을 미치거나 공공연하게 활용"한다고 문서에 명시되어 있습니다. 그러한 파트너십에 참여한 회사 중 어느 회사도 이름이 지정되지 않았습니다. 이러한 세부 사항은 더 높은 수준의 분류에 의해 보호됩니다.
무엇보다도 이 프로그램은 "상용 암호화 시스템에 취약점을 삽입"하도록 설계되었습니다. 이러한 사실은 NSA에게 알려지지만 문서에서 "적대자"라고 명시되어 있는 일반 고객을 포함하여 다른 누구에게도 알려지지 않습니다.
"이러한 설계 변경으로 인해 수정 사항에 대한 사전 지식을 바탕으로 Sigint 수집을 통해 문제의 시스템을 악용할 수 있게 되었습니다. 그러나 소비자와 다른 적들에게는 시스템의 보안이 그대로 유지됩니다."
이 문서는 전 세계 시장을 "형성"하여 상업용 암호화 소프트웨어를 NSA 공격에 "더 쉽게" 만들고 차세대 4G 휴대폰에서 사용되는 암호화를 뚫기 위한 지속적인 노력을 포함하여 프로그램의 광범위한 목표를 명확한 용어로 설명합니다.
NSA는 2013년의 구체적인 성과 중 이 프로그램이 "주요 통신 제공업체의 허브를 통해 흐르는 데이터"와 "주요 인터넷 PXNUMXP 음성 및 문자 통신 시스템"에 대한 액세스 권한을 얻을 것으로 기대하고 있습니다.
기술 회사들은 법적으로 강제되는 경우에만 정보 기관과 협력한다고 주장합니다. 가디언은 이전에 보도했습니다. Microsoft는 Outlook.com 전자 메일 및 채팅 서비스의 암호화를 우회하기 위해 NSA와 협력했습니다. 회사는 제품을 설계할 때 "현재 또는 미래의 합법적인 요구 사항"을 준수할 의무가 있다고 주장했습니다.
문서는 기관이 예산 요청에 명시된 또 다른 목표, 즉 암호화 시스템이 의존하는 국제 표준에 영향을 미치기 위해 이미 달성했음을 보여줍니다.
독립 보안 전문가들은 NSA가 보안 표준에 약점을 도입하고 있다고 오랫동안 의심해 왔는데, 이는 또 다른 비밀 문서를 통해 처음으로 확인된 사실입니다. 이는 해당 기관이 2006년에 전 세계적으로 사용하도록 승인된 미국 국립표준기술연구소(National Institute of Standards and Technology)에서 발행한 자체 버전의 보안 표준 초안을 얻기 위해 비밀리에 노력했음을 보여줍니다.
문서에는 "결국 NSA가 유일한 편집자가 되었습니다."라고 나와 있습니다.
NSA의 해독 프로그램용 코드워드 Bullrun은 미국 남북전쟁의 주요 전투에서 따온 것입니다. 영국의 Edgehill은 200여년 전 영국 내전의 첫 번째 대규모 교전의 이름을 따서 명명되었습니다.
Bullrun의 NSA 직원 및 계약자를 위한 분류 가이드에서는 목표를 광범위하게 설명합니다.
"Project Bullrun은 특정 네트워크 통신 기술에 사용되는 암호화를 해제하는 NSA의 능력을 다룹니다. Bullrun에는 매우 민감한 여러 소스가 포함됩니다." 문서에는 해당 기관이 온라인 쇼핑과 뱅킹을 보호하는 데 사용되는 HTTPS, VoIP(voice-over-IP), SSL(Secure Sockets Layer) 등 널리 사용되는 온라인 프로토콜에 대한 기능을 갖추고 있음이 나와 있습니다.
이 문서는 또한 기술 회사가 보안 제품을 평가하고 잠재 정부 구매자에게 제시할 수 있는 기관인 NSA의 상업 솔루션 센터가 또 다른 은밀한 역할을 수행하고 있음을 보여줍니다.
NSA는 보안 제품에 취약점을 삽입하기 위해 "특정 업계 파트너와의 민감하고 협력적인 관계를 활용"하기 위해 사용됩니다. 요원들은 이 정보가 "최소한"으로 일급 비밀로 유지되어야 한다는 경고를 받았습니다.
보다 일반적인 NSA 분류 가이드는 해당 기관과 업계 간의 깊은 파트너십 및 제품 수정 능력에 대한 자세한 내용을 보여줍니다. 이 보고서는 분석가들에게 NSA가 상업용 암호화 소프트웨어 및 장치를 "악용 가능하게 만들기 위해" 수정한다는 사실과 NSA가 "업계 관계를 통해 상업용 암호화 정보 보안 시스템의 암호화 세부 정보를 얻는다"는 두 가지 사실이 일급 비밀로 유지되어야 한다고 경고합니다.
그러나 해당 기관은 아직 모든 암호화 기술을 해독하지는 않았지만 문서에 따르면. 스노든은 지난 6월 가디언 독자들과의 실시간 Q&A에서 이 사실을 확인한 것으로 나타났습니다. "암호화는 작동합니다. 제대로 구현된 강력한 암호화 시스템은 신뢰할 수 있는 몇 안 되는 것 중 하나입니다."라고 그는 NSA가 통신의 양쪽 끝에 있는 컴퓨터의 보안이 취약하여 이를 피할 수 있는 방법을 자주 찾을 수 있다고 경고했습니다.
문서는 해독 기능에 대한 절대적인 비밀 유지의 중요성에 대한 경고와 함께 흩어져 있습니다.
복호화와 관련된 프로젝트를 논의하는 방법에 대한 엄격한 지침이 Gloucestershire의 Cheltenham에 있는 GCHQ 단지에 마련되었습니다. 분석가들은 "Bullrun을 뒷받침하는 출처나 방법에 대해 묻거나 추측하지 마십시오."라는 지시를 받았습니다. 한 문서에 따르면 이 정보는 매우 철저하게 보호되어 프로그램의 측면에 접근할 수 있는 사람조차도 "'알 필요가 없습니다'"라는 경고를 받았습니다.
해당 기관은 "계약업체가 이 정보에 노출되도록 선택적으로 제공"되어야 했지만 궁극적으로 미국의 일급 비밀 허가를 받은 850,000명 중 한 명인 Snowden에 의해 확인되었습니다. 2009년 GCHQ 문서에는 "업계 관계에 대한 피해"를 포함하여 모든 유출로 인한 중대한 잠재적 결과가 설명되어 있습니다.
정보요원들은 "기밀유지 계약을 준수하는 능력에 대한 신뢰를 잃으면 새로운 기능을 개발할 때 시간을 절약할 수 있는 독점 정보에 대한 접근권 상실로 이어질 것"이라고 말했습니다. GCHQ에 다소 덜 중요한 것은 중간 정도의 위험으로 표시된 대중의 신뢰였다고 문서는 밝혔습니다.
"일부 악용 가능한 제품은 일반 대중이 사용합니다. 일부 악용 가능한 약점은 잘못 선택한 비밀번호를 복구할 수 있는 가능성과 같이 잘 알려져 있습니다."라고 말했습니다. "GCHQ가 이러한 제품과 우리 능력의 규모를 활용한다는 사실을 알게 되면 대중의 인식이 높아져 우리와 우리의 정치적 주인에게 반갑지 않은 홍보가 될 것입니다."
암호 해독 노력은 GCHQ에 특히 중요합니다. 주요 통신 기업의 대서양 횡단 광섬유 케이블을 직접 탭하는 Tempora 프로그램의 전략적 이점은 점점 더 많은 대형 인터넷 기업이 트래픽을 암호화하고 개인정보 보호에 대한 고객 요구에 부응하면서 약화될 위험에 처해 있었습니다.
2010년 GCHQ 문서에서는 영국의 "정보 흐름이 변화하고, 새로운 애플리케이션이 빠르게 개발(및 배포)되고, 광범위한 암호화가 보편화됨에 따라 영국의 Sigint 유틸리티가 저하될 것"이라고 경고했습니다. 문서에 따르면 Edgehill의 초기 목표는 이름이 알려지지 않은 주요 인터넷 회사 30곳과 기업에서 시스템에 대한 안전한 원격 액세스를 제공하기 위해 사용하는 2015가지 유형의 가상 사설망(VPN)이 인증한 암호화된 트래픽을 디코딩하는 것이었습니다. 15년까지 GCHQ는 300개의 주요 인터넷 회사와 XNUMX개의 VPN이 사용하는 코드를 해독하기를 희망했습니다.
코드명 Cheesy Name이라는 또 다른 프로그램은 GCHQ 슈퍼컴퓨터에 의해 해독되기 쉬운 '인증서'라고 알려진 암호화 키를 선별하는 것을 목표로 했습니다.
Edgehill 프로젝트의 분석가들은 암호 해독 프로젝트의 일환으로 주요 웹메일 제공업체의 네트워크에 접근하는 방법을 연구하고 있었습니다. 2012년 분기별 업데이트에서는 프로젝트 팀이 문서에 Hotmail, Google, Yahoo 및 Facebook으로 명명된 XNUMX대 통신 제공업체를 "이해하기 위해 계속 노력하고 있다"고 밝혔으며 "새로운 액세스로 인해 이번 분기에는 주로 Google에 작업이 집중되었습니다"라고 덧붙였습니다. 기회가 개발되고 있습니다."
내부자 우위를 확보하기 위해 GCHQ는 HOT(Humint Operations Team)도 설립했습니다. 인간 지능(Human Intelligence)의 줄임말인 휴민트(Humint)는 정보원이나 잠복요원으로부터 직접 수집한 정보를 말합니다.
내부 문서에 따르면 이 GCHQ 팀은 "글로벌 통신 산업에서 비밀 요원을 식별, 모집 및 운영하는 일을 담당"했습니다.
"이를 통해 GCHQ는 가장 어려운 목표 중 일부를 해결할 수 있습니다"라고 보고서는 말했습니다. 암호화 기술에 반대하는 NSA와 GCHQ의 노력은 모든 인터넷 사용자에게 부정적인 결과를 초래할 수 있다고 전문가들은 경고합니다.
미국시민자유연맹(American Civil Liberties Union)의 수석 기술 전문가이자 수석 정책 분석가인 크리스토퍼 소고이안(Christopher Soghoian)은 "백도어는 근본적으로 좋은 보안과 충돌합니다."라고 말했습니다. "백도어는 정보 기관의 표적뿐만 아니라 백도어 시스템의 모든 사용자를 높은 데이터 손상 위험에 노출시킵니다." 이는 소프트웨어 제품, 특히 암호화되지 않은 사용자 통신이나 데이터를 얻는 데 사용할 수 있는 백도어를 삽입하면 보안 제품 설계의 어려움이 크게 증가하기 때문입니다."
이것은 반영된 견해였습니다. Stephanie Pell의 최근 논문, 전 미국 법무부 검사이자 스탠포드 로스쿨 인터넷 및 보안 센터의 비거주 연구원입니다.
"합법적인 차단 백도어를 갖춘 암호화된 통신 시스템은 사용자의 암호화되지 않은 통신에 전혀 접근할 수 없는 시스템보다 통신 기밀성의 치명적인 손실을 초래할 가능성이 훨씬 더 높습니다."라고 그녀는 말합니다.
정보 당국은 Guardian, New York Times 및 ProPublica에 이 기사를 게시하지 말라고 요청했습니다. 이는 외국 표적이 수집하거나 읽기 더 어려운 새로운 형태의 암호화 또는 통신으로 전환하도록 유도할 수 있다고 말했습니다.
세 조직은 일부 특정 사실을 삭제했지만 미국과 전 세계 인터넷 사용자의 개인 정보를 보호하기 위한 가장 강력한 도구를 약화시키는 정부 조치에 대한 공개 토론의 가치 때문에 기사를 게시하기로 결정했습니다.
ZNetwork는 독자들의 관대함을 통해서만 자금을 조달합니다.
후원