영국과 EU는 지난 2020년 12월 24일(현지시간) 유예기간이 끝나기 일주일 전이라는 아슬아슬한 시기에 무역 협정을 둘러싼 협상에 합의했다. 그런데 이 협정 문서 암호화 기술에 관한 섹션에 추천 환경으로 넷스케이프 커뮤니케이터(Netscape Communicator)와 모질라 메일(Mozilla Mail) 등 무려 23년 전 소프트웨어가 지정되어 있다는 지적이 나왔다.
이런 소프트웨어 지정은 영국과 EU간 DNA 프로파일 정보 등을 포함하는 메시지를 교환할 때 사용해야 할 일련의 암호화 프로토콜 집합을 지정하는 문서에 기재되어 있다. 암호화 알고리즘 지정에서도 해시 알고리즘에 1024비트 RSA나 SHA-1이 포함되는 등 현재는 취약된 실용에 맞지 않는 기술 명세가 보여지고 있다.
보도에선 이런 기술이 2008년 EU 문서에서도 발견되고 있기 때문에 이번 1,256페이지나 되는 대규모 협정문을 서둘러 정리하면서 오래된 서류를 재사용했을 가능성이 있다고 지적하고 있다. 한 전문가는 오래된 기준을 단순히 복사-붙여넣기한 것 같고 기술적 세부 사항은 거의 이해되지 않은 것 같다면서 SHA-1과 1024비트 RSA는 10년 전이라면 견실한 선택이었겠지만 현재 표준 보안 수준에는 미치지 않는다는 의견을 소개하고 있다.
실제로 이 문서가 EU와 영국 주요 일상 업무에 미치는 영향은 거의 없을 것이다. 넷스케이프 커뮤니케이터와 모질라 메일 등 소프트웨어는 필요한 암호화를 지원하는 소프트웨어 예로 언급될 뿐이다. 다시 말해 이 문서에 기록하는 것보다 보안상 안전한 소프트웨어를 사용하고 있다면 문제는 없다.
다만 암호화 알고리즘에 관해선 시대에 맞는 기술을 명확하게 지정하지 않으면 현재 보안 수준으론 취약성이 있는 상태로 운용될 수 있기 때문에 문서 수정도 필요할 것으로 생각된다. 관련 내용은 이곳에서 확인할 수 있다.