정용환 기자
마이크로소프트 오피스365는 조직 내외 사람이 안전하게 이메일을 교환하기 위해 암호화된 메일을 주고받을 수 있다. 하지만 중요한 암호화는 전자코드북 ECB 모드라는 안전하지 않은 동작을 이용하고 있다. 이 문제에 대한 지적이 있었음에도 불구하고 마이크로소프트는 취약성이 아니라며 대응하지 않는다고 명시하고 있다.
마이크로소프트 오피스365 문제를 밝힌 건 보안 기업 위드시큐어(WithSecure) 연구소. 이곳에 따르면 마이크로소프트 오피스 365로 암호화 메시지 송수신을 실시하는 마이크로소프트 OME(Microsoft Office 365 Message Encryption)는 ECB 모드 동작에 의해 암호화를 실시하고 있지만 ECB 모드는 메시지 특정 구조 정보가 유출되어 악의가 있는 제3자가 메시지 내용을 특정할 수 있을 가능성이 있다. ECB 모드 문제점에 대해선 미국국립표준기술연구소도 지적하고 있다.
영향 범위는 대부분 OME 암호화 메시지와 과거에 송수신, 가로챈 암호화 메시지에 대한 공격이 오프라인에서 이뤄지는 것도 생각할 수 있다고 한다. 보낸 메시지가 분석되는 걸 막을 수 없으며 권한 관리 기능으로도 문제가 해결되지 않는다. 또 ECB 모드 취약성을 악용하는데 있어 암호화키 지식은 필요 없고 암호화키 보호 수단에 의한 수복 효과도 없다고 한다.
이에 대해 위드시큐어 측은 여러 차례 마이크로소프트에 문의했지만 최종적인 마이크로소프트 측 답변은 보고는 보안 서비스 기준을 충족하는 것으로 간주되지 않으며 위반으로 간주되지 않는다며 변경은 이뤄지고 있지 않기 때문에 CVE는 발행되지 않는다는 내용이었다고 한다. CVE란 취약성이나 인시턴트에 부여되는 고유 번호를 말한다.
관리자와 최종 사용자 모두 이 취약점을 피하고 OME를 안전하게 활용할 수 있는 방법이 없기 때문에 위드시큐어 측은 유일한 대책으로 OME를 피하는 걸 들었다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
