Google ๋ณด์ ํ์ ๊ตฌ์ฑ์์ ์ทจ์ฝํ ํ๋์จ์ด(HSM) ๋ฐ ์ํํธ์จ์ด ์์คํ ์์ ์์ฑ๋ ๊ณต๊ฐ ํค ๋ฐ ๋์งํธ ์๋ช ๊ณผ ๊ฐ์ ์ทจ์ฝํ ์ํธํ ์ํฐํฉํธ๋ฅผ ์๋ณํ๋๋ก ์ค๊ณ๋ ์คํ ์์ค ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ธ Paranoid๋ฅผ ๊ฒ์ํ์ต๋๋ค. ์ฝ๋๋ Python์ผ๋ก ์์ฑ๋์์ผ๋ฉฐ Apache 2.0 ๋ผ์ด์ผ์ค์ ๋ฐ๋ผ ๋ฐฐํฌ๋ฉ๋๋ค.
์ด ํ๋ก์ ํธ๋ ํ์ธ ์ค์ธ ์ํฐํฉํธ๊ฐ ์ก์ธ์คํ ์ ์๋ ํ๋์จ์ด๋ ๋ธ๋๋ฐ์ค์ธ ํ์ ๊ตฌ์ฑ ์์์ ์ํด ์์ฑ๋ ๊ฒฝ์ฐ ์์ฑ๋ ํค์ ๋์งํธ ์๋ช ์ ์ ๋ขฐ์ฑ์ ์ํฅ์ ๋ฏธ์น๋ ์๋ ค์ง ๊ฒฉ์ฐจ์ ์ทจ์ฝ์ ์ด ์๋ ์๊ณ ๋ฆฌ์ฆ ๋ฐ ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ ์ฌ์ฉ์ ๊ฐ์ ์ ์ผ๋ก ํ๊ฐํ๋ ๋ฐ ์ ์ฉํ ์ ์์ต๋๋ค. ๋ํ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ ์์ฑ๊ธฐ์ ์ ๋ขฐ์ฑ์ ์ํด ์์ฌ ๋์ ์ธํธ๋ฅผ ๋ถ์ํ๊ณ ๋๊ท๋ชจ ์ํฐํฉํธ ์ปฌ๋ ์ ์์ ํ๋ก๊ทธ๋๋ฐ ์ค๋ฅ ๋๋ ์ ๋ขฐํ ์ ์๋ ์์ฌ ๋์ ์์ฑ๊ธฐ์ ์ฌ์ฉ์ผ๋ก ์ธํด ์ด์ ์ ์๋ ค์ง์ง ์์ ๋ฌธ์ ๋ฅผ ์๋ณํ ์ ์์ต๋๋ค.
์ ์๋ ๋ผ์ด๋ธ๋ฌ๋ฆฌ๋ฅผ ์ด์ฉํ์ฌ 7์ต ๊ฐ ์ด์์ ์ธ์ฆ์ ์ ๋ณด๊ฐ ํฌํจ๋ CT(Certificate Transparency) ๊ณต๊ฐ ๋ก๊ทธ์ ๋ด์ฉ์ ํ์ธํ ๊ฒฐ๊ณผ ํ์๊ณก์ (EC) ๊ธฐ๋ฐ์ ๊ณต๊ฐํค์ ECDSA ์๊ณ ๋ฆฌ์ฆ ๊ธฐ๋ฐ์ ๋์งํธ ์๋ช ์ ๋ฌธ์ ๊ฐ ์๋ ๊ฒ์ผ๋ก ํ์ธ๋๋ค. , ๊ทธ๋ฌ๋ RSA ์๊ณ ๋ฆฌ์ฆ์ ๊ธฐ๋ฐ์ผ๋ก ๋ฌธ์ ๊ฐ ์๋ ๊ณต๊ฐ ํค๊ฐ ๋ฐ๊ฒฌ๋์์ต๋๋ค. ํนํ Debian์ฉ OpenSSL ํจํค์ง์ ์์ ๋์ง ์์ ์ทจ์ฝ์ CVE-3586-2008์ด ์๋ ์ฝ๋์์ ์์ฑ๋ ์ ๋ขฐํ ์ ์๋ ํค 0166๊ฐ, Infineon ๋ผ์ด๋ธ๋ฌ๋ฆฌ์ CVE-2533-2017 ์ทจ์ฝ์ ๊ณผ ๊ด๋ จ๋ ํค 15361๊ฐ, ์ต๋๊ณต์ฝ์(GCD) ๊ฒ์๊ณผ ๊ด๋ จ๋ ์ทจ์ฝ์ . ์ฌ์ฉ ์ค์ธ ๋ฌธ์ ๊ฐ ์๋ ์ธ์ฆ์์ ๋ํ ์ ๋ณด๋ ํด์ง๋ฅผ ์ํด ์ธ์ฆ ๊ธฐ๊ด์ ์ ์ก๋์์ต๋๋ค.
์ถ์ฒ : opennet.ru