FBI, NSA는 VPN 암호화 해킹 가능할까

미국은 VPN 해킹 할 수 있지 않을까??

누구나 한번쯤 생각해볼만한 주제 미국은 VPN 해킹 가능하지 않을까? 저 또한 그런 생각을 해봤습니다. VPN을 사용하는 이유는 크게 ‘암호화‘, ‘IP 우회‘ 두가지로 나눌 수 있습니다. IP 변경의 목적은 스트리밍 같은 서비스 목적이 될 수도 있고, 커뮤니티 사이트 및 게시판에서 내 IP를 숨기고 싶은 목적일 수도 있습니다. 암호화의 경우에는 내가 인터넷을 하면서 주고 받는 내용들을 누구도 알아 볼 수 없도록 하는 것이 목적인데요.

암호화는 전문가들을 위한것이 아닙니다. 모두를 위한 것이며, 보안에 대해 잘 모르는 사람일수록 가까이 해야한다고 생각합니다. 카페, 학교 등 수많은 공공장소에서 인터넷을 하려면 어쩔 수 없이 와이파이를 사용해야 하는데, 우리가 주고받는 데이터들이 통과하는 공유기를 백프로 신뢰할 수 없기 때문에 암호화로 내 기기들을 보호할 수 있다면 어딜가나 마음이 편할 것 입니다.

안전한 내 집에서 인터넷을 한다 하더라도 우리가 주고받는 모든 것들은 ISP(인터넷 서비스 회사-SK브로드밴드, KT, LG 유플러스 등등)를 통과하기 때문에 내가 어느 사이트를 방문하고 뭘 업로드하고 다운로드 했는지 ISP 회사도 정부도 알 수 없게 하려면 ‘암호화’가 필요 합니다.

NSA 그리고 스노든

미국 정보기관 하면 가장 먼저 떠오르는게 FBI, CIA 입니다. 토르 사용하시는 분들 중 이런쪽에 관심있으신 분들에게는 NSA를 빼놓을 수 없죠.

해외 커뮤니티를 보면 “NSA가 토르를 컨트롤 하나요?“, “NSA가 토르를 만들었다는 음모론이 있던데 사실인가요?” 이런 질문들도 한번씩 나오기도 합니다. FBI는 악성 페도들을 한번 소탕한적이 있기 때문에 유명하죠.

에드워드 스노든에 의하면 NSA의 경우에는 전세계적으로 정보수집을 하고 있으며, XKeyscore 시스템은 온라인상에서 일어나는 모든 것들을 수집가능하고, VPN으로 암호화 된 트래픽까지도 가능하다는 주장을 하기도 했습니다.

Guardian 기사에 따르면 XKeyscore 및 기타 NSA의 시스템을 사용하면 개인의 인터넷 활동을 ‘실시간’으로 가로챌 수 있다고 이야기 했습니다.(만약 이게 가능하다고 해도.. 거물급이나 테러리스트 등 인력 투입할 가치가 있는 상대로 사용하겠죠. 일반인들 상대로 수집해봤자 밥뭐먹음? ㅋㅋ 오늘 겜 ㄱ? 이런게 대부분일듯..)

이런 무서운 수집활동은 FISA 702 섹션을 기반으로하는데, 미국 영토 내에 거주하는 미국인의 경우에는 영장이 필요하지만, 미국 밖에선 영장따위는 필요하지 않기에 어마어마한 정보 수집이 마음껏 가능하고, 스노든의 주장에 의하면 NSA의 Booz Allen 계약자로 일하게 되면 이메일 주소 하나만으로도 개인의 이메일을 읽을 수 있다고 하는데, 이게 기술적으로 가능한건지 잘 모르겠습니다.(전세계 기업을 다?안될거 같은데;)

Booz Allen이란 Booz Allen Hamilton이라는 기업을 이야기 합니다. NSA를 포함한 여러 미 정부 산하 정보기관들과 계약을 맺고 ‘정보 감시 업무’를 대행하는 민간기업 중 하나인데요. 이런 민간 기업은 몇년전 기준으로 1900여개가 넘는다고 하네요.(스노든은 이 부즈 앨런 해밀턴에서 분석가로 일했고 이 회사 부회장이었던 Mike McConnell은 NSA에서 고위직을 지낸 사람입니다. 사실상 산하기업이라고 봐도 무방.)

Facebook 채팅도 실시간 모니터링이 가능하다고 주장 하는데.. 저는 아직 명확한 증거를 본적은 없습니다. HTTPS가 상당히 보급된 지금의 시대는 조금 어렵지 않을까.. 엄청난 예산과 두뇌들이 있으니 제가 함부로 판단할 순 없겠군요.

NSA가 필요 이상(?)의 엄청난 정보들을 수집하는 것은 확실해 보입니다.(netzpolitik.org – 디지털 권리와 문화, 대량 감시 및 네트워크 중립성 등을 다루는 곳이며 독일어로 운영됩니다. )

NSA는 VPN 암호화 해독할 수 있다?

천조국의 자금과 퀄리티 높은 인력풀까지 미국이라는 넘사벽 세력이 밀어주는데 뭐든 가능해 보이기도 합니다. 중국은 중국 영토에 한해서만 무서운 빅브라더지만 미국은 전세계의 빅브라더이며 그렇게 불릴만한 능력이 있습니다.

하지만 소수의 분들이 우려하시는 것 처럼 NSA가 만능은 아니며, 전세계 수많은 VPN 암호화 통신을 실시간으로 해독해서 수집하거나 감시 및 검열하는 것은 현실적으로 불가능 하다는게 제 생각 입니다.

암호화

VPN 프로토콜

과거 PPTP 프로토콜이나 쓰던 시절과는 다르게 VPN 프로토콜 기술도 상당히 많이 발전했습니다. OpenVPN 같은 오픈소스 프로토콜 이후 확실히 더 안전해졌다는 느낌이 받을 수 있으며 여기에 더 진보된 기술인 Wireguard까지 있습니다. 둘다 오픈소스로 제공되기 때문에 FBI, NSA 같은 거대 정보 기관이 Backdoor를 심는 것도 불가능합니다.

해킹이 가능하면 범죄자 더 쉽게 잡을 수 있지 않나요?

FBI 혹은 NSA 등 정보 기관들이 VPN 회사에 지금까지 Log 요청을 했던 것들은 범죄자를 잡기 위해서는 ‘합법적인 절차’가 필요하기 때문입니다. 해킹을 통한 정보 수집은 법적 증거로 사용할 수 없는 경우가 많으며, 따라서 법적 절차에서 사용할 수 있는 증거를 확보하기 위해, 합법적인 경로로 VPN 서비스나 텔레그램 같은 메신저 서비스를 통해 협조를 요청하는 경우가 있습니다. 이러한 요청은 법원의 명령을 통해 이루어지며, 이를 통해 얻은 정보는 법적 근거를 갖추게 됩니다.

테러리스트는?

그렇다면 합법적 절차를 건너 뛰어도되는 ‘테러리스트’에 대한 정보를 수집하기 위해 텔레그램, VPN 업체에 요청할 필요도 없이 해킹을 통해서 얻은 정보로 ‘골칫거리’를 해결하기 훨씬 쉬울테고 ‘마이너리티 리포트’ 수준으로 선제 방어도 가능할텐데 현실은 그렇지 못한 것을 봤을때 NSA가 네트워크를 모두 장악하고 있다는 시나리오는 현실적이지 못하다고 봐야할 것 입니다.

AES-256

미국 정부, 대부분의 VPN 회사들, 가장 민감할 수 있는 정보를 취급하는 금융회사 등 AES-256bit 암호화를 사용합니다. – AES(Advanced Encryption Standard)는 고급 암호화 표준이라는 뜻 입니다.(#위키)

두단계 낮은 AES-128bit 암호화만 보더라도, Brute Force로 깨려면 10.51 페타플롭스 슈퍼컴퓨터로 1,020,000,000,000,000,000년이 걸린다고 합니다.(#ymaws)

AES-256 비트 Private Key로 가능한 조합의 수는115,792,089,237,316,195,423,570,985,008,687,907,853,269, 984,665,640,564,039,457,584,007,913,129,639,936개 이며 사실상 해독은 불가능한 수준 입니다. 군 일급기밀도 AES256을 사용해 암호화 하기 때문에 Military Grade라고 이야기하는 것입니다.

VPN, 압축프로그램, 패스워드 관리 프로그램, 송수신의 보안이 중요한 앱들 등등 매우 광범위하게 쓰이고 있습니다.

VPN을 사용한다면 ‘암호화 프로토콜’로 연결과 트래픽 자체가 암호화되고 AES-256으로 데이터가 암호화되는데 전세계에서 사용되는 수 많은 VPN 접속들을 실시간 해킹하려면 지구에 존재하는 컴퓨팅 리소스를 얼마나 끌어다 써야 ‘가능성’이라도 있을지 계산조차 되지 않습니다.

“그래도 미국은 가능하지 않을까?”라는 생각을 하신다면 미국은 외계 기술로 전 지구를 지배하고 있는 것이나 다름없기 때문에 그냥 이렇게 살아야합니다.

AES-256 암호화 피부로 느껴보기

저는 압축 프로그램은 무조건 반디집을 사용합니다. 반디집으로 AES-256bit 암호화 압축이 가능한데요.

• 암호 입력할때 기억하지 못하도록 영문+숫자+특수문자 섞어서 무작위로 20개 정도를 넣었다고 쳐봅시다. 그리고 다시 그 암호를 찾으려고 한다면 눈앞이 감감하죠? 사람의 두뇌나 손으로는 절대 못찾으니 컴퓨터 프로그램을 돌려서 무작위로 대입해서 찾아야 합니다.
• Brute Force는 비밀번호가 1122라면 0001부터 1122가 나올때까지 계속해서 숫자를 올려서 무차별 대입하는 방법인데요. 4자리 숫자만해도 엄청난 경우의 수가 나오는데, 영문,숫자,특수문자 거기다 대문자까지 섞인 10자리 이상 패스워드라면 슈퍼컴퓨터도 사직서낼 수준이 됩니다.

반디집 유료 프로그램의 경우에는 Brute Force로 암호화 찾아주는 기능이 있습니다.

설명을 보면 아래와 같이 나옵니다.

• 인텔 i9 9900K 기준
• 숫자 + 영문 소문자로만 이루어진 암호 기준
• 12자리 암호푸는데 1001년까지 걸리고, 13자리 암호의 경우 36,060년까지 걸리 수 있다.
• AES를 사용하면 훨씬 긴 시간이 걸린다.
• 거기다 특수문자와 대문자까지 섞이면?

위의 내용만 보더라도, 숫자+영문(이왕이면 소문자 대문자 섞어서)+특수문자로 이루어진 암호를, 그것도 AES256으로 암호화 되었다면 사실상 푸는 것은 불가능한 수준이며, 앞으로 몇달간 매주 로또1등 당첨이 가능한 경우의 수를 따지는 것 만큼이나 의미가 없습니다.

제가 실제로 압축파일 암호(제 기억에 8~10자리 정도) 잊어버린게 하나 있어서 반디집 프로페셔널 버전으로 한달넘게 돌리다가 포기한적이 있습니다. 직접 체감해보고 나니까 기본적인 암호화도 매우 강력하다는걸 느낄 수 있었습니다.

ChatGPT는 어떻게 생각할까?

백퍼센트 정답을 말해주는 것은 아니기 때문에 ‘재미로‘ 봐주세요.

NSA가 특정 VPN을 해킹할 수 있다는 소문이 있습니다. 이는 공개되지 않은 방법을 통해 실행되지만, 특히 오래된 VPN 프로토콜이나 보안이 취약한 VPN에서 이 가능성이 더 높습니다. Logjam 공격이라는 기법이 그중 하나로 언급되며, Diffie-Hellman 키 교환의 취약점을 악용해 암호화 수준을 강제로 낮추고, 데이터를 해독할 수 있습니다. 특히 NSA는 1024비트 암호화를 512비트로 강제로 다운그레이드하여 데이터를 해독할 수 있습니다.

이 공격은 매우 계산 집약적이며, 특히 국가 차원의 자원이 필요한 경우가 많습니다. NSA는 이 과정에서 사전 계산된 데이터를 활용하여 공격을 더욱 빠르게 수행할 수 있습니다. VIVIDDREAM과 같은 도구를 사용하여 VPN을 테스트하고 취약점을 악용하며, HAMMERSTEIN과 같은 악성 코드를 통해 VPN 트래픽을 가로채기도 합니다.

그러나 AES-256과 WireGuard 같은 최신 VPN 프로토콜을 사용하는 VPN은 이러한 공격에 더 저항력이 강하며, Perfect Forward Secrecy (PFS)를 사용하여 키 교환 주기를 자주 바꾸어 해킹을 어렵게 만듭니다.

VPN을 사용할 때는 2048비트 이상의 소수를 사용하는 VPN을 선택하고 VPN 업체의 본사가 5eyes, 9eyes, 14eyes 미국 첩보동맹에 속한 국가에 있는지 확인해야 합니다. 이들 국가들은 미국의 NSA와 정보를 공유할 수 있으므로, 사용자의 데이터를 보호하지 못할 가능성이 있습니다.

미국이 해저 케이블 해킹 할 수 있다?

글로벌 데이터 통신망은 사실상 미국이 그 중심에 있다고 볼 수 있습니다. 지상 물류에서는 고속도로와 철도가 혈관이라면 글로벌 인터넷망은 해저 케이블이 그 역할을 하고 있습니다. 인터넷 고속도로나 다름없는 해저 케이블을 미국이 중국을 최대한 고립시키기 위해 신설 물량을 다른 국가쪽으로 밀어준다는 말도 있습니다.

일본 언론 닛케이에 의하면 2025년 이후에 미국 – 아시아 사이에 신설될 1000km 이상 장거리 해저 케이블 28개 회선 중 중국과 홍콩으로 연결되는 것은 3개 회선에 불과하고 나머지는 괌(9회선), 싱가포르(7회선), 필리핀(5회선), 일본(4회선)이라고 합니다.

SEA-ME-WE 6 같은 큰 프로젝트도 싱가포르부터 시작됩니다.

실제로 현재 깔려있는 Asia Africa Europe-1 (AAE-1), Asia-America Gateway (AAG)처럼 중국에서 아시아 지역 밖으로 연결되어있는 케이블을 제외하면 대부분 아시아 지역내에서 연결되는 케이블입니다. 2018년 이후에는 New Cross Pacific (NCP) 이외에는 없는 것 같습니다.

해저 케이블은 대부분 미국 정부가 직접적으로 소유하고 있지 않으며 컨소시엄 등을 통해 ‘기업’이 소유 및 운영을 하고 있습니다. 구글, 메타, 마이크로소프트 같은 글로벌 IT 회사가 큰 지분을 가지고 있고 ‘모든 길은 로마로 통한다.’는 말 처럼 모든 데이터는 미국을 통한다고해도 과언이 아닙니다. 실제로 우리가 가장 많이 사용하는 서비스들도 미국의 것이구요.

그래서 미국이 해저 케이블에 빨대 꽂으면 데이터를 실시간으로 해킹하거나 수집할 수 있는거 아니냐는 말이 나오게 되는 것인데요.

이런 의심이 들 수 있는 케이스가 있습니다.

• Upstream Collection: NSA가 운영하는 데이터 수집 프로그램으로, NSA는 인터넷 백본 네트워크와 해저 케이블을 통해 흐르는 데이터를 수집
• Tempora: 영국의 GCHQ가 주도한 프로그램으로, 해저 케이블을 통해 전송되는 인터넷 트래픽을 감시하는 프로젝트

2013년에 스노든이 폭로한 부분에 나왔던 내용에 의하면 영국의 GCHQ는 해당 프로젝트를 통해 NSA와 데이터를 공유했다고 합니다.

광섬유 케이블에서 추출한 방대한 양의 데이터를 최대 30일 동안 활용하고 저장하여 선별하고 분석할 수 있었으며 해당 프로젝트는 18개월정도 운영되었으며 전화 통화 녹음, 이메일 메시지 내용, 페이스북 항목, 인터넷 사용자의 웹사이트 접속 기록 등이 수집 가능했었다고 하네요.

여기서 오늘 이 글의 주제인 VPN, 암호화 해킹으로 잠시 돌아가봅시다.

이 해저 케이블을 통과하는 데이터 중에는 평문도 있을 것이고, 암호화된 데이터도 있을 것 입니다. 우리가 VPN을 사용하는 이유는 내 암호화 된 상태로 통신하기 위함이기 때문에 이미 암호화가 이루어진 내 데이터가 케이블을 통과하는 것이라 그것이 수집된다 하더라도 일반인인 우리 수준에서 걱정할 부분은 없다는 것 입니다.

그래서 결론은? : 걱정말자

고성능 컴퓨터로 패스워드가 길게 설정된 압축 파일 하나 푸는 것도 다음 생에 볼지도 모를 정도로 긴 시간이 걸리는데, 오픈소스 VPN 프로토콜 + AES256으로 보호되는 우리의 사생활을 NSA 등 국가 기관이 들여다 볼 수 없다고 생각합니다. 그리고 가장 중요한 이유는 우리 대부분은 그럴만한 ‘가치’가 없다는 거예요…

AES-256bit 암호화에 대해서 조금이라도 더 느껴보실 수 있게 설명이 조금 길었는데요. VPN 암호화 통신을 실시간으로 해독해서 패킷을 가로챈다거나 하는 것은 여기까지 읽으셨으면 헛소리에 불과하구나.. 라는 것을 알게되셨으리라 믿습니다.

아무리 천조국의 NSA라 하더라도 전세계의 아무리 못해도 수천만명은 넘을 유저들의 VPN 통신을 실시간으로? 불가능이라 생각합니다. 저 뿐만 아니라 검색해보시면 수학자, 보안 전문가 등 수많은 사람들도 같은 의견임을 알 수 있을 것 입니다.

한마디로 우리같은 일반인들은 VPN이 해킹 가능하지 않나 이런 걱정 보다는, 떡진 머리에 슬리퍼 끌고 편의점에 도시락 사러 가는 길에 탑스타 연예인을 만났는데 그 연예인이 날 보고 첫눈에 반하지 않을까하는 걱정하는게 더 생산적일 것 입니다.

상단 메뉴에서 각종 VPN들을 비교해보실 수 있습니다.