Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

art_1490919193.jpg

[디지털데일리 최민지기자] 시만텍이 한국전자인증의 인증서 발급대행을 회수했다. 구글은 시만텍의 인증서 신뢰 철회 방안을 검토 중이다. 시만텍은 구글과 합의점을 찾겠다는 방침이나 인증서 신뢰와 관련해서는 구글의 과장된 발언이라며 불편한 기색을 내비치고 있다.


구글·시만텍·한국전자인증, 3사는 도대체 무슨 일이 있었던 것일까. 


지난 23일(현지시간) 구글 소프트웨어 엔지니어인 라이언 슬리비가 '기존 시만텍 SSL 인증서에 대한 신뢰를 단계적으로 중단해야 한다'는 발표로 거슬러 올라간다.


슬리비 엔지니어는 구글 크롬 사용자에게 미치는 영향을 최소화하기 위해 새로 발급된 시만텍 인증서의 유효기간을 9개월 이하로 단축하라고 제안했다. 또, 시만텍의 인증서를 믿을 수 없다며 재평가 또는 교체가 필요하다고 밝혔다.


구글은 크롬 브라우저 보안 정책을 HTTPS로 강화하고 있다. HTTP를 보안소켓레이어(SSL)·전송계층보안(TLS) 암호화 프로토콜로 연결, 데이터를 암호화하고 웹브라우저와 웹서버 간 통신을 안전하게 하겠다는 것이다. 이러한 환경을 구축하려면 SSL 인증서가 필요하다.


시만텍은 SSL 인증사업을 하고 있으며, 한국전자인증을 포함한 브라질 서티사인, 멕시코 서티슈피리어, 아르헨티나 서티수르 등에 인증서 발급 대행 업무를 맡기고 있다. 한국에서의 파트너는 한국전자인증뿐이다.


슬리비 엔지니어는 시만텍의 인증서 오발급 범위가 확대되고 있으며, 127건의 인증서에 대한 문제제기를 했다. 구글은 3만여개 인증서에 대한 신뢰도 문제에 대해서도 지적했다.


결론적으로, 시만텍은 127개 인증서를 잘못 발급한 사실에 대해 인정했다. 그리고 이를 발급한 곳이 한국전자인증이다. 이에 따라 시만텍은 사용자 확인을 직접 하겠다며 등록기관(RA) 제도를 폐지키로 했다. 한국전자인증은 인증발급대행과 심사 업무에서 제외되며 판매와 기술지원 등만 가능하게 됐다.


구글은 기업과 도메인 신뢰성을 제대로 확인하지 않고 SSL 인증서를 발급한 점을 문제 삼았다. SSL 인증서에 대한 악용이 발생하게 되면 사기 인증 발급이 이뤄질 수 있고, 이는 고객 피해로 이어지기 때문이다.


구글은 인증서 오발급은 인증하지만 고객 피해가 없었고 인증서 신뢰성의 문제는 없다고 반박하고 있다. 한국전자인증은 문제가 된 인증서는 규정을 준수하지 않아 발생한 문제이긴 하지만, 그러한 규정이 성립되기 전 내부 테스트를 위해 진행됐던 사안이라고 반발했다.


2016년 7월부터 2017년 1월 사이에 발급된 해당 인증서에는 ‘test’라는 단어가 포함돼 있다. 일부 테스트용 인증서를 사용한 것이 지금의 사태를 만든 것. 결국, 시만텍은 1월 한국전자인증의 발급권한을 중지시켰고 RA 프로그램을 없앴다.


한국전자인증 측은 “시험용 인증서를 구분하기 위한 값을 설정한 것이며, 실제 인증서 구매 전 내부 테스트를 위해 사용된 것”이라며 “해당 인증서를 다른 기관이 사용하게 했다면 문제가 커지지만 그런 사례는 없고, 대고객에게 서비스된 것이 아니다”고 말했다.


3월 보고서에 따르면 시만텍은 한국전자인증 사안을 계속 조사 중이다. 그러나 인증발급절차와 통제권에 대한 의무를 불이행했다는 점과 오발급 인증서 발행에 대한 책임은 지울 수 없을 것으로 보인다.


시만텍과 구글 간 논쟁은 지속될 것으로 보인다. 오발급은 인정하지만, 신뢰성 훼손이라는 부분에서 글로벌 최대 보안 회사인 시만텍도 물러설 수 없는 상황이다.


시만텍 측은 “구글이 크롬 브라우저에서 시만텍 SSL·TLS 인증서 대상으로 취한 조치에 대해 강력히 반대하며, 구글 측 블로그 게시물은 무책임한 것”이라며 “구글이 시만텍의 인증서 발급 관행과 과거의 오발급 범위에 대해 말한 내용은 과장됐으며, 구글이 언급한 사례에서 잘못 발급된 것으로 확인된 인증서는 3만개가 아닌 127개였고 소비자에게 어떠한 피해도 끼치지 않았다”고 제언했다.


이어 “모든 주요 공인인증기관(CA)들이 SSL·TLS 인증서를 오발급하는 사례를 경험했으며, 블로그 게시물에 명시된 사례에 다른 여러 CA 역시 연관되었음에도 불구하고 시만텍 인증기관만을 지목해 제안에 거론했다”며 “고객과 모든 소비자들에게 안심하고 시만텍 SSL·TLS 인증서를 계속 신뢰할 수 있다고 말하고 싶다”고 강조했다.



<최민지 기자>cmj@ddaily.co.kr


자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.04.01 12:34
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

누가 이길런지.....

profile

아버지

2017.04.01 14:57
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

정보 감사합니다...!!!

profile

Bobono

2017.04.01 17:58
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

profile

프리네

2017.04.02 05:39
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

결국은 한국전자인증의 관리소홀로 시만텍이 구글로부터 태클을 받은거다 인가요...

profile

무무심

2017.04.02 12:38
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

profile

ordo

2017.04.03 09:19
가입일: 2015:11.28
총 게시물수: 83
총 댓글수: 43

정보 감사합니다.~

profile

비상

2017.04.06 21:36
가입일:
총 게시물수: 3
총 댓글수: 388

정보 감사합니다

profile

hallasan

2017.04.09 13:47
가입일:
총 게시물수: 0
총 댓글수: 375

감사합니다

profile

대공

2017.09.02 15:10
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

인증서 없어 져야됨

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 704
220 일반 몰지각한 10대들의 돈벌이 해킹에 보안 전문교육 ‘불똥’ + 4 ordo 04-05 139
219 보안 소식 '스타크래프트'로 위장한 악성 파일 유포 발견 + 3 크로커스 04-04 68
218 보안 소식 [4.3 버그리포트] CVE + 6 ordo 04-03 120
217 보안 소식 금융 악성코드 드리덱스의 영리한 ‘위장’ 주의! + 4 ordo 04-03 69
216 보안 소식 날씨·광고 배너 통한 대량 악성코드 감염, ‘재발’ 우려 커지나 + 7 ordo 04-03 156
215 보안 소식 변경된 네이버 메인에 금감원 사칭 파밍! 점점 지능·신속화 + 5 ordo 04-03 165
» 보안 소식 '인증서 발급대행 권한' 회수 파장...구글-시만텍-한국전자인증, 무슨 일 있었나? + 9 크로커스 04-01 196
213 보안 소식 [!] 파워쉘을 이용한 ‘록키’ 랜섬웨어 변종 발견 + 5 ordo 04-01 86
212 보안 소식 [3.31 버그리포트] CVE-2017-7359 外 + 4 ordo 04-01 72
211 보안 소식 국내 블록체인 활성화 위한 힘찬 첫 걸음 + 4 ordo 04-01 107
210 보안 소식 [3.30 버그리포트] CVE-2017-7320 外 + 3 ordo 04-01 49
209 보안 소식 실수든 고의든, 해결책 묘연한 내부자 위협 + 4 ordo 04-01 56
208 보안 소식 애플과 MS, IoT와 서버 보안취약점 긴급 업데이트 + 5 ordo 03-30 156
207 보안 소식 [한국인터넷정보학회 칼럼] 국내 자체 개발 블록 암호 알고리즘 현황 + 5 ordo 03-30 186
206 보안 소식 해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유 + 5 ordo 03-30 52
205 보안 소식 MS Application Verifier에서 Double Agent 제로데이 취약점 발견! + 3 ordo 03-29 183
204 보안 소식 LastPass 또 다시 취약점 발견! + 4 ordo 03-29 100
203 보안 소식 게임 유저들을 노린 파밍 악성코드, 주의! + 5 ordo 03-29 108
202 보안 소식 사이버 무기 '보안취약점' 암거래 활개친다 + 5 ordo 03-29 78
201 보안 소식 [긴급] 中 홍커연맹, 국내 17개 웹사이트 타깃 해킹 공격 개시 + 5 ordo 03-29 89
200 보안 소식 FBI, “익명 FTP 서버에 민감한 정보 저장 말라” + 4 ordo 03-29 98
199 보안 소식 [보안뉴스]국내 중견그룹 홈피 디페이스 공격! 중국발 해킹 본격화되나 + 5 ordo 03-28 146
198 보안 소식 [보안뉴스][3.27 버그리포트] CVE-2017-6066 + 5 ordo 03-27 122
197 보안 소식 Serv-U FTP/MFT Server 권한 상승 취약점 발견 + 5 ordo 03-27 327
196 보안 소식 공유기 DNS 변조 조직, 큐싱 등의 진화된 공격으로 다시 등장 + 8 ordo 03-27 222