메뉴 건너뛰기

오에스매니아 My Image 4월20일 장애인의 날

art_1490919193.jpg

[디지털데일리 최민지기자] 시만텍이 한국전자인증의 인증서 발급대행을 회수했다. 구글은 시만텍의 인증서 신뢰 철회 방안을 검토 중이다. 시만텍은 구글과 합의점을 찾겠다는 방침이나 인증서 신뢰와 관련해서는 구글의 과장된 발언이라며 불편한 기색을 내비치고 있다.


구글·시만텍·한국전자인증, 3사는 도대체 무슨 일이 있었던 것일까. 


지난 23일(현지시간) 구글 소프트웨어 엔지니어인 라이언 슬리비가 '기존 시만텍 SSL 인증서에 대한 신뢰를 단계적으로 중단해야 한다'는 발표로 거슬러 올라간다.


슬리비 엔지니어는 구글 크롬 사용자에게 미치는 영향을 최소화하기 위해 새로 발급된 시만텍 인증서의 유효기간을 9개월 이하로 단축하라고 제안했다. 또, 시만텍의 인증서를 믿을 수 없다며 재평가 또는 교체가 필요하다고 밝혔다.


구글은 크롬 브라우저 보안 정책을 HTTPS로 강화하고 있다. HTTP를 보안소켓레이어(SSL)·전송계층보안(TLS) 암호화 프로토콜로 연결, 데이터를 암호화하고 웹브라우저와 웹서버 간 통신을 안전하게 하겠다는 것이다. 이러한 환경을 구축하려면 SSL 인증서가 필요하다.


시만텍은 SSL 인증사업을 하고 있으며, 한국전자인증을 포함한 브라질 서티사인, 멕시코 서티슈피리어, 아르헨티나 서티수르 등에 인증서 발급 대행 업무를 맡기고 있다. 한국에서의 파트너는 한국전자인증뿐이다.


슬리비 엔지니어는 시만텍의 인증서 오발급 범위가 확대되고 있으며, 127건의 인증서에 대한 문제제기를 했다. 구글은 3만여개 인증서에 대한 신뢰도 문제에 대해서도 지적했다.


결론적으로, 시만텍은 127개 인증서를 잘못 발급한 사실에 대해 인정했다. 그리고 이를 발급한 곳이 한국전자인증이다. 이에 따라 시만텍은 사용자 확인을 직접 하겠다며 등록기관(RA) 제도를 폐지키로 했다. 한국전자인증은 인증발급대행과 심사 업무에서 제외되며 판매와 기술지원 등만 가능하게 됐다.


구글은 기업과 도메인 신뢰성을 제대로 확인하지 않고 SSL 인증서를 발급한 점을 문제 삼았다. SSL 인증서에 대한 악용이 발생하게 되면 사기 인증 발급이 이뤄질 수 있고, 이는 고객 피해로 이어지기 때문이다.


구글은 인증서 오발급은 인증하지만 고객 피해가 없었고 인증서 신뢰성의 문제는 없다고 반박하고 있다. 한국전자인증은 문제가 된 인증서는 규정을 준수하지 않아 발생한 문제이긴 하지만, 그러한 규정이 성립되기 전 내부 테스트를 위해 진행됐던 사안이라고 반발했다.


2016년 7월부터 2017년 1월 사이에 발급된 해당 인증서에는 ‘test’라는 단어가 포함돼 있다. 일부 테스트용 인증서를 사용한 것이 지금의 사태를 만든 것. 결국, 시만텍은 1월 한국전자인증의 발급권한을 중지시켰고 RA 프로그램을 없앴다.


한국전자인증 측은 “시험용 인증서를 구분하기 위한 값을 설정한 것이며, 실제 인증서 구매 전 내부 테스트를 위해 사용된 것”이라며 “해당 인증서를 다른 기관이 사용하게 했다면 문제가 커지지만 그런 사례는 없고, 대고객에게 서비스된 것이 아니다”고 말했다.


3월 보고서에 따르면 시만텍은 한국전자인증 사안을 계속 조사 중이다. 그러나 인증발급절차와 통제권에 대한 의무를 불이행했다는 점과 오발급 인증서 발행에 대한 책임은 지울 수 없을 것으로 보인다.


시만텍과 구글 간 논쟁은 지속될 것으로 보인다. 오발급은 인정하지만, 신뢰성 훼손이라는 부분에서 글로벌 최대 보안 회사인 시만텍도 물러설 수 없는 상황이다.


시만텍 측은 “구글이 크롬 브라우저에서 시만텍 SSL·TLS 인증서 대상으로 취한 조치에 대해 강력히 반대하며, 구글 측 블로그 게시물은 무책임한 것”이라며 “구글이 시만텍의 인증서 발급 관행과 과거의 오발급 범위에 대해 말한 내용은 과장됐으며, 구글이 언급한 사례에서 잘못 발급된 것으로 확인된 인증서는 3만개가 아닌 127개였고 소비자에게 어떠한 피해도 끼치지 않았다”고 제언했다.


이어 “모든 주요 공인인증기관(CA)들이 SSL·TLS 인증서를 오발급하는 사례를 경험했으며, 블로그 게시물에 명시된 사례에 다른 여러 CA 역시 연관되었음에도 불구하고 시만텍 인증기관만을 지목해 제안에 거론했다”며 “고객과 모든 소비자들에게 안심하고 시만텍 SSL·TLS 인증서를 계속 신뢰할 수 있다고 말하고 싶다”고 강조했다.



<최민지 기자>cmj@ddaily.co.kr


자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile 시간은 너무 없고 할 일도 너무 없다

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.04.01 12:34
가입일:
총 게시물수: 2
총 댓글수: 547

누가 이길런지.....

profile

아버지

2017.04.01 14:57
가입일: 2015:11.29
총 게시물수: 16
총 댓글수: 4694

정보 감사합니다...!!!

profile

Bobono

2017.04.01 17:58
가입일: 2016:12.05
총 게시물수: 15
총 댓글수: 811

좋은 정보 고맙습니다.

profile

프리네

2017.04.02 05:39
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13195

결국은 한국전자인증의 관리소홀로 시만텍이 구글로부터 태클을 받은거다 인가요...

profile

무무심

2017.04.02 12:38
가입일:
총 게시물수: 11
총 댓글수: 1532

정보 감사합니다

profile

ordo

2017.04.03 09:19
가입일: 2015:11.28
총 게시물수: 83
총 댓글수: 38

정보 감사합니다.~

profile

비상

2017.04.06 21:36
가입일:
총 게시물수: 4
총 댓글수: 481

정보 감사합니다

profile

hallasan

2017.04.09 13:47
가입일:
총 게시물수: 0
총 댓글수: 376

감사합니다

profile

대공

2017.09.02 15:10
가입일:
총 게시물수: 25
총 댓글수: 1064

인증서 없어 져야됨

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 190
278 보안 소식 해킹으로부터 보호하기 위해 당신의 기기를 해킹하는 봇넷 발견 + 8 ordo 05-01 189
277 보안 소식 OLE 패키지로 악성 스크립트를 실행하는 문서파일 주의 + 7 ordo 05-01 121
276 일반 4차 산업혁명, 인텔리전스 보안은 선택이 아닌 필수다 + 7 ordo 05-01 121
275 보안 소식 PDF 첨부파일 기능을 악용하여 매크로 악성파일을 유포하는 새로운 방식 발견돼 + 7 ordo 05-01 117
274 일반 [대중문화와 사이버 개념 이해] ⑥자동차 해킹은 IoT 해킹의 해일이다 + 6 ordo 05-01 38
273 일반 [대중문화와 사이버 개념 이해] ⑧사이버 보안의 기본은 물리적 보안이다 + 6 ordo 05-01 47
272 일반 [대중문화와 사이버 개념 이해] ⑦사이버 세계의 확장, 브레인넷 시대의 도래 + 5 ordo 05-01 52
271 일반 [대중문화와 사이버 개념 이해] ⑤보안 프로그램도 악용될 수 있다 + 6 ordo 05-01 40
270 일반 [대중문화와 사이버 개념 이해] ④SNS의 지속 성장은 유용성과 보안성에 있다 + 5 ordo 05-01 41
269 일반 [대중문화와 사이버 개념 이해] ③해킹의 新패러다임은 실물 복제 고도화 + 6 ordo 05-01 42
268 일반 [대중문화와 사이버 개념 이해] ②사이버 보안기술의 핵심은 인간의 특성이다 + 6 ordo 05-01 56
267 일반 [대중문화와 사이버 개념 이해] ①모든 해킹의 단초는 인간이다 + 6 ordo 05-01 59
266 일반 페이스북 ‘좋아요’와 스팸 댓글 바꾸실래요? + 7 ordo 04-28 78
265 보안 소식 “Are you Happy?” 3.20·한수원 사태 北 해커들, 연합작전 개시 + 5 ordo 04-28 46
264 일반 인터폴, 아세안 지역서 C&C 서버 9000여개 적발 + 8 ordo 04-27 89
263 보안 소식 한국 비트코인 거래소 ‘야피존’ 해킹!...55억 규모 탈취 + 7 ordo 04-27 233
262 보안 소식 中 웜 바이러스, PC 14만 4,000대 감염 + 11 ordo 04-25 120
261 보안 소식 인니 해커들의 국내 홈피 해킹 일지! 속수무책 당해야만 하나 + 9 ordo 04-25 90
260 보안 소식 NSA 사이버 무기 판도라 상자 열렸다. file + 7 파란하늘 04-23 70
259 보안 소식 역대 최악 수준의 ‘컨피커 웜’ 공포, 랜섬웨어로 부활하나 + 11 ordo 04-22 121
258 보안 소식 시스코·아파치·VMware·오라클 등 글로벌 SW, 보안 패치 줄이어 + 5 ordo 04-22 140
257 일반 (ISC)²가 트럼프에게 사이버보안 행정명령 권고안 제시하다 + 4 ordo 04-21 50
256 보안 소식 국민의당 싱크탱크 홈피 디페이스 해킹 당해...현재도 접속불가 + 2 ordo 04-21 100
255 보안 소식 [긴급] 아이폰 사용자 정보도 탈취하는 몸캠 피싱 발견! + 6 ordo 04-20 111
254 보안 소식 [긴급] 셰도우 브로커스 공개 MS 취약점 악용 ‘랜섬웨어’ 출현 + 3 ordo 04-20 98
위로

Master of OS Mania
×

진정한 OS를 알아볼수 있는 전문가 집단.

오에스매니아 에 가입하십시요

그동안 보지 못한 신세계를 만날수 있습니다.