메뉴 건너뛰기

오에스매니아

art_1490919193.jpg

[디지털데일리 최민지기자] 시만텍이 한국전자인증의 인증서 발급대행을 회수했다. 구글은 시만텍의 인증서 신뢰 철회 방안을 검토 중이다. 시만텍은 구글과 합의점을 찾겠다는 방침이나 인증서 신뢰와 관련해서는 구글의 과장된 발언이라며 불편한 기색을 내비치고 있다.


구글·시만텍·한국전자인증, 3사는 도대체 무슨 일이 있었던 것일까. 


지난 23일(현지시간) 구글 소프트웨어 엔지니어인 라이언 슬리비가 '기존 시만텍 SSL 인증서에 대한 신뢰를 단계적으로 중단해야 한다'는 발표로 거슬러 올라간다.


슬리비 엔지니어는 구글 크롬 사용자에게 미치는 영향을 최소화하기 위해 새로 발급된 시만텍 인증서의 유효기간을 9개월 이하로 단축하라고 제안했다. 또, 시만텍의 인증서를 믿을 수 없다며 재평가 또는 교체가 필요하다고 밝혔다.


구글은 크롬 브라우저 보안 정책을 HTTPS로 강화하고 있다. HTTP를 보안소켓레이어(SSL)·전송계층보안(TLS) 암호화 프로토콜로 연결, 데이터를 암호화하고 웹브라우저와 웹서버 간 통신을 안전하게 하겠다는 것이다. 이러한 환경을 구축하려면 SSL 인증서가 필요하다.


시만텍은 SSL 인증사업을 하고 있으며, 한국전자인증을 포함한 브라질 서티사인, 멕시코 서티슈피리어, 아르헨티나 서티수르 등에 인증서 발급 대행 업무를 맡기고 있다. 한국에서의 파트너는 한국전자인증뿐이다.


슬리비 엔지니어는 시만텍의 인증서 오발급 범위가 확대되고 있으며, 127건의 인증서에 대한 문제제기를 했다. 구글은 3만여개 인증서에 대한 신뢰도 문제에 대해서도 지적했다.


결론적으로, 시만텍은 127개 인증서를 잘못 발급한 사실에 대해 인정했다. 그리고 이를 발급한 곳이 한국전자인증이다. 이에 따라 시만텍은 사용자 확인을 직접 하겠다며 등록기관(RA) 제도를 폐지키로 했다. 한국전자인증은 인증발급대행과 심사 업무에서 제외되며 판매와 기술지원 등만 가능하게 됐다.


구글은 기업과 도메인 신뢰성을 제대로 확인하지 않고 SSL 인증서를 발급한 점을 문제 삼았다. SSL 인증서에 대한 악용이 발생하게 되면 사기 인증 발급이 이뤄질 수 있고, 이는 고객 피해로 이어지기 때문이다.


구글은 인증서 오발급은 인증하지만 고객 피해가 없었고 인증서 신뢰성의 문제는 없다고 반박하고 있다. 한국전자인증은 문제가 된 인증서는 규정을 준수하지 않아 발생한 문제이긴 하지만, 그러한 규정이 성립되기 전 내부 테스트를 위해 진행됐던 사안이라고 반발했다.


2016년 7월부터 2017년 1월 사이에 발급된 해당 인증서에는 ‘test’라는 단어가 포함돼 있다. 일부 테스트용 인증서를 사용한 것이 지금의 사태를 만든 것. 결국, 시만텍은 1월 한국전자인증의 발급권한을 중지시켰고 RA 프로그램을 없앴다.


한국전자인증 측은 “시험용 인증서를 구분하기 위한 값을 설정한 것이며, 실제 인증서 구매 전 내부 테스트를 위해 사용된 것”이라며 “해당 인증서를 다른 기관이 사용하게 했다면 문제가 커지지만 그런 사례는 없고, 대고객에게 서비스된 것이 아니다”고 말했다.


3월 보고서에 따르면 시만텍은 한국전자인증 사안을 계속 조사 중이다. 그러나 인증발급절차와 통제권에 대한 의무를 불이행했다는 점과 오발급 인증서 발행에 대한 책임은 지울 수 없을 것으로 보인다.


시만텍과 구글 간 논쟁은 지속될 것으로 보인다. 오발급은 인정하지만, 신뢰성 훼손이라는 부분에서 글로벌 최대 보안 회사인 시만텍도 물러설 수 없는 상황이다.


시만텍 측은 “구글이 크롬 브라우저에서 시만텍 SSL·TLS 인증서 대상으로 취한 조치에 대해 강력히 반대하며, 구글 측 블로그 게시물은 무책임한 것”이라며 “구글이 시만텍의 인증서 발급 관행과 과거의 오발급 범위에 대해 말한 내용은 과장됐으며, 구글이 언급한 사례에서 잘못 발급된 것으로 확인된 인증서는 3만개가 아닌 127개였고 소비자에게 어떠한 피해도 끼치지 않았다”고 제언했다.


이어 “모든 주요 공인인증기관(CA)들이 SSL·TLS 인증서를 오발급하는 사례를 경험했으며, 블로그 게시물에 명시된 사례에 다른 여러 CA 역시 연관되었음에도 불구하고 시만텍 인증기관만을 지목해 제안에 거론했다”며 “고객과 모든 소비자들에게 안심하고 시만텍 SSL·TLS 인증서를 계속 신뢰할 수 있다고 말하고 싶다”고 강조했다.



<최민지 기자>cmj@ddaily.co.kr


자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
profile 시간은 너무 없고 할 일도 너무 없다
profile

shaula

2017.04.01 12:34

누가 이길런지.....

profile

아버지

2017.04.01 14:57

정보 감사합니다...!!!

profile

Bobono

2017.04.01 17:58

좋은 정보 고맙습니다.

profile

프리네

2017.04.02 05:39

결국은 한국전자인증의 관리소홀로 시만텍이 구글로부터 태클을 받은거다 인가요...

profile

무무심

2017.04.02 12:38

정보 감사합니다

profile

ordo

2017.04.03 09:19

정보 감사합니다.~

profile

비상

2017.04.06 21:36

정보 감사합니다

profile

hallasan

2017.04.09 13:47

감사합니다

profile

대공

2017.09.02 15:10

인증서 없어 져야됨

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 117
244 바이러스 ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보 바이러스 Trojan/Win32.Gamarue.C1893551 + 5 ordo 04-09 107
243 보안 소식 VMware 보안 업데이트 권고 + 6 ordo 04-09 51
242 보안 소식 시스코社 제어시스템 전용라우터 중대 취약점 발견 + 6 ordo 04-09 29
241 바이러스 ASEC이 분석한 바이러스, 스파이웨어, 유해가능 프로그램, 모바일 악성코드 정보 PUP/Win32.GoodsFind.C1905968 + 5 ordo 04-09 41
240 보안 소식 [아주포스트] 여기어때, 이런건 소 잃고 외양간 고치지 맙시다 + 8 오에스유 04-09 40
239 보안 소식 2019년 POS 전용 운용체계(OS) 서비스 종료...결제단말기 해커 놀이터 '표적' + 6 ordo 04-09 40
238 보안 소식 개인정보 유출 주의보…10명중 6명 “유출경험” + 6 오에스유 04-09 37
237 보안 소식 국방부의 해킹 대응, 아쉬운 컨트롤타워 역할 + 5 ordo 04-09 15
236 보안 소식 글로벌 보안 솔루션 웹사이트 통한 악성코드 유포 정황 포착 + 3 ordo 04-09 14
235 일반 작년은 랜섬웨어의 시대, 올해는 랜섬웨어 상품화의 시대 + 12 ordo 04-08 79
234 보안 소식 [4.7 버그리포트] CVE-2015,2016,2017 + 8 ordo 04-08 38
233 보안 소식 [긴급] 공유기 DNS 변조 악성앱 다시 기승...계정 탈취 시도 + 6 ordo 04-08 134
232 일반 국제해킹방어대회·글로벌 보안 컨퍼런스 ‘코드게이트 2017’ 개최 + 7 ordo 04-07 94
231 보안 소식 중국 해커의 쉬운 먹잇감 되고 있는 한국의 대학들 + 6 ordo 04-07 76
230 보안 소식 [4.6 버그리포트] CVE-2017 + 5 ordo 04-07 14
229 보안 소식 “해외 카드결제 승인됐습니다” 직구족 겨냥 스미싱공격 발견 + 5 크로커스 04-07 78
228 보안 소식 시만텍과 구글, 한국전자인증의 인증서 소동...팩트는 이것 + 5 ordo 04-06 146
227 보안 소식 中 3월 주요 바이러스와 피싱 사이트 + 5 ordo 04-06 21
226 보안 소식 [4.5 버그리포트] CVE-2016,2017 + 6 ordo 04-06 18
225 보안 소식 이번엔 인도네시아 해커의 공습? 21개 웹사이트 디페이스 공격 + 5 ordo 04-06 53
224 보안 소식 이스라엘 보안전문가가 삼성 타이젠 OS에서 심각한 보안 취약점을 발견했다 + 5 프리네 04-05 56
223 보안 소식 [긴급] 이력서로 위장한 악성코드 유포...개인정보 탈취 + 5 ordo 04-05 42
222 보안 소식 [4.4 버그리포트] CVE-2017 + 3 ordo 04-05 20
221 보안 소식 방글라데시 은행 해킹 용의자 ‘Lazarus’가 북한? + 4 ordo 04-05 14
220 일반 몰지각한 10대들의 돈벌이 해킹에 보안 전문교육 ‘불똥’ + 4 ordo 04-05 67
위로