Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

art_1490919193.jpg

[디지털데일리 최민지기자] 시만텍이 한국전자인증의 인증서 발급대행을 회수했다. 구글은 시만텍의 인증서 신뢰 철회 방안을 검토 중이다. 시만텍은 구글과 합의점을 찾겠다는 방침이나 인증서 신뢰와 관련해서는 구글의 과장된 발언이라며 불편한 기색을 내비치고 있다.


구글·시만텍·한국전자인증, 3사는 도대체 무슨 일이 있었던 것일까. 


지난 23일(현지시간) 구글 소프트웨어 엔지니어인 라이언 슬리비가 '기존 시만텍 SSL 인증서에 대한 신뢰를 단계적으로 중단해야 한다'는 발표로 거슬러 올라간다.


슬리비 엔지니어는 구글 크롬 사용자에게 미치는 영향을 최소화하기 위해 새로 발급된 시만텍 인증서의 유효기간을 9개월 이하로 단축하라고 제안했다. 또, 시만텍의 인증서를 믿을 수 없다며 재평가 또는 교체가 필요하다고 밝혔다.


구글은 크롬 브라우저 보안 정책을 HTTPS로 강화하고 있다. HTTP를 보안소켓레이어(SSL)·전송계층보안(TLS) 암호화 프로토콜로 연결, 데이터를 암호화하고 웹브라우저와 웹서버 간 통신을 안전하게 하겠다는 것이다. 이러한 환경을 구축하려면 SSL 인증서가 필요하다.


시만텍은 SSL 인증사업을 하고 있으며, 한국전자인증을 포함한 브라질 서티사인, 멕시코 서티슈피리어, 아르헨티나 서티수르 등에 인증서 발급 대행 업무를 맡기고 있다. 한국에서의 파트너는 한국전자인증뿐이다.


슬리비 엔지니어는 시만텍의 인증서 오발급 범위가 확대되고 있으며, 127건의 인증서에 대한 문제제기를 했다. 구글은 3만여개 인증서에 대한 신뢰도 문제에 대해서도 지적했다.


결론적으로, 시만텍은 127개 인증서를 잘못 발급한 사실에 대해 인정했다. 그리고 이를 발급한 곳이 한국전자인증이다. 이에 따라 시만텍은 사용자 확인을 직접 하겠다며 등록기관(RA) 제도를 폐지키로 했다. 한국전자인증은 인증발급대행과 심사 업무에서 제외되며 판매와 기술지원 등만 가능하게 됐다.


구글은 기업과 도메인 신뢰성을 제대로 확인하지 않고 SSL 인증서를 발급한 점을 문제 삼았다. SSL 인증서에 대한 악용이 발생하게 되면 사기 인증 발급이 이뤄질 수 있고, 이는 고객 피해로 이어지기 때문이다.


구글은 인증서 오발급은 인증하지만 고객 피해가 없었고 인증서 신뢰성의 문제는 없다고 반박하고 있다. 한국전자인증은 문제가 된 인증서는 규정을 준수하지 않아 발생한 문제이긴 하지만, 그러한 규정이 성립되기 전 내부 테스트를 위해 진행됐던 사안이라고 반발했다.


2016년 7월부터 2017년 1월 사이에 발급된 해당 인증서에는 ‘test’라는 단어가 포함돼 있다. 일부 테스트용 인증서를 사용한 것이 지금의 사태를 만든 것. 결국, 시만텍은 1월 한국전자인증의 발급권한을 중지시켰고 RA 프로그램을 없앴다.


한국전자인증 측은 “시험용 인증서를 구분하기 위한 값을 설정한 것이며, 실제 인증서 구매 전 내부 테스트를 위해 사용된 것”이라며 “해당 인증서를 다른 기관이 사용하게 했다면 문제가 커지지만 그런 사례는 없고, 대고객에게 서비스된 것이 아니다”고 말했다.


3월 보고서에 따르면 시만텍은 한국전자인증 사안을 계속 조사 중이다. 그러나 인증발급절차와 통제권에 대한 의무를 불이행했다는 점과 오발급 인증서 발행에 대한 책임은 지울 수 없을 것으로 보인다.


시만텍과 구글 간 논쟁은 지속될 것으로 보인다. 오발급은 인정하지만, 신뢰성 훼손이라는 부분에서 글로벌 최대 보안 회사인 시만텍도 물러설 수 없는 상황이다.


시만텍 측은 “구글이 크롬 브라우저에서 시만텍 SSL·TLS 인증서 대상으로 취한 조치에 대해 강력히 반대하며, 구글 측 블로그 게시물은 무책임한 것”이라며 “구글이 시만텍의 인증서 발급 관행과 과거의 오발급 범위에 대해 말한 내용은 과장됐으며, 구글이 언급한 사례에서 잘못 발급된 것으로 확인된 인증서는 3만개가 아닌 127개였고 소비자에게 어떠한 피해도 끼치지 않았다”고 제언했다.


이어 “모든 주요 공인인증기관(CA)들이 SSL·TLS 인증서를 오발급하는 사례를 경험했으며, 블로그 게시물에 명시된 사례에 다른 여러 CA 역시 연관되었음에도 불구하고 시만텍 인증기관만을 지목해 제안에 거론했다”며 “고객과 모든 소비자들에게 안심하고 시만텍 SSL·TLS 인증서를 계속 신뢰할 수 있다고 말하고 싶다”고 강조했다.



<최민지 기자>cmj@ddaily.co.kr


자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.04.01 12:34
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

누가 이길런지.....

profile

아버지

2017.04.01 14:57
가입일: 2015:11.29
총 게시물수: 17
총 댓글수: 5020

정보 감사합니다...!!!

profile

Bobono

2017.04.01 17:58
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

좋은 정보 고맙습니다.

profile

프리네

2017.04.02 05:39
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

결국은 한국전자인증의 관리소홀로 시만텍이 구글로부터 태클을 받은거다 인가요...

profile

무무심

2017.04.02 12:38
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

profile

ordo

2017.04.03 09:19
가입일: 2015:11.28
총 게시물수: 83
총 댓글수: 43

정보 감사합니다.~

profile

비상

2017.04.06 21:36
가입일:
총 게시물수: 3
총 댓글수: 388

정보 감사합니다

profile

hallasan

2017.04.09 13:47
가입일:
총 게시물수: 0
총 댓글수: 375

감사합니다

profile

대공

2017.09.02 15:10
가입일: 2018:11.01
총 게시물수: 26
총 댓글수: 1150

인증서 없어 져야됨

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
295 바이러스 램섬웨어에 걸린 경험기.. + 22 독극물 07-02 563
294 보안 소식 가상화폐 거래소 고객 노린 신종 보이스피싱에 당했다...피해 속출 + 8 크로커스 06-30 255
293 보안 소식 URL 하이픈(-)을 이용한 모바일 피싱 주의 + 9 크로커스 06-30 292
292 백신 자료 페트야(Petya) 랜섬웨어 주의 + 8 파란하늘 06-28 172
291 보안 소식 어도비 업데이트 파일로 위장한 '직소 랜섬웨어' 주의 + 16 크로커스 06-14 243
290 보안 소식 [KISA] Judy 안드로이드 악성코드, 3650만명이 넘는 구글플레이 이용자 감염 + 16 Soundofsol 06-04 218
289 보안 소식 [KISA] 악성 어플로 모든 버전의 안드로이드 기기를 손상 가능 + 11 Soundofsol 06-04 329
288 보안 소식 디즈니 ‘캐러비안의 해적’ 시리즈 최신판 유출? 결론은 허위 협박 + 11 크로커스 05-31 232
287 보안 소식 "신호위반하셨네요" 진화하는 랜섬웨어, 경찰서 사칭까지 + 14 크로커스 05-31 201
286 보안 소식 [KISA]Samba 원격 코드 실행 취약점 보안 업데이트 권고 + 7 Soundofsol 05-29 125
285 보안 소식 [KISA]신종 Google Docs 피싱사고에 대한 구글 대응 + 13 Soundofsol 05-20 193
284 보안 소식 WannaCry 배후에 북한해커가 있다는 보도 + 12 pavkim 05-16 165
283 보안 소식 Windows SMB 취약점을 이용한 WannaCry 랜섬웨어 file + 11 Soundofsol 05-14 316
282 보안 소식 안랩, 12일 발생한 ‘타사 모바일 백신의 V3 Mobile Plus 2.0 오진’은 단순 오진 + 8 pavkim 05-13 243
281 보안 소식 99개국에 10시간동안 7만5천건의 랜섬웨어 공격이 발생 + 10 pavkim 05-13 156
280 보안 소식 홈피 방문만으로 감염되는 ‘체포 협박’ 랜섬웨어 매트릭스 출현 + 12 ordo 05-07 301
279 보안 소식 SMSVova 스파이웨어를 숨긴 가짜 앱, 구글 플레이 스토어에서 수년 동안 탐지되지 않아 + 10 ordo 05-01 289
278 보안 소식 해킹으로부터 보호하기 위해 당신의 기기를 해킹하는 봇넷 발견 + 8 ordo 05-01 232
277 보안 소식 OLE 패키지로 악성 스크립트를 실행하는 문서파일 주의 + 7 ordo 05-01 155
276 일반 4차 산업혁명, 인텔리전스 보안은 선택이 아닌 필수다 + 7 ordo 05-01 189
275 보안 소식 PDF 첨부파일 기능을 악용하여 매크로 악성파일을 유포하는 새로운 방식 발견돼 + 7 ordo 05-01 171
274 일반 [대중문화와 사이버 개념 이해] ⑥자동차 해킹은 IoT 해킹의 해일이다 + 6 ordo 05-01 96
273 일반 [대중문화와 사이버 개념 이해] ⑧사이버 보안의 기본은 물리적 보안이다 + 6 ordo 05-01 115
272 일반 [대중문화와 사이버 개념 이해] ⑦사이버 세계의 확장, 브레인넷 시대의 도래 + 5 ordo 05-01 127
271 일반 [대중문화와 사이버 개념 이해] ⑤보안 프로그램도 악용될 수 있다 + 6 ordo 05-01 121