2018.11.26

칼럼 | 인증서 오류, 구글이 어설펐다

Roger A. Grimes | CSO
최근 필자는 온라인 비밀번호를 업데이트하면서 크롬을 이용해 케이블 제공업체의 웹사이트인 브라이트하우스닷컴(Brighthouse.com)에 접속했다. 그런데 디지털 인증서에 오류가 발생했다. 지난 몇 년간 디지털 인증서 오류가 발생하는 사례가 줄어들었는데, 왜 이런 일이 발생한 것일까? 무엇보다 오류가 발생한 인증서는 꽤 큰 회사가 사용하는 인증서였다. 컴퓨터 보안에 취약점이 있는지 모를 수도 있는 작은 회사가 아니었다. 여러 이유에서 궁금증이 생겼다. 
 
디지털 인증서 오류

필자는 인증서에 문제가 있는 URL을 가리키는 ‘안전하지 않음(Not Secure)’을 클릭했다. 가능하다면 어디에서 오류가 발생했는지 확인하기 위해 디지털 인증서를 더 자세히 보기 위해서였다. 필자는 퍼블릭 키 인프라(PKI)와 디지털 인증서 분야에서 20년 넘게 일했다. 오류에 대해 파악하고, 누가 어떤 실수를 저질렀는지 알고 싶었다.

구글 조사 결과를 보면, PKI와 디지털 인증서에 대해 더 많이 알수록 디지털 인증서 오류를 무시하고, 이런 오류가 발생한 웹사이트에 그냥 접속하는 경우가 더 많다(부정적인 행동이 될 수 있다). 이로 인해, 몇 년 동안 구글과 마이크로소프트는 디지털 인증서 오류가 발생한 경우 디지털 인증서에 대한 정보를 더 적게 제공하기 시작했다. 다행히 두 회사 모두 이제는 이렇게 하지 않는 것으로 보인다. 필자처럼 디지털 인증서를 잘 아는 사람들이 원할 때 더 자세히 조사할 수 있도록 지원하는 것이다.

 
디지털 인증서 오류 상세 내용
필자는 문제가 된 디지털 인증서를 열어 조사했다. 그 결과 간단히 말해 어떤 오류나 실수도 발견할 수 없었다. 최소한 바로 눈에 띄는 오류나 실수는 없었다. SHA1이 아닌 SHA 256을 사용하고 있었고, 키는 1024비트가 아닌 2048비트 RSA 키였다. 방문한 웹사이트 페이지의 인증서 이름은 *.brighthouse.com으로 올바르게 되어 있었다. 그리고 아래 대체할 이름(SAN: Subject Alternative Name) 필드에도 같은 이름이 다시 입력돼 있었다. 필자가 확인한 인증서 오류 중 상당수가 이 이름과 SAN 필드에 문제가 있었는데, 이 경우는 그런 사례는 아니었다. 당황스러웠다.

그래서 이번에는 마이크로소프트 엣지로 웹사이트에 접속해봤다. 인증서가 오류 없이 표시됐다. 엣지에서 디지털 인증서를 열어 인증 번호와 지문 값을 조사했다. 둘을 구글 크롬의 인증서와 비교했다. 일치했다. 같은 인증서였다. 그러나 무슨 이유 때문인지 크롬이 이를 '좋아하지' 않았던 것이다. 엣지를 닫고, 다시 크롬을 열었다. 그리고 처음에 했던 일을 반복했다. 이번엔 하나하나 천천히 크롬에 표시된 오류 메시지를 읽어봤다.

그제야 단서 하나가 보였다. 오류 메시지는 ‘NET:: ERR_CERT_SYMANTEC_LEGACY’였다. 지난해, 구글은 시만텍과 전쟁을 했다. 여러 문제 때문으로 알려졌는데 그중 하나가 인증서였다. 시만텍 산하 PKI 업체인 베리사인(VeriSign), 쏘트(Thawte), 지오트러스트(GeoTrust), 레피드SSL(RapidSSL)이 구글과 관련 없는 회사에 구글 도메인 이름이 포함된 인증서를 발행했던 것이다.

이는 지난해 컴퓨터 보안 업계에서 꽤 떠들썩한 사건이었다. 애초에 필자는 실제 전쟁보다는 ‘설전’에 그칠 것으로 예상했지만, 구글은 시만텍, 그리고 시만텍이 발행한 디지털 인증서를 신뢰하지 않을 수도 있다고 주장했다. 그리고 여러 조치 중 하나로 시만텍이 발행한 인증서를 모두 무효 처리할 계획도 공개했고, 이는 업계에 ‘패닉’ 상태를 초래했다. 시만텍 산하 PKI가 발행한 퍼블릭 인증서가 아주 많기 때문이다. 이는 신뢰할 수 있는, 그리고 많은 사람이 즐겨 찾는 수많은 웹사이트에 오류가 발생할 수 있다는 것을 의미한다.
 
인증서 오류는 시만텍 PKI에서 발생했다.

구글은 업계에 자문을 구했다. 이 중에는 평판 높은 퍼블릭 PKI 표준 그룹인 CA/Browser 포럼도 포함되어 있었다. 그리고 계획을 늦춰, 장기적으로 단계별로 인증을 무효화 한다는 결정을 내렸다. 그리고 약속한 때가 왔다. 구글은 미리 ‘시간표’를 발표했다. 또 다양한 크롬 버전에서 어떻게 단계별 영향이 발생할지 설명했다. 그런데 필자의 이번 경험을 통해 큰 기업 중에도 이 ‘시간표’에 따라 인증서를 업데이트하지 않은 곳이 있음이 확인됐다. 물론 수많은 고객의 불평과 임원의 ‘닦달’ 때문에 이 문제는 곧 해결될 것이다.

그러나 필자를 비롯해 많은 전문가가 구글이 시도하는 '해법’이 어설프다고 평가한다. 물론 구글은 자신이 만든 제품의 안전 상태, 이와 관련된 문제를 결정할 권리를 갖고 있다. 그렇지만 오류 메시지에서 조금 더 많은 정보를 제공할 필요가 있다. ‘해커가 공격할 수 있음’ 대신 ‘연결하려는 회사가 유효하지 않은 디지털 인증서를 사용하고 있음. 더 자세한 정보는 여기를 클릭’ 같은 메시지가 더 적절할 것이다. 

필자는 이런 경고 메시지가 보통 사용자에게 유용한 정보를 거의 제공하지 않는 것을 도무지 이해할 수 없다. 이번에 애매한 경고 메시지를 뒤로하고 직접 더 자세하게 조사해 본 것도 같은 이유였다. 결론적으로 구글 크롬을 사용하고 있다면 누구나 이런 디지털 인증서 오류가 증가할 것이다. 경고 메시지에 ‘Symantec_Legacy’가 있다면 오류가 발생한 미뤄 짐작할 수 있을 것이다. ciokr@idg.co.kr

2018.11.26

칼럼 | 인증서 오류, 구글이 어설펐다

Roger A. Grimes | CSO
최근 필자는 온라인 비밀번호를 업데이트하면서 크롬을 이용해 케이블 제공업체의 웹사이트인 브라이트하우스닷컴(Brighthouse.com)에 접속했다. 그런데 디지털 인증서에 오류가 발생했다. 지난 몇 년간 디지털 인증서 오류가 발생하는 사례가 줄어들었는데, 왜 이런 일이 발생한 것일까? 무엇보다 오류가 발생한 인증서는 꽤 큰 회사가 사용하는 인증서였다. 컴퓨터 보안에 취약점이 있는지 모를 수도 있는 작은 회사가 아니었다. 여러 이유에서 궁금증이 생겼다. 
 
디지털 인증서 오류

필자는 인증서에 문제가 있는 URL을 가리키는 ‘안전하지 않음(Not Secure)’을 클릭했다. 가능하다면 어디에서 오류가 발생했는지 확인하기 위해 디지털 인증서를 더 자세히 보기 위해서였다. 필자는 퍼블릭 키 인프라(PKI)와 디지털 인증서 분야에서 20년 넘게 일했다. 오류에 대해 파악하고, 누가 어떤 실수를 저질렀는지 알고 싶었다.

구글 조사 결과를 보면, PKI와 디지털 인증서에 대해 더 많이 알수록 디지털 인증서 오류를 무시하고, 이런 오류가 발생한 웹사이트에 그냥 접속하는 경우가 더 많다(부정적인 행동이 될 수 있다). 이로 인해, 몇 년 동안 구글과 마이크로소프트는 디지털 인증서 오류가 발생한 경우 디지털 인증서에 대한 정보를 더 적게 제공하기 시작했다. 다행히 두 회사 모두 이제는 이렇게 하지 않는 것으로 보인다. 필자처럼 디지털 인증서를 잘 아는 사람들이 원할 때 더 자세히 조사할 수 있도록 지원하는 것이다.

 
디지털 인증서 오류 상세 내용
필자는 문제가 된 디지털 인증서를 열어 조사했다. 그 결과 간단히 말해 어떤 오류나 실수도 발견할 수 없었다. 최소한 바로 눈에 띄는 오류나 실수는 없었다. SHA1이 아닌 SHA 256을 사용하고 있었고, 키는 1024비트가 아닌 2048비트 RSA 키였다. 방문한 웹사이트 페이지의 인증서 이름은 *.brighthouse.com으로 올바르게 되어 있었다. 그리고 아래 대체할 이름(SAN: Subject Alternative Name) 필드에도 같은 이름이 다시 입력돼 있었다. 필자가 확인한 인증서 오류 중 상당수가 이 이름과 SAN 필드에 문제가 있었는데, 이 경우는 그런 사례는 아니었다. 당황스러웠다.

그래서 이번에는 마이크로소프트 엣지로 웹사이트에 접속해봤다. 인증서가 오류 없이 표시됐다. 엣지에서 디지털 인증서를 열어 인증 번호와 지문 값을 조사했다. 둘을 구글 크롬의 인증서와 비교했다. 일치했다. 같은 인증서였다. 그러나 무슨 이유 때문인지 크롬이 이를 '좋아하지' 않았던 것이다. 엣지를 닫고, 다시 크롬을 열었다. 그리고 처음에 했던 일을 반복했다. 이번엔 하나하나 천천히 크롬에 표시된 오류 메시지를 읽어봤다.

그제야 단서 하나가 보였다. 오류 메시지는 ‘NET:: ERR_CERT_SYMANTEC_LEGACY’였다. 지난해, 구글은 시만텍과 전쟁을 했다. 여러 문제 때문으로 알려졌는데 그중 하나가 인증서였다. 시만텍 산하 PKI 업체인 베리사인(VeriSign), 쏘트(Thawte), 지오트러스트(GeoTrust), 레피드SSL(RapidSSL)이 구글과 관련 없는 회사에 구글 도메인 이름이 포함된 인증서를 발행했던 것이다.

이는 지난해 컴퓨터 보안 업계에서 꽤 떠들썩한 사건이었다. 애초에 필자는 실제 전쟁보다는 ‘설전’에 그칠 것으로 예상했지만, 구글은 시만텍, 그리고 시만텍이 발행한 디지털 인증서를 신뢰하지 않을 수도 있다고 주장했다. 그리고 여러 조치 중 하나로 시만텍이 발행한 인증서를 모두 무효 처리할 계획도 공개했고, 이는 업계에 ‘패닉’ 상태를 초래했다. 시만텍 산하 PKI가 발행한 퍼블릭 인증서가 아주 많기 때문이다. 이는 신뢰할 수 있는, 그리고 많은 사람이 즐겨 찾는 수많은 웹사이트에 오류가 발생할 수 있다는 것을 의미한다.
 
인증서 오류는 시만텍 PKI에서 발생했다.

구글은 업계에 자문을 구했다. 이 중에는 평판 높은 퍼블릭 PKI 표준 그룹인 CA/Browser 포럼도 포함되어 있었다. 그리고 계획을 늦춰, 장기적으로 단계별로 인증을 무효화 한다는 결정을 내렸다. 그리고 약속한 때가 왔다. 구글은 미리 ‘시간표’를 발표했다. 또 다양한 크롬 버전에서 어떻게 단계별 영향이 발생할지 설명했다. 그런데 필자의 이번 경험을 통해 큰 기업 중에도 이 ‘시간표’에 따라 인증서를 업데이트하지 않은 곳이 있음이 확인됐다. 물론 수많은 고객의 불평과 임원의 ‘닦달’ 때문에 이 문제는 곧 해결될 것이다.

그러나 필자를 비롯해 많은 전문가가 구글이 시도하는 '해법’이 어설프다고 평가한다. 물론 구글은 자신이 만든 제품의 안전 상태, 이와 관련된 문제를 결정할 권리를 갖고 있다. 그렇지만 오류 메시지에서 조금 더 많은 정보를 제공할 필요가 있다. ‘해커가 공격할 수 있음’ 대신 ‘연결하려는 회사가 유효하지 않은 디지털 인증서를 사용하고 있음. 더 자세한 정보는 여기를 클릭’ 같은 메시지가 더 적절할 것이다. 

필자는 이런 경고 메시지가 보통 사용자에게 유용한 정보를 거의 제공하지 않는 것을 도무지 이해할 수 없다. 이번에 애매한 경고 메시지를 뒤로하고 직접 더 자세하게 조사해 본 것도 같은 이유였다. 결론적으로 구글 크롬을 사용하고 있다면 누구나 이런 디지털 인증서 오류가 증가할 것이다. 경고 메시지에 ‘Symantec_Legacy’가 있다면 오류가 발생한 미뤄 짐작할 수 있을 것이다. ciokr@idg.co.kr

X