Offcanvas

검색|인터넷 / 보안 / 비즈니스|경제 / 통신|네트워크

"SSL 인증서 사고 반복"··· 구글, 시만텍 '응징' 나선다

2017.03.28 Lucian Constantin  |  IDG News Service
구글이 시만텍에 적극 대응할 결심을 굳힌 것으로 보인다. 시만텍과 인증서 재판매업체가 부적절하게 SSL 인증서를 발급하는 사고가 반복되고 있기 때문이다. 구체적인 방법은 고객 인증서 전부를 교체하고, EV(Extended Validation)를 거부하는 것 등이다.



넷크래프트(Netcraft)의 2015년 조사 결과를 보면, 웹에서 사용되는 인증서 중 약 1/3이 시만텍이 발급한 것으로, 시만텍은 세계 최대 상용 인증서 발급업체이다. 시만텍은 최근 몇 년간 관련 업체를 인수해, 현재 베리사인(VeriSign), 지오트러스트(GeoTrust), 서트(Thawte), 레피드SSL(RapidSSL) 등을 수중에 넣은 상태다.

SSL/TLS 인증서는 브라우저와 HTTPS 구현 웹 사이트 간 연결을 암호화하는데 사용된다. 또 사용자가 실제 의도한 웹사이트를 방문했는지 스푸핑 여부를 확인한다. 브라우저와 운영 체제가 '기본값'으로 신뢰하는 인증기관(CA)이 이들 인증서를 발급한다.

인증서 발급과 관리 프로세스에는 브라우저 업체와 인증기관이 참여한 단체인 'CA/브라우저 포럼(CA/Browser Forum)'이 만든 규칙이 적용된다. 규칙을 위반하면 브라우저와 OS 업체가 해당 인증서의 '신뢰 자격(Trust)'을 취소해 해당 인증기관에 책임을 물을 수 있다. 심한 경우 루트 인증서 저장소에서 축출할 수도 있다.

구글은 최근 사고를 조사한 결과 시만텍이 적절한 보안 관행을 지키지 않았다고 주장했다. 적절한 보안 관행이란 도메인 통제 및 확인, 미승인 발급을 증명하는 로그 감사, 가짜 인증서 발급 능력을 최소화하기 위한 노력 등을 의미한다.

만약 구글이 시만텍에 대한 조처에 실제로 나선다면 구글 크롬에서 앞으로 12개월 동안 기존 시만텍 인증서 수백 만 개의 신뢰 자격이 취소된다. 이는 점진적인 프로세스이다. 크롬 59버전에서 33개월이 넘은 인증서의 신뢰 자격을 취소하는 것을 시작으로 새로운 크롬 버전에서 새 인증서의 신뢰 자격을 취소하게 된다.

이는 시만텍에 큰 압력이 될 것이 확실시된다. 모든 고객에게 연락해 신원과 소유 도메인의 소유권을 다시 확인하고 기존 인증서를 무료로 새 인증서로 교체해야 하기 때문이다. 이 경우 기간이 짧아 인증서를 교체하는 데 어려움을 겪는 기업도 속출할 것으로 보인다. 결제 터미널이나 액세스가 힘든 임베디드 장치에서 인증서를 사용하는 경우가 대표적이다.

여기에 더해 크롬 등에서 더 이상 인정되지 않을 EV 인증서를 구매한 고객에게는 손해를 입은 금액을 돌려줘야 한다. 시만텍 EV인증서에 대한 이러한 조치는 앞으로 최소 1년 이상 계속될 것으로 보인다. 시만텍이 고객에게 새로 발급한 교체 인증서가 크롬에서 신뢰 자격을 획득하는 데 최대 9개월이 필요한데, 이는 9개월마다 인증서를 교체하기 힘든 일부 대기업에 큰 문제가 될 수 있다.

따라서 구글의 제재는 시만텍의 SSL 사업에 큰 영향을 줄 것으로 보인다. 고객 중 상당수가 이런 불편함을 참지 못하고 다른 인증기관을 찾아갈 가능성이 크기 때문이다.

과거에도 브라우저 업체가 인증서를 부적절하게 발급하거나 '(법률 용어로)오용'해 조처한 사례가 있었지만, 생태계에 이 정도의 큰 영향을 미칠 정도는 아니었다. 브라우저 업체가 세계 최대 인증기관을 이렇게 극단적인 방법으로 제재할지, 아니면 '대마불사' 원칙이 적용될지를 놓고 해석이 분분한 것도 이 때문이다.


구글이 이처럼 전례 없는 조치를 고려하는 이유는 지난 몇 년 동안 시만텍에서 부적절한 인증서 '오용' 사고가 반복해 발생하고 있기 때문이다. 이중에는 내/외부 감사로도 적발하지 못한 사례가 있었다. 올해 초에는 시만텍의 RA(Registration Authority) 파트너가 도메인 소유권을 올바르게 확인하지 않거나 가짜 정보를 바탕으로 127개의 인증서를 발급한 사고가 있었다.

구글은 시만텍 파트너가 최근 몇 년 동안 발급한 인증서 중 최소 3만 개의 자격이 의심된다고 밝혔다. 그러나 시만텍은 이 숫자에 동의하지 않는다.

구글의 라이언슬레비는 크롬 개발 메일링 리스트에 글을 올려 "시만텍은 4개 이상의 회사가 인증서를 발급하기 위해 인프라에 액세스할 수 있도록 허용하고 있다. 그러나 이에 걸맞은 감독은 하지 않고 있다. 이들 기관이 기준을 준수하지 않았다는 증거를 제시해도 관련 정보를 제때 공개하지 않았고, 보고된 사고의 중대성도 인식하지 못했다"라고 말했다.

구글은 이런 점은 물론 여기에 발행했던 사고까지 고려해 지난 몇 년간 시만텍이 적용한 인증서 발급 정책과 관행을 신뢰할 수 없다는 결론에 다다랐다. 그러나 시만텍은 구글의 계획에 강력하게 반발하고 있다. 구글이 일부 사례를 과장, 오도하고 있다고 비난했다. 시만텍은 24일 블로그를 통해 "예상치 못한 일이다. 구글 블로그 글은 무책임하다. 우리는 이번 논란이 인터넷 공동체에 SSL/TLS 인증서에 대한 의심과 불안을 초래하지 않기 바란다"라고 밝혔다.

특히 시만텍은 3만 개라는 숫자가 사실이 아니며, '오용된' 인증서는 127개로 소비자에게 피해를 초래하지 않았다고 반박했다. 또 사고에 책임이 있는 파트너와 관계를 끊었으며, 전체 RA 프로그램을 취소했다고 설명했다. 시만텍 측은 "모든 유명 인증기관이 SSL/TLS 인증서 오용 사고를 경험했다. 구글은 시만텍 하나만 지목했지만, 블로그 게시물에서 설명한 오용 사고에는 여러 다른 인증기관이 관여돼 있다"라고 밝혔다.

단, 시만텍은 구글이 계획을 실행할 경우 발생할 혼란과 방해를 최소화 하는 노력을 기울일 계획이며 구글과 대화해 상호 합의할 수 있는 해결책을 찾을 것이라고 덧붙였다.

한편 독자적으로 루트 인증서 프로그램을 관리하는 모질라 또한 구글과 발을 맞춰 시만텍을 제재하는 방안을 고려하고 있다. 모질라의 거버스 마크험은 보안 메일링 리스트를 통해 "구글은 자신의 조처를 발표했다. 두 루트 저장소가 해당 인증기관에 대해 유사한 조처를 하는 것이 좋다는 생각을 가질 수 밖에 없다. 동일한 사고로 인증기관을 두 번 조처하는 일이 없도록 만들기 위해서이다"라고 설명했다.

그러나 모질라가 당장 구글과 같은 조처를 할지는 미지수이다. 마크험은 "구글의 계획은 '강경한 수단'이다. 과거 전례와 다른 인증기관에 대한 제재 사례를 고려해 대응 수준을 조정하는 것을 고려하고 있다. 꽤 어려운 프로세스인 것이 사실이다"라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.