2017.08.04

시만텍, '말 많고 탈 많은' SSL 사업부 매각한다

Peter Sayer | IDG News Service
TLS와 SSL의 유효성을 놓고 구글과 갈등을 빚어 온 시만텍이 해결 방법을 찾아냈다. 관련 사업부를 팔아버리는 것이다. 현재 다른 인증서 발급 업체와 10억 달러 규모의 매각 협상을 진행하고 있다.



그동안 구글을 포함한 브라우저 개발업체들은 시만텍이 SSL 인증서를 발급하는 방식에 대해 의문을 제기하며 자사 브라우저에서 인증서 인식을 중단할 수 있다고 경고해왔다. 이렇게 되면 시만텍 인증서를 사용한 웹사이트에 접속했을 때 경고창이 뜨기 때문에 시만텍 고객사에 직접적인 타격이 된다.

이런 가운데 시만텍이 인증서 관련 업무를 담당하는 CA(Certificate Authority) 사업을 또다른 인증서 발급 업체 '디지서트(DigiCert)'에 매각하는 협상을 진행중이다. 금액은 9억 5000만 달러와 이 업체의 지분 30%를 인수하는 조건이다. 계약이 체결되면 디지서트는 시만텍의 사업부를 인수해 발급 절차를 개선한다는 계획이다.

특히 브라우저내에서 시만텍 인증서의 신뢰성 관련 문제를 우선적으로 해결할 예정이다. 디지서트는 "이번 거래가 브라우저 커뮤니티의 요구를 만족시킬 것으로 확신한다. 현재 이번 거래의 의도에 대해 브라우저 개발업체와 논의하고 있으며 앞으로도 계속 협업해 나갈 것이다"라고 밝혔다.

현재 시만텍에 대해 가장 날선 비판을 하고 있는 업체는 구글이다. 지난 2년간 구글은 시만텍이 인증서를 발급하는 절차에 문제가 있다고 줄기차게 지적했다. 인증서는 웹사이트와 브라우저 사이에, 혹은 애플리케이션 간에 통신의 보안을 강화하고 인증하는 역할을 한다. 지난 3월 구글은 시만텍이 인증서 3만 건을 잘못 발급했다며 시만텍을 직접 비판했다. 이를 이용하면 해커가 가짜 웹사이트를 마치 합법적인 사이트처럼 위장할 수 있다는 것이다.

특히 논란이 되는 것이 이른바 'EV(Extended Validation) 인증서'라고 불리는 것이다. 이를 이용하면 인증서를 호출하는 엔티티의 신원을 확인하는 추가 작업을 할 수 있다. 브라우저 주소바에 인증된 사이트의 URL과 함께 회사명 등 인증된 신원을 표시해 웹사이트 방문자에게 접속한 사이트가 합법적이고 정상적인 사이트임을 추가적으로 알려준다. 이는 일반적으로 안전한 사이트임을 알려주는 자물쇠 아이콘을 대체해 표시된다.

시만텍 인증서를 둘러싼 또다른 논란은 수백만 고객사의 인증서 갱신 문제다. 시만텍은 여러 논란 끝에 EV 인증서를 포함해 기존 인증서를 전면 재발급하기로 했다. 그리고 실제적인 작업을 위해 시만텍은 디지서트를 선택했다.

시만텍과 비교하면 디지서트는 매우 작은 업체다. 시장조사업체 W3테크(W3Techs) 자료를 보면, 시만텍이 SSL 인증 발급 시장의 14%를 점유한 반면 디지서트의 점유율은 2.2%에 불과하다. 넷크레프트(Netcraft)는 시만텍의 점유율을 인증 시장의 30%, EV 인증 시장의 40%로 본다. 이번 거래가 마무리되면 디지서트의 점유율은 더 커질 것으로 보인다. 현재 디지서트의 미국내 직원은 225명이지만 앞으로 1000명 이상으로 인력 규모를 키울 예정이다.


웹 브라우저는 자동으로 시만텍이나 디지서트 같은 업체가 발급한 인증서를 신뢰한다. 그러나 구글은 크롬 브라우저 내에서 시만텍이 발급한 오래된 인증서에 대한 신뢰 수준을 점차 낮추기 시작했다. 크롬 사용자가 이런 사이트에 방문하면 보안 경고창이 나타난다. 구글은 내년까지 안전하지 않다고 판단되는 상황에서 발급된 인증서에 대해 경고창을 더 자주 보여줄 예정이다.

발급된 SSL 인증서는 폐기하지 않는 한 일정 기간만 유효하다. 그러나 구글이 지난 3월 발표한 계획에 따르면, 최신 버전인 구글 59 버전부터 33개월 이상된 인증서에 대해 안전하지 않다는 경고창을 보여준다. 내년 초에 나올 구글 64 버전에서는 이 기간이 9개월로 줄어든다. 결국 크롬에서 경고창 없이 정상적으로 작동하려면 2017년 4월 이후에 갱신된 인증서가 필요하게 된다.

지난 주 구글 크롬 팀은 오는 12월 1일 모든 인증서를 재발급하겠다는 시만텍의 제안을 수용했다. 독립적인 MPI(Managed Partner Infrastructure)에 의해 발급되는 루트 인증서로 연결하겠다는 것이다. 그러나 이 제안 당시 시만텍은 인증 사업부 매각에 대해 전혀 언급하지 않았다.

더 안전한 인증에 대한 압박 움직임은 구글 뿐 아니라 다른 기관에서도 찾을 수 있다. 예를 들어 지난 해 CASC(Certificate Authority Security Council)는 인증서 발급 기관의 발급 절차를 강화하는 새로운 요건을 확정했다.

인증서의 가장 가시적인 역할은 웹사이트에 대한 보안 접속이지만 사물인터넷(IoT) 기기에 내장해 서버를 식별하는 용도로도 사용할 수 있다. 이를 통해 클라우드 컴퓨팅 서비스에 대한 연결의 보안을 강화하고 스마트폰 앱의 트래픽을 암호화할 수 있다. ciokr@idg.co.kr 



2017.08.04

시만텍, '말 많고 탈 많은' SSL 사업부 매각한다

Peter Sayer | IDG News Service
TLS와 SSL의 유효성을 놓고 구글과 갈등을 빚어 온 시만텍이 해결 방법을 찾아냈다. 관련 사업부를 팔아버리는 것이다. 현재 다른 인증서 발급 업체와 10억 달러 규모의 매각 협상을 진행하고 있다.



그동안 구글을 포함한 브라우저 개발업체들은 시만텍이 SSL 인증서를 발급하는 방식에 대해 의문을 제기하며 자사 브라우저에서 인증서 인식을 중단할 수 있다고 경고해왔다. 이렇게 되면 시만텍 인증서를 사용한 웹사이트에 접속했을 때 경고창이 뜨기 때문에 시만텍 고객사에 직접적인 타격이 된다.

이런 가운데 시만텍이 인증서 관련 업무를 담당하는 CA(Certificate Authority) 사업을 또다른 인증서 발급 업체 '디지서트(DigiCert)'에 매각하는 협상을 진행중이다. 금액은 9억 5000만 달러와 이 업체의 지분 30%를 인수하는 조건이다. 계약이 체결되면 디지서트는 시만텍의 사업부를 인수해 발급 절차를 개선한다는 계획이다.

특히 브라우저내에서 시만텍 인증서의 신뢰성 관련 문제를 우선적으로 해결할 예정이다. 디지서트는 "이번 거래가 브라우저 커뮤니티의 요구를 만족시킬 것으로 확신한다. 현재 이번 거래의 의도에 대해 브라우저 개발업체와 논의하고 있으며 앞으로도 계속 협업해 나갈 것이다"라고 밝혔다.

현재 시만텍에 대해 가장 날선 비판을 하고 있는 업체는 구글이다. 지난 2년간 구글은 시만텍이 인증서를 발급하는 절차에 문제가 있다고 줄기차게 지적했다. 인증서는 웹사이트와 브라우저 사이에, 혹은 애플리케이션 간에 통신의 보안을 강화하고 인증하는 역할을 한다. 지난 3월 구글은 시만텍이 인증서 3만 건을 잘못 발급했다며 시만텍을 직접 비판했다. 이를 이용하면 해커가 가짜 웹사이트를 마치 합법적인 사이트처럼 위장할 수 있다는 것이다.

특히 논란이 되는 것이 이른바 'EV(Extended Validation) 인증서'라고 불리는 것이다. 이를 이용하면 인증서를 호출하는 엔티티의 신원을 확인하는 추가 작업을 할 수 있다. 브라우저 주소바에 인증된 사이트의 URL과 함께 회사명 등 인증된 신원을 표시해 웹사이트 방문자에게 접속한 사이트가 합법적이고 정상적인 사이트임을 추가적으로 알려준다. 이는 일반적으로 안전한 사이트임을 알려주는 자물쇠 아이콘을 대체해 표시된다.

시만텍 인증서를 둘러싼 또다른 논란은 수백만 고객사의 인증서 갱신 문제다. 시만텍은 여러 논란 끝에 EV 인증서를 포함해 기존 인증서를 전면 재발급하기로 했다. 그리고 실제적인 작업을 위해 시만텍은 디지서트를 선택했다.

시만텍과 비교하면 디지서트는 매우 작은 업체다. 시장조사업체 W3테크(W3Techs) 자료를 보면, 시만텍이 SSL 인증 발급 시장의 14%를 점유한 반면 디지서트의 점유율은 2.2%에 불과하다. 넷크레프트(Netcraft)는 시만텍의 점유율을 인증 시장의 30%, EV 인증 시장의 40%로 본다. 이번 거래가 마무리되면 디지서트의 점유율은 더 커질 것으로 보인다. 현재 디지서트의 미국내 직원은 225명이지만 앞으로 1000명 이상으로 인력 규모를 키울 예정이다.


웹 브라우저는 자동으로 시만텍이나 디지서트 같은 업체가 발급한 인증서를 신뢰한다. 그러나 구글은 크롬 브라우저 내에서 시만텍이 발급한 오래된 인증서에 대한 신뢰 수준을 점차 낮추기 시작했다. 크롬 사용자가 이런 사이트에 방문하면 보안 경고창이 나타난다. 구글은 내년까지 안전하지 않다고 판단되는 상황에서 발급된 인증서에 대해 경고창을 더 자주 보여줄 예정이다.

발급된 SSL 인증서는 폐기하지 않는 한 일정 기간만 유효하다. 그러나 구글이 지난 3월 발표한 계획에 따르면, 최신 버전인 구글 59 버전부터 33개월 이상된 인증서에 대해 안전하지 않다는 경고창을 보여준다. 내년 초에 나올 구글 64 버전에서는 이 기간이 9개월로 줄어든다. 결국 크롬에서 경고창 없이 정상적으로 작동하려면 2017년 4월 이후에 갱신된 인증서가 필요하게 된다.

지난 주 구글 크롬 팀은 오는 12월 1일 모든 인증서를 재발급하겠다는 시만텍의 제안을 수용했다. 독립적인 MPI(Managed Partner Infrastructure)에 의해 발급되는 루트 인증서로 연결하겠다는 것이다. 그러나 이 제안 당시 시만텍은 인증 사업부 매각에 대해 전혀 언급하지 않았다.

더 안전한 인증에 대한 압박 움직임은 구글 뿐 아니라 다른 기관에서도 찾을 수 있다. 예를 들어 지난 해 CASC(Certificate Authority Security Council)는 인증서 발급 기관의 발급 절차를 강화하는 새로운 요건을 확정했다.

인증서의 가장 가시적인 역할은 웹사이트에 대한 보안 접속이지만 사물인터넷(IoT) 기기에 내장해 서버를 식별하는 용도로도 사용할 수 있다. 이를 통해 클라우드 컴퓨팅 서비스에 대한 연결의 보안을 강화하고 스마트폰 앱의 트래픽을 암호화할 수 있다. ciokr@idg.co.kr 

X