Home > 전체기사

구글과 야후에 허위 SSL 인증서 발급

  |  입력 : 2011-03-24 17:37
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
피싱이나 MITM 공격 가능해져...해당 기업들 긴급 패치에 들어가


[보안 뉴스 호애진] SSL(Secure Sockets Layer) 인증서를 발급하는 한 기업이 해킹을 당해 구글과 야후 및 스카이프를 비롯한 7개 웹 도메인에 허위 SSL 인증서 9개를 발급한 것으로 나타나 적지 않은 파장을 가져올 것으로 보인다.


코모도(Comodo)는 23일(현지시각) 성명서를 통해 공격자가 남유럽에 있는 코모도 등록 기관의 사용자명과 암호를 탈취해 허위 인증서를 발급할 수 있었다고 밝히고 이번 해킹이 루트 키나 중간 인증 기관으로 확대되지는 않았지만 주의를 요구하는 심각한 보안 사고였다고 인정했다.


SSL 인증서는 신뢰하는 인증기관(CA)를 통해 인증서를 발급받아 암호화로 신뢰성을 알리는 기능을 한다. 따라서 허위로 발급됐다면 공격자는 이를 이용해 피싱이나 MITM(man-in-the-middle attack) 공격을 할 수 있다.


MITM 공격은 공격자가 메시지를 주고받는 두 당사자간의 메시지를 마음대로 읽고 수정할 수 있는 공격이다. 원래 이 공격은 보안 경고창을 내보내 사용자가 공격을 인지할 수 있어 사용자만 주의한다면 피해를 최소화 할 수 있다. 하지만 허위 SSL 인증서를 통한 공격이라면 보안 경고창 없이 공격이 가능해지기 때문에 더욱 은밀하고 치명적인 공격이 가능하다.


현재 구글과 야후를 비롯한 기업들은 이 허위 SSL 인증서를 차단하기 위해 일제히 긴급 패치에 들어갔다. 아직까지는 이를 악용한 공격이 실제로 발생하지는 않은 것으로 알려졌다.

 

한편 허위 인증서가 발급된 웹 도메인은 7개로 login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, Global Trustee다.

[호애진 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야