구글과 야후에 허위 SSL 인증서 발급

피싱이나 MITM 공격 가능해져...해당 기업들 긴급 패치에 들어가

[보안 뉴스 호애진] SSL(Secure Sockets Layer) 인증서를 발급하는 한 기업이 해킹을 당해 구글과 야후 및 스카이프를 비롯한 7개 웹 도메인에 허위 SSL 인증서 9개를 발급한 것으로 나타나 적지 않은 파장을 가져올 것으로 보인다.

코모도(Comodo)는 23일(현지시각) 성명서를 통해 공격자가 남유럽에 있는 코모도 등록 기관의 사용자명과 암호를 탈취해 허위 인증서를 발급할 수 있었다고 밝히고 이번 해킹이 루트 키나 중간 인증 기관으로 확대되지는 않았지만 주의를 요구하는 심각한 보안 사고였다고 인정했다.

SSL 인증서는 신뢰하는 인증기관(CA)를 통해 인증서를 발급받아 암호화로 신뢰성을 알리는 기능을 한다. 따라서 허위로 발급됐다면 공격자는 이를 이용해 피싱이나 MITM(man-in-the-middle attack) 공격을 할 수 있다.

MITM 공격은 공격자가 메시지를 주고받는 두 당사자간의 메시지를 마음대로 읽고 수정할 수 있는 공격이다. 원래 이 공격은 보안 경고창을 내보내 사용자가 공격을 인지할 수 있어 사용자만 주의한다면 피해를 최소화 할 수 있다. 하지만 허위 SSL 인증서를 통한 공격이라면 보안 경고창 없이 공격이 가능해지기 때문에 더욱 은밀하고 치명적인 공격이 가능하다.

현재 구글과 야후를 비롯한 기업들은 이 허위 SSL 인증서를 차단하기 위해 일제히 긴급 패치에 들어갔다. 아직까지는 이를 악용한 공격이 실제로 발생하지는 않은 것으로 알려졌다.

한편 허위 인증서가 발급된 웹 도메인은 7개로 login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org, Global Trustee다.

[호애진 기자(boan5@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)