세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
구글이 정한 시만텍 인증서 1차 만료일이 바로 내일
  |  입력 : 2018-03-14 13:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
작년에 촉발된 시만텍과 구글의 인증서 공방...시만텍이 사업 포기
시장 독식하게 된 디지서트, 인증서 쉬운 교체 위한 방법 마련


[보안뉴스 문가용 기자] 시만텍이 발행한 SSL 디지털 인증서를 사용하는 기업이라면, 이를 조속히 대체해야 할 시간이다. 인증 만료일이 다가오고 있기 때문이다. 지난 해 구글이 일부 시만텍 SSL 인증서의 발급 과정의 문제점을 이유로, 시만텍의 디지털 인증서를 하나씩 거부하기 시작하던 것이 이제 슬슬 발등에 떨어진 불로 변하고 있다.

[이미지 = iclickart]


당시 일을 되돌아보자면, 구글은 시만텍이 3만여 개의 인증서를 잘못 발급했다고 발표했고, 시만텍은 127개만 잘못된 것이라고 반박했다. 또한 인증서가 잘못 발급된 것이 시만텍만의 잘못이 아닌데, 시만텍만 몰아세우고 있다고 주장하기도 했다. 그러나 구글은 취소하기로 한 결정을 바꾸지 않았다.

그리고 이 변화 - 구글의 시만텍 인증서 불인정 - 가 이번 주 3월 15일인 목요일부터 실제로 시작된다. 시만텍 인증서를 들고 있는 회사의 보안 팀은 이 날짜를 반드시 달력에 적어두고, 인증서 갱신 과정을 꼼꼼하게 밟아야 한다.

SSL 인증서가 웹 서버에 설치될 때 서버와 브라우저 사이의 연결 통신은 암호화된다. 이 때 URL 창의 첫머리에 자물쇠 그림이 뜨면서 안전하다는 문구도 나온다. 그러므로 사용자도 ‘안전하다’는 걸 인지하게 된다. 사용자는 이러한 웹사이트를 더 신뢰한다.

그래서 기업들도 이러한 ‘신뢰’를 확보하기 위해 다양한 인증기관(CA)으로부터 인증서를 구매한다. 이러한 인증서는 한 번 사면 영구적인 효과를 갖지 않는다. 주기적으로 업데이트하거나 새로 설치해야 한다. 보통 이 주기는 2~3년에 한 번이다.

2017년초 시만텍이 운영하던 CA들에서 문제가 불거져 나왔다. 베리사인(VeriSign), 에퀴팩스(Equifax), 지오트러스트(GeoTrust), 쏘트(Thawte), 래피드SSL(RapidSSL) 등이었다. 그런데 이들은 여러 가지 이유로 산업에서 정한 브라우저 필수 사용 규칙을 어기기 시작했다. 수사가 시작됐고 시만텍이 인증서 발급 권한을 일부 넘긴 게 사실이라는 결과가 나왔다. 게다가 시만텍의 관리 부실 문제도 함께 드러났다.

그래서 구글은 시만텍을 비판했다. 구글이 마땅히 관리를 해야만 했다는 것이었다. 시만텍은, 아무튼 127개의 인증서에 대한 잘못은 인정한 상태이므로, 인증서 발급 사업을 아예 포기하기로 했다. 그러면서 디지서트(DigiCert)라는 인증서 사업을 하는 회사에 2017년 11월 인증 사업을 넘겼다. 시만텍이 인증서 사업 1위였고 디지서트가 2위였는데, 이 거래로 인해 디지서트가 이 시장의 압도적인 실력자로 남게 되었다.

한편 구글의 인증서 취소 계획은 다음 주요 날짜에 이뤄졌거나 이뤄질 계획이다.
1) 2017년 12월 1일 : 디지서트와 시만텍의 계약이 완료된 지 한 달이 지난 시점이다. 시만텍의 인증서 사업이 디지서트에 의해 관리되기 시작했다. 아직 고객들이 해야 할 일은 없는 상태다.
2) 2018년 3월 15일 : 크롬 66 베타 버전은 2016년 6월 1일 이전에 발급된 시만텍 인증서를 받아들이지 않기 시작한다. 2018년 4월 15일 즈음해서는 베타보다 안정된 버전의 크롬이 등장할 것으로 보인다.
3) 2018년 9월 13일 : 크롬 70 베타 버전은 시만텍의 모든 인증서를 받아들이지 않기 시작한다. 이로부터 한 달 뒤에는 베타보다 안정된 버전의 크롬이 등장할 것이다.

시만텍 인증서를 보유한 기업이 이러한 일련의 과정을 주의 깊게 살피지 않는다면 어떤 일이 일어날까? 웹사이트 방문객들이 다른 곳으로 우회될 것이다. 뿐만 아니라 “안전하지 않다”는 경고까지 받게 될 것이다. 기업 이미지가 망가지는 순간이다. 사업의 특성에 따라 이것이 큰 문제가 안 될 수도 있지만, 그러한 기업이 얼마나 될까.

이 시만텍-구글 문제 때문에 진짜 골치가 아픈 건 대기업들이다. 중소기업은 인증서 교체가 그리 어렵지 않다. 하지만 수천 개의 서버를 보유하고 있는 크기의 기업이라면 이미 머리가 지끈지끈 아플 것이다. 게다가 인증서는 사물인터넷 장비들에도 발급되니, 고려해야 할 것이 한두 가지가 아니다.

이러한 문제를 인지한 디지서트는 ‘인증서 관련 조치가 필요한지’ 여부를 알려주는 웹사이트를 마련했다. 주소는 이것(https://www.websecurity.symantec.com/support/ssl-checker)으로, 여기에 URL 주소를 입력하면 경고나 양호 표시가 출력된다. 대부분 9월 13일 이전까지 시만텍 인증서를 교체하라는 내용일 것이다.

뿐만 아니라 디지서트는 인증서 교체 과정을 크게 간소화하기도 했다. 마우스 몇 번만 클릭하면 모든 과정이 끝나도록 설계한 것으로, 이전보다 훨씬 쉽게 인증서의 업데이트가 가능하게 된다. 자동화 기술에 능숙한 조직이라면 이 몇 번 클릭조차 하지 않아도 인증서 문제를 전부 해결할 수 있다.

인증서 산업에서 이 정도로 규모가 큰 ‘인증서 교체’가 요구된 건 전례가 없다. 어떤 일이 벌어질지 상상조차 불가능하다는 것이다. 다만 모두가 시만텍 인증서를 디지서트의 도움으로 새롭게 바꾼다면 ‘재앙’은 면할 수 있으리라고 전문가들은 생각한다. 아무튼 구글이 예고한 날짜는 째깍째깍 다가오고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)