세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
행정전자서명, 시도교육청의 무분별한 발급으로 보안성 훼손
  |  입력 : 2018-04-06 15:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
행정기관 인증인 GPKI, 교육부 산하 기관에 무분별 발급
최상위인증기관이 ‘와일드카드’ 발급했다는 비판 높아져
교육부, “전국 17개 시·도 교육청 및 학교 전수조사 중”


[보안뉴스 오다인 기자] 우리나라 정부에서 인터넷 보안을 위해 공식 발급하는 인증서가 지금까지 무분별하게 발급돼 왔다는 사실이 드러나 파장이 커지고 있다. 인증서의 발급 이유인 인터넷 보안과 신뢰가 국가 최상위인증기관에서부터 한꺼번에 추락했다는 비판이 거세다.

[로고=교육부]


GPKI(Government PKI)는 전자정부법에 근거한 행정기관 간 인증체계를 말한다. 우리말로 간단히 ‘행정전자서명’이라고 부르는 GPKI는 행정안전부(장관 김부겸)가 최상위인증기관(Root CA)이며, 산하의 행정전자서명 인증관리센터에서 운영하고 있다.

최상위인증기관은 신뢰받는 인증기관으로서 타 기관에 대해 인증서를 발급한다. 이때 신뢰할 수 있는 기관에 한해 인증서를 발급하며, 발급되는 모든 인증서에 대한 유효성 검증도 최상위인증기관에서 이루어진다. 구글 크롬(Chrome)이나 모질라 파이어폭스(Firefox) 같은 개별 브라우저에서 최상위인증기관이 발급한 인증서를 신뢰하는 이유다.

그러나 최근 우리나라 GPKI 최상위인증기관이 교육부(장관 김상곤) 산하 교육기관들에 발급한 인증서가 신뢰할 수 있는 기관에 한해서만 발급된 것이 아니라는 사실이 드러났다. 애초 인증서는 발급을 신청한 기관 사이트에 한해서만 허용돼야 하나, ‘*.or.kr’(단체 도메인), ‘*.hs.kr’(고등학교 도메인), ‘*.ms.kr’(중학교 도메인), ‘*.gne.go.kr’(교육청 도메인) 등으로 발급됨으로써 이렇게 끝나는 모든 도메인에 대해 사실상 관리자 마음대로 어떤 사이트든 인증이 가능하게 된 것이다. 별표(*)는 해당 위치에 자릿수와 관계없이 어떤 문자도 올 수 있다는 의미다.

다시 말해 인증서 신청 자체의 의미가 없어졌다는 것. 이에 대해 보안전문가들은 우리나라 GPKI 최상위인증기관이 ‘와일드카드(wild card)’ 또는 ‘프리패스(free pass)’를 발급했다고 비판하고 있다. 이 같은 사실은 인평자동차고등학교 2학년에 재학 중인 이성재(트위터 아이디 ‘@_Hoto_Cocoa_’) 군이 최초로 발견한 뒤 자신의 트위터 계정을 통해 4일 오전 알렸다.

또한, 인증서 관리 소홀로 사이버 공격자가 이를 도난하고 악용할 경우, 이용자를 자신의 피싱 사이트로 우회시키거나 기타 시스템에 적용해 연결이 안전한 것처럼 꾸밀 수 있다. SSL 인증서를 도중에 바꿔놓는다 해도 이용자 선에서 파악할 방법이 없고, 브라우저 단에서도 안전하지 않은 연결을 검증할 방법이 없다는 우려가 나온다. 한국 정부가 발행하는 GPKI를 각 브라우저 측에서 신뢰할 수 있겠느냐는 의문도 제기되고 있다.

행정전자서명 인증관리센터의 위탁 운영을 맡고 있는 한국지역정보개발원(원장 손연기)은 이런 사실에 대해 5일 오전 6시 행정안전부(이하 행안부)에 보고했으며, 같은 날 오후 행안부에서 교육부 측에 사실 통보 및 조치를 요청하는 공문을 발송했다고 밝혔다.

이번 문제는 교육부 산하 경남교육청에서 웹사이트용 인증서를 기준대로 발급하지 않아 발생한 것으로 드러났다. 이에 교육부 정보보호팀은 전국 17개 시·도 교육청 및 학교에 공문을 발송해 전수조사를 진행 중이며, 신속한 조치가 필요한 부분에 대해서는 담당자와 직접 연락하면서 대응 요령을 설명한 상황이라고 밝혔다. 교육부는 문제가 된 인증서 폐기가 6일 중 완료될 것으로 보고 있다고 설명했다.
[오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술