SSL 인증기관, 해킹 공격 받아...결국 파산

디지노타, 수백개의 허위 SSL인증서 발급...2차 피해 일어나기도

[보안뉴스 호애진] 최근 각종 크고 작은 해킹 사고들이 연이어 일어나고 있다. 이는 고객 정보 유출 등으로 기인하는 손해 배상의 금전적 손실뿐만이 아니라 고객 신뢰도와 브랜드 이미지 추락을 야기 시키며 궁극적으로 사업의 존속성에까지 영향을 미칠 수 있다.

이를 증명하듯 최근 해킹 공격을 받아 수백개의 허위 SSL인증서를 발급한, 최상위 보안인증 기관인 디지노타(DigiNotar)가 결국 파산했다.

해킹으로 인해 총 531개의 SSL 인증서를 부정 발급해 세계적으로 물의를 일으킨 후 궁지에 몰려 있던 네덜란드 인증 기관인 디지노타가 자진파산을 신청했다고 모회사인 VASCO가 기자회견을 통해 밝혔다.

디지노타의 네트워크에 침입했던 공격자는 CIA, M16, 모사드, 마이크로소프트, 야후, 스카이프, 페이스북, 트위터, 마이크로소프트 윈도우 업데이트 서비스가 운영하는 것처럼 보이는 허위 사이트를 진짜 사이트로서 인증하는데 쓰일 수 있는 SSL 인증서를 부정 발급했다.

SSL 인증은 웹 브라우저와 웹 서버 사이에 서로 신뢰성을 확인하는데 사용되는 암호화 표준 프로토콜이다. 사용자가 방문한 사이트가 진짜 방문하고자 한 사이트인지 피싱 등을 위한 가짜 사이트인지를 판별하는 데 사용된다.

더욱 큰 문제는 이로 인한 2차 피해다. 실제로 디지노타에서 발급된 구글 명의의 허위 SSL 인증서로 인해 이란의 지메일 사용자들이 해킹을 당하기도 했다.

디지노타는 파산 절차가 완료되면 영업을 중단하고 법원이 임명한 관재인과 파산담당 판사의 감독을 받게 된다. VASCO는 인증 기관 사업에 당분간은 재진입할 의사가 없다고 설명했다.

디지노타의 CFO 겸 수석부사장인 클리프 브라운(Cliff Brown)은 해킹 공격에 의해 야기된 전체 손실을 계산 중이며 정확한 집계가 끝나는 대로 추정치를 발표할 계획이라고 밝혔다.

이번 사태는 해킹으로 인해 회사가 파산하는 또 하나의 사례가 될 듯하다. 신용카드 결제 업무를 대행하던 카드시스템즈 솔루션즈(CardSystems Solutions)는 2005년 데이터 침해 사건으로 주요 고객인 비자와 마스터카드를 잃은 후 매각됐다가 2008년 최종적으로 퇴출된 바 있다.

[호애진 기자(boan5@boannews.com)]

올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
	CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
	CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
	CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
	기타(댓글로)