SSL 인증기관, 해킹 공격 받아...결국 파산

디지노타, 수백개의 허위 SSL인증서 발급...2차 피해 일어나기도

[보안뉴스 호애진] 최근 각종 크고 작은 해킹 사고들이 연이어 일어나고 있다. 이는 고객 정보 유출 등으로 기인하는 손해 배상의 금전적 손실뿐만이 아니라 고객 신뢰도와 브랜드 이미지 추락을 야기 시키며 궁극적으로 사업의 존속성에까지 영향을 미칠 수 있다.

이를 증명하듯 최근 해킹 공격을 받아 수백개의 허위 SSL인증서를 발급한, 최상위 보안인증 기관인 디지노타(DigiNotar)가 결국 파산했다.

해킹으로 인해 총 531개의 SSL 인증서를 부정 발급해 세계적으로 물의를 일으킨 후 궁지에 몰려 있던 네덜란드 인증 기관인 디지노타가 자진파산을 신청했다고 모회사인 VASCO가 기자회견을 통해 밝혔다.

디지노타의 네트워크에 침입했던 공격자는 CIA, M16, 모사드, 마이크로소프트, 야후, 스카이프, 페이스북, 트위터, 마이크로소프트 윈도우 업데이트 서비스가 운영하는 것처럼 보이는 허위 사이트를 진짜 사이트로서 인증하는데 쓰일 수 있는 SSL 인증서를 부정 발급했다.

SSL 인증은 웹 브라우저와 웹 서버 사이에 서로 신뢰성을 확인하는데 사용되는 암호화 표준 프로토콜이다. 사용자가 방문한 사이트가 진짜 방문하고자 한 사이트인지 피싱 등을 위한 가짜 사이트인지를 판별하는 데 사용된다.

더욱 큰 문제는 이로 인한 2차 피해다. 실제로 디지노타에서 발급된 구글 명의의 허위 SSL 인증서로 인해 이란의 지메일 사용자들이 해킹을 당하기도 했다.

디지노타는 파산 절차가 완료되면 영업을 중단하고 법원이 임명한 관재인과 파산담당 판사의 감독을 받게 된다. VASCO는 인증 기관 사업에 당분간은 재진입할 의사가 없다고 설명했다.

디지노타의 CFO 겸 수석부사장인 클리프 브라운(Cliff Brown)은 해킹 공격에 의해 야기된 전체 손실을 계산 중이며 정확한 집계가 끝나는 대로 추정치를 발표할 계획이라고 밝혔다.

이번 사태는 해킹으로 인해 회사가 파산하는 또 하나의 사례가 될 듯하다. 신용카드 결제 업무를 대행하던 카드시스템즈 솔루션즈(CardSystems Solutions)는 2005년 데이터 침해 사건으로 주요 고객인 비자와 마스터카드를 잃은 후 매각됐다가 2008년 최종적으로 퇴출된 바 있다.

[호애진 기자(boan5@boannews.com)]

보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
	민간인증서부터 융복합인증까지, 인증의 시대 열린다
	랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
	데이터 프라이버시가 기업들의 목을 죈다
	재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
	영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
	의료·제약 분야, 코로나19 다음은 해커
	스마트공장 구축은 OT/ICS 보안 정립부터
	드론, 융합보안 산업의 핵심 아이템이 되다
	몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
	CCTV 시스템온칩 대란, 중소기업 생존까지 위협