美 전자 프론티어 재단, 인증 기관 조사 착수

[보안뉴스 호애진] 인증 요청 기업에서 도메인명 표기원칙을 엄격히 준수하지 않는데도 불구하고 인증기관이 이를 정확히 확인하지 않고 인증서를 발급해 준 사실이 드러나 문제가 되고 있다.

SSL 인증서 발급 기관인 코모도가 이란 해커에게 공격을 당한 이후 인증서 신뢰성을 두고 우려의 목소리가 높아지는 가운데 미국 전자 프론티어 재단(EFF, Electronic Frontier Foundation)이 인증 기관 조사에 착수했다고 보안업체 소포스가 6일(현지시각) 밝혔다.

EFF가 인증서들을 분석한 결과 인증서 서명 중에 표준을 엄격히 준수하고 있지 않은 도메인명이 담긴 인증서가 있는 것으로 밝혀졌다.

어느 단체에도 속해 있지 않은 3만 7천개의 인증서가 승인된 것. 이 인증서에는 호스트 이름만이 들어 있었다.

베리사인(Verisign)이 자사 인증용으로 발급한 인증서를 포함해 잘못 발급된 EV 인증서 대다수는 모두 베리사인에서 발급한 것이었다.

침입자는 이 인증서를 이용해 신원을 숨긴 상태로 기업 사내망(인트라넷)에 있는 로컬 서버에 들어갈 수 있다는 점이 문제가 되고 있다.

보안 관계자는 “기업이 사내 웹 자산을 지키기 위해서는 intranet, webmail, wiki와 같은 호스트명을 자사 웹 서비스에 쓰지 말라”며 “표준을 엄격히 준수하는 도메인명만을 쓰는 정책을 지키면 이렇게 발급 무효가 돼야 할 인증서를 공격자가 악용하는 일을 줄일 수 있다”고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>