| 이젠 구글인 척까지? 가짜 구글 인증서 정식 발급 파장 | 2014.07.10 | |
인도의 공공기관에서 잘못 발급된 채 유포 공공 디지털 인증서 무조건 믿어선 안 돼 [보안뉴스 문가용] 구글은 지난 9일 인도정부의 인증기관과 관련 있는 인도의 중간 인증기관이 몇몇 구글 도메인에 대한 가짜 디지털 인증서를 발급한 적이 있다고 발표했다.
인도 최고인증기관의 인증서들은 마이크로소프트의 룻 스토어(Root Store)에 있기 때문에 인터넷 익스플로러나 크롬과 같은 애플리케이션에서도 사용되고 있다는 게 그의 설명이다. 마이크로소프트 측은 가짜 인증서에 대해 파악된 바가 없다고 했다. “제3자가 잘못 발급한 인증서들이 가끔 돌아다닌다는 건 알고 있습니다. 그러나 마이크로소프트의 도메인에 대한 가짜 인증서의 존재는 아직 보고된 바 없습니다. 마이크로소프트의 고객이나 파트너들을 보호하기 위해 필요한 안전 조치를 빠짐없이 취하고 있습니다.” 한 마이크로소프트 대변인의 말이다. 크롬의 경우 윈도우용 크롬에만 영향이 있는 것으로 밝혀졌다. 즉 iOS, 안드로이드, OS X용 크롬은 모두 안전하다는 이야기. 그렇다고 윈도우용 크롬이 대단히 위험한 상태에 빠진 것은 아니다. 랭글리 씨는 “구글의 공용키 피닝 기능 덕분”이라며 “공용키 피닝이란 특정 도메인에 대한 인증기관의 공용키를 브라우저 내에서 화이트리스팅하는 기능”이라는 추가 설명도 덧붙였다. 구글은 이번에 발견된 가짜 인증서를 크롬에서 차단했고 인도 최고인증기관은 국가정보센터에게 발급한 인증서 중 3개를 폐지했다. 크롬 사용자들은 인증서 폐지 목록을 업데이트를 해서 안전성을 강화할 수 있다고 랭글리 씨는 권고했다. 또한 아직 이 인증서가 광범위하게 퍼진 것 같지 않으니 미리 암호를 한 번씩 바꾸는 것도 도움이 된다고 한다. 디지털 인증서 및 보안 전문 업체인 엔트러스트(Entrust)의 인증서 기술 및 표준 책임자이자 인증서권한보안의회(CASC)의 회원인 브루스 모튼(Bruce Morton) 씨는 애초에 이런 가짜 인증서가 만들어진 이유나 동기는 불분명하다고 말했다. “다만 감시나 첩보 활동을 위한 것임은 분명해 보입니다. 금전적인 탈취를 위한 피싱이 목적일 수도 있고요.” 또한 “인도의 최고인증기관에서 인증서를 폐지한 날 중간에서 인증서를 발급해주는 사업을 하던 국가정보센터(국가기관 아님)는 망한 것이나 다름없게 되었습니다. 게다가 이 사건을 수사하면서 더 많은 문제를 발견했을 가능성도 높습니다”라고 모튼 씨는 설명을 이어갔다. 암호화 및 보안 소프트웨어 업체인 베나피(Venafi)의 부회장인 케빈 보첵(Kevin Bocek)은 이번 사건이 시사하는 바가 작지 않다는 의견이다. “문제의 핵심은 디지털 인증서에 대한 맹목적인 신뢰입니다. 구글인 척 가장하기 위한 악성 인증서가 인도에서 버젓이 사용되고 있었다는 건 모든 인터넷 사용자들에게 크나큰 ‘경고’입니다. 공격자들이 인증서를 사용해 지불 시스템이나 뱅킹, 혹은 항공 통제 시스템을 공략했다면 어땠을까요? 세계 최고 IT 기업이라는 구글의 인증서까지 따라 만드는 판에 해커들이 뭔들 못할까 싶습니다. 지금도 이런 류의 공격이 이루어지지 않는다는 보장이 없지요.” 모튼 씨는 “물론 인도의 인증 절차에도 약간의 문제가 있긴 했다”며 “이 사건에서 보듯 공개된 인증서라고 전부 올바른 절차를 거쳐 발급된 게 아니며, 그러므로 공공 인증서를 전부 다 믿어서는 안 된다”고 강조했다. ⓒDARKReading [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
