인증기관 해킹해 발급하는 가짜 인증서, 여러 문제 야기

보안 담당자의 관리 소홀 및 대비책 부족 문제도 겹쳐

[보안뉴스 문가용] 가짜 인증서 문제와 그로 인해 야기되는 SSL 통신의 중간자 공격에 대한 우려가 깊어지고 있지만, 걱정은 걱정으로만 머무르는 것인지 일반 사용자나 전문가나 별다른 대처를 하고 있지 않은 모습이다. 지난 달 블랙햇 USA의 참석자 중 333명을 대상으로 인증기관 및 인증서에 대한 인식을 조사한 베나피(Venafi)의 보고서에 의하면 말이다.

가짜 인증서로 인해 발발한 가장 최근 사건은 지난 3월로 거슬로 올라간다. 당시 중국 인터넷 네트워크 정보센터(China Internet Network Information Center)라는 인증기관에서 구글 도메인에 대해 허가되지 않은 인증서를 발급하기 시작했다. 이 가짜 인증서를 악용하면 중간자 공격이 가능해지기도 했다. 그래서 구글은 즉각 중국 인터넷 네트워크 정보센터에서 발급한 인증서를 크롬에서 제거하기 시작했고, 곧이어 모질라도 그 행보를 뒤따랐다.

그보다 조금 더 앞으로 가 2011년에는 해커들이 네덜란드의 인증기관인 디지노타르(DigiNotar)를 공격해 500개의 가짜 전자 인증서를 발급한 사건이 있었다. 디지노타르는 바로 한 달 만에 사업을 접어야 했다.

이번에 베나피 설문에 응한 응답자의 90%는 코모도(Comodo)나 시만텍(Symantec), 고대디(GoDaddy), 글로벌사인(GlobalSign), 디지서트(DigiCert) 등 현재 선두에 서 있는 인증서 발급기관이 2년 안에 디지노타르와 마찬가지로 해킹 당할 것이라고 예견했다. 그러나, 자신들이 그리고 있는 미래가 이렇게나 무시무시한데도, 정작 자신들은 그에 대한 대처를 충분히 하지 않은 것이 이번 설문 결과가 드러낸 아이러니였다.

그렇다면 어떻게 하는 것이 가짜 인증서 사태에 대처하는 올바른 행동일까? 무엇을 고려해야 할까? 이에 대해서는 베라피의 부회장인 케빈 보섹(Kevin Bocek)이 답을 해주었다.

1. 당신 기업이 가지고 있는 인증서의 긴급 교체

만약 디지노타르나 중국 인터넷 네트워크 정보센터에서 당신 기업이 사용하고 있는 인증서를 발급받았다면 어떻게 됐을까? 그리고 그 인증서가 가짜여서 당신과 고객 사이의 커뮤니케이션을 방해하고 있다면? 일단 인증기관에서 문제가 발생하고, 그것이 고객들에게 영향을 미치는 순간 “아, 이건 인증기관의 문제야”라고 생각해줄 고객은 한 명도 없을 것이다. 모든 비난과 비판, 그리고 불신은 그 인증서를 사용하고 있던 당신의 사업체로 향하기 마련이다.

게다가 이 가짜 인증서로 인해 브라우저에서 당신의 웹 사이트를 차단이라도 한다면? 당신의 사업도 디지노타르의 전철을 밟을 가능성이 매우 크다. 즉 이런 일이 일어났을 때를 대비해 항상 인증서를 새로 발급받을 준비가 되어 있는 것이 중요하다. 이 과정은 자동화로 전환시키는 것이 가장 효율이 좋다.

하지만 이런 식의 자동화 시스템을 갖춘 기업은 위에 언급한 베나피의 설문조사 결과 9%에 불과했다. 나머지는 여전히 수작업으로 인증서를 발급받고 있었다. 응답자의 23%는 다른 사람을 고용해 자동화 부재를 해결하겠다고 했으며, 24%는 뭘 어떻게 해야 할지 모르겠다고 솔직히 밝혔고, 6%는 문제가 발생해도 그냥 기존 인증서를 유지할 것 같다고 답했다.

2. 신뢰할 수 없는 인증서 얼른 제거하기

베나피의 설문 항목 중에는 실제 중국 인터넷 네트워크 정보센터에서 가짜 인증서 사태가 대대적으로 발생했을 때 어떤 행동을 취했는가를 묻는 것도 있었다. 1위였던 34%는 ‘잘 모르겠다’라고 답했으며, 23%는 아무것도 하지 않았다고 했다. 17%는 애플과 MS가 뭔가 행동을 취할 때까지 기다렸다고 했으며 뒤이어 구글과 모질라를 마찬가지로 기다렸다는 사람들도 있었다.

해당 인증서를 ‘신뢰할 만한 인증서 목록’에서 제거했다고 답한 응답자는 26%에 불과했으며 보섹은 “그나마도 스스로 그렇게 했으리라고 잘못 믿고 있는 응답이 대부분일 가능성이 클 것으로 보인다”고 평했다. 즉, 실제는 26%보다 훨씬 적은 수의 사람들이 올바른 절차를 밟았을 것이라는 뜻.

이런 가짜 인증서 발급문제의 심각함에 대해서는 미국 정부도 충분히 인지하고 있다. 그래서 하원은 지난 6월 애플과 구글, MS, 모질라에 “가짜 인증서 사태에 대한 깊은 우려를 표명한다”는 내용의 편지를 발송했었다.

3. 내부 시스템에서 키와 인증서 보호하기

보섹은 “결국 이건 키와 인증서 관리에 대한 문제와도 결부되어 있는데 그 책임은 당연히 보안 인증기관이 아니라 각 기업 및 조직의 보안 담당자에게 있는 것”이라는 사실을 환기시켰다. “인증서 발급 기관은 결국 발급하는 것으로 책임을 다한 겁니다. 그걸 관리할 책임까지 가지고 있는 건 아니죠. 실제로도 가짜 인증서로 인한 피해를 받는 것도 결국 그걸 관리해야 하는 업체가 받고요.”

하지만 베라피의 설문조사에 의하면 아직도 인증서의 파급력을 무시하거나 그에 대해 무지한 보안 담당자가 많다. “당신의 기업이 보유한 인증서는 도난이나 위조로부터 보호받고 있습니까?”라는 질문에 29%가 ‘예’라고 답했으나 대부분은 실수였음이 판명 났고 34%는 모른다고 답했다.

그러나 결국 애초부터 잘못된 인증서를 발급받는 건 어쩔 수 없는 일이다. 보섹은 해당 사안에 대해 “관리가 중요한 건 맞지만 관리자가 할 수 없는 일이 있기 마련이죠. 인증서를 노리는 해킹 수법은 관리의 영역을 확실히 넘어서는 신종 범죄 수법입니다. 여러 회사의 운영진들과 정부 기관들 사이에서 곧 심각한 문제로 떠오를 가능성이 높습니다”라고 정리했다. “위에서 언급한 건 피해를 최소화할 수 있는 방법일 뿐, 제대로 된 예방법은 아직 없습니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>