• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

새로 떠오르는 골칫거리 디지털 인증서, 왜 뚫리나? 2015.10.30

웹 관리자, 인증기관, 브라우저 제조사가 참여해야 온전한 폐지
세 연결고리 중 하나만 끊어져도 인증서는 취약해지기 마련

[보안뉴스 문가용] 웹 사이트를 인증하고 온라인 커뮤니케이션을 암호화하는 데에 디지털 인증서라는 것이 널리 사용되고 있는데, 이게 사실 그리 안전하지는 않다는 목소리들이 나오고 있다.


스탠포드대학, 노스이스턴대학, 메릴랜드대학, 듀크대학, 아카마이의 연구원들이 최근 합동으로 웹의 인증서 폐지 과정을 분석하며 인증기관, 웹 사이트 관리자, 인터넷 브라우저 제작사들이 제대로 일을 하고 있지 않다는 사실을 발견했다.

해당 연구 결과는 도쿄에서 얼마 전에 열린 컴퓨팅 기기 인터넷 측정 협회 컨퍼런스(Association for Computing Machinery Internet Measurement Conference)에서 발표된 것으로 여러 웹 사이트들에서 제공하는 공개키(public key) 인증서 중 자그마치 8%가 이미 폐지된 적이 있는 것이었다는 충격적인 사실이 서두에 언급되었다. 어떻게 이런 일이 가능할까? 디지털 인증서를 발급하는 기관을 보통 CA라고 부르는데, 이 CA들 대다수가 폐지 사실을 제대로 통보하지 않고 있으며, 그 때문에 브라우저들이 폐지 사실을 효율적으로 파악해 적용하지 못하기 때문이다.

이는 심각한 사실이다. 사용자들은 브라우저가 상당히 안전하고 이미 충분한 보안 기능을 갖추고 있다고 여기기 때문이다. 이번 연구에 참여한 전문가이지 메릴랜드 대학의 교수인 데이브 레빈(Dave Levin)은 “인증서 폐기가 이루어지는 모든 과정에 참여하는 이들이 이를 좀 더 진지하게 받아들일 필요가 있어 보인다”고 전달했다.

디지털 인증서는 웹의 공개키 인프라에 가장 중요한 구성요소라고 해도 과언이 아니다. 웹 사이트를 인증하고, 클라이언트와 서버 사이의 커뮤니케이션을 암호화하는 데 꼭 필요하기 때문이다. 웹 사이트가 해킹을 당하거나 비공개 암호화 키가 노출되었다면, 이는 십중팔구 디지털 인증서가 만료되었거나 가짜로 대체되었기 때문에 생기는 일이다.

보통은 인증서가 노출되었거나 해킹당했거나, 아무튼 여러 가지 이유로 사용이 불가능해졌을 경우 웹 사이트의 관리자가 CA에 해당 인증서의 폐지와 재발급을 요청한다. 그런데 굉장히 많은 웹 관리자들이 이 부분에서 이미 제대로 할 일을 하고 있지 않았다. 즉 이미 유효기간이 지난 지 오래된 인증서를 그대로 사용하고 있는 사이트들이 많았다는 것. “관리자들 중에 인증서를 일일이 검토해가면서 유통기한 여부를 확인하려는 노력을 하는 사람이 상당히 드물었습니다.”

그러나 사실 유통기한이 지난 인증서가 대단히 위험한 물건인 건 아니다. 브라우저가 더 이상 사용이 불가능한 인증서를 알아서 걸러주는 기능을 가지고 있기 때문이다. CA는 인증서를 발급하기도 하지만 CRL이라고 하는 ‘인증서 폐기 목록’이라는 것도 함께 배포하기 때문에 브라우저들이 목록과 대조해서 그 결과를 바탕으로 인증서를 신뢰할지 말지를 결정하는 게 정상이다.

그러나 이 지점 역시 의외의 연구 결과 때문에 충격을 자아냈다. 데스크탑용 브라우저들이 이 폐기 목록을 처리하는 데에 있어 상당히 취약하다는 사실이 드러났던 것. 이번 연구에 참여한 전문가들에 의하면 CRL이 없을 경우 폐지되거나 가짜로 판명 난 인증서를 굳이 찾아서 대조해보는 기능을 ‘디폴트’로 가지고 있는 웹 브라우저는 굉장히 드물었다. 모바일의 경우는 더욱 심각해, 메이저라고 불리는 모바일 브라우저 중 인증서가 과연 유효한지 확인하는 제품이 단 하나도 없었다고 한다.

왜 이런 일이 발생할까? 먼저는 CA마다 배포하는 CRL의 용량이 다르기 때문이다. “인증서를 제대로 확인 점검하려면 클라이언트가 CRL을 다운로드 받아서 SSL 연결을 만들어내야 합니다. 하지만 CRL은 대용량일 때가 많아서 다운로드하면 회선이 느려지죠. 모바일 환경에서는 더욱 그렇고요.”

게다가 CA에서도 특별히 CRL을 효과적으로 배포하기 위한 연구를 따로 진행하지 않고 있다는 문제도 겹쳐있다. 어떤 곳에서는 심지어 CRL 용량을 줄이기 위해 조각내서 배포하기도 한다. 그런 경우 해당 ‘조각’에 인증서가 명시되어 있지 않은 경우 브라우저가 오류를 인식하지 못하게 된다.

인증서를 제대로 폐지해서, 다시는 폐지된 인증서가 인터넷 생태계에서 발견되는 일이 없도록 하려면 웹 관리자와 인증기관(CA), 브라우저 제조사들이 각자의 할 일을 제대로, 책임감 있게 진행해야한다. “관리자들이 폐지를 요청하지 않고, CA가 폐지 목록을 제대로 전파하지 않고, 브라우저가 이런 실수나 오류들을 파악하지 못하면 사용자가 그 피해를 고스란히 부담하게 됩니다. 과정 자체에 개선이 필요해보입니다.”


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>