백데이팅 및 불법 인증서 발급하다 뒷덜미 잡혀
9월 중순부터 크롬에선 완전히 사라져...복귀 예정도 없어

[보안뉴스 문가용 기자] 구글은 지난 주 크롬 61부터 중국의 인증서 발급기관인 워사인(WoSign)과 스타트콤(StartCom)의 인증서를 신뢰하지 않겠다고 발표했다. 이 두 기관의 인증서를 받아들이지 않겠다는 결정은 이미 모질라, 애플, 구글이 작년부터 내렸던 것으로 워사인과 스타트콤 인증서는 2015년 1월부터 작년까지 12번도 넘는 보안 사고의 원인 노릇을 해왔다.


워사인과 스타트콤은 거부된 SHA-1 인증서를 백데이팅 하는 수법으로 제한 장치들을 우회했으며, 권한 밖의 인증서도 발행하는 등 업계의 신뢰를 잃을 만한 행동을 일삼아왔다. 이 때문에 중간자 공격을 가능케 했고, 이 사실을 브라우저 제조사들이 파악하고 제재에 나선 것이다.

하지만 브라우저가 특정 인증서를 한 번에 금지시킬 경우 해당 인증서를 사용하던 웹사이트가 피해를 본다. 그렇기에 보통은 유예기간을 두는데, 구글의 경우 2017년 1월부터 서서히 조치를 취해왔다. 크롬 56 버전부터 워사인과 스타트콤 인증서 중 2016년 10월 21일 이후 발행된 것들은 신뢰하지 않도록 한 것이다.

또한 웹사이트 주인들의 피해를 최소화하기 위해 알렉사 탑 1백만 웹사이트들(Alexa Top 1 Million) 중 워사인 및 스타트콤 인증서를 사용하는 곳은 호환이 되도록 했다. 이 1백만 웹사이트들은 따로 화이트리스팅 처리를 한 것이다. 다만 이 목록 역시 차츰 줄여나가는 게 구글의 계획이다. “그리고 61버전에서는 알렉사 탑 1백만 웹사이트들에 포함되더라도 워사인을 사용할 경우 차단되도록 할 것입니다.” 정확히는 9월 중순부터 이 조치가 발효된다.

“크롬 사용자가 많으므로 웹사이트 운영자들은 인증서를 서둘러 새로 발급받아야 할 것입니다.” 크롬 보안 팀의 데본 오브라이언(Devon O’Brien)의 설명이다.

한편 애플과 모질라의 경우 워사인과 스타트콤에도 유예기간을 주기로 했다. 그래서 1년간만 차단 조치를 취하기로 했는데, 구글의 경우 무제한 차단이다. 워사인과 스타트콤이 다시 신뢰를 회복한다면 복귀시킬 수도 있지만, 아직 그럴 계획을 세워둔 건 아니라는 뜻이다.

워사인과 스타트콤은 브라우저 제조사들과 여러 차례 만남을 갖고, 임직원을 대거 교체하는 등의 조치를 취했다. 하지만 애플, 구글, 모질라의 신뢰를 얻기엔 역부족이었던 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>