침해사고/위협동향

'인증서 발급대행 권한' 회수 파장...구글-시만텍-한국전자인증, 무슨 일 있었나?

최민지

[디지털데일리 최민지기자] 시만텍이 한국전자인증의 인증서 발급대행을 회수했다. 구글은 시만텍의 인증서 신뢰 철회 방안을 검토 중이다. 시만텍은 구글과 합의점을 찾겠다는 방침이나 인증서 신뢰와 관련해서는 구글의 과장된 발언이라며 불편한 기색을 내비치고 있다.

구글·시만텍·한국전자인증, 3사는 도대체 무슨 일이 있었던 것일까.

지난 23일(현지시간) 구글 소프트웨어 엔지니어인 라이언 슬리비가 '기존 시만텍 SSL 인증서에 대한 신뢰를 단계적으로 중단해야 한다'는 발표로 거슬러 올라간다.

슬리비 엔지니어는 구글 크롬 사용자에게 미치는 영향을 최소화하기 위해 새로 발급된 시만텍 인증서의 유효기간을 9개월 이하로 단축하라고 제안했다. 또, 시만텍의 인증서를 믿을 수 없다며 재평가 또는 교체가 필요하다고 밝혔다.

구글은 크롬 브라우저 보안 정책을 HTTPS로 강화하고 있다. HTTP를 보안소켓레이어(SSL)·전송계층보안(TLS) 암호화 프로토콜로 연결, 데이터를 암호화하고 웹브라우저와 웹서버 간 통신을 안전하게 하겠다는 것이다. 이러한 환경을 구축하려면 SSL 인증서가 필요하다.

시만텍은 SSL 인증사업을 하고 있으며, 한국전자인증을 포함한 브라질 서티사인, 멕시코 서티슈피리어, 아르헨티나 서티수르 등에 인증서 발급 대행 업무를 맡기고 있다. 한국에서의 파트너는 한국전자인증뿐이다.

슬리비 엔지니어는 시만텍의 인증서 오발급 범위가 확대되고 있으며, 127건의 인증서에 대한 문제제기를 했다. 구글은 3만여개 인증서에 대한 신뢰도 문제에 대해서도 지적했다.

결론적으로, 시만텍은 127개 인증서를 잘못 발급한 사실에 대해 인정했다. 그리고 이를 발급한 곳이 한국전자인증이다. 이에 따라 시만텍은 사용자 확인을 직접 하겠다며 등록기관(RA) 제도를 폐지키로 했다. 한국전자인증은 인증발급대행과 심사 업무에서 제외되며 판매와 기술지원 등만 가능하게 됐다.

구글은 기업과 도메인 신뢰성을 제대로 확인하지 않고 SSL 인증서를 발급한 점을 문제 삼았다. SSL 인증서에 대한 악용이 발생하게 되면 사기 인증 발급이 이뤄질 수 있고, 이는 고객 피해로 이어지기 때문이다.

구글은 인증서 오발급은 인증하지만 고객 피해가 없었고 인증서 신뢰성의 문제는 없다고 반박하고 있다. 한국전자인증은 문제가 된 인증서는 규정을 준수하지 않아 발생한 문제이긴 하지만, 그러한 규정이 성립되기 전 내부 테스트를 위해 진행됐던 사안이라고 반발했다.

2016년 7월부터 2017년 1월 사이에 발급된 해당 인증서에는 ‘test’라는 단어가 포함돼 있다. 일부 테스트용 인증서를 사용한 것이 지금의 사태를 만든 것. 결국, 시만텍은 1월 한국전자인증의 발급권한을 중지시켰고 RA 프로그램을 없앴다.

한국전자인증 측은 “시험용 인증서를 구분하기 위한 값을 설정한 것이며, 실제 인증서 구매 전 내부 테스트를 위해 사용된 것”이라며 “해당 인증서를 다른 기관이 사용하게 했다면 문제가 커지지만 그런 사례는 없고, 대고객에게 서비스된 것이 아니다”고 말했다.

3월 보고서에 따르면 시만텍은 한국전자인증 사안을 계속 조사 중이다. 그러나 인증발급절차와 통제권에 대한 의무를 불이행했다는 점과 오발급 인증서 발행에 대한 책임은 지울 수 없을 것으로 보인다.

시만텍과 구글 간 논쟁은 지속될 것으로 보인다. 오발급은 인정하지만, 신뢰성 훼손이라는 부분에서 글로벌 최대 보안 회사인 시만텍도 물러설 수 없는 상황이다.

시만텍 측은 “구글이 크롬 브라우저에서 시만텍 SSL·TLS 인증서 대상으로 취한 조치에 대해 강력히 반대하며, 구글 측 블로그 게시물은 무책임한 것”이라며 “구글이 시만텍의 인증서 발급 관행과 과거의 오발급 범위에 대해 말한 내용은 과장됐으며, 구글이 언급한 사례에서 잘못 발급된 것으로 확인된 인증서는 3만개가 아닌 127개였고 소비자에게 어떠한 피해도 끼치지 않았다”고 제언했다.

이어 “모든 주요 공인인증기관(CA)들이 SSL·TLS 인증서를 오발급하는 사례를 경험했으며, 블로그 게시물에 명시된 사례에 다른 여러 CA 역시 연관되었음에도 불구하고 시만텍 인증기관만을 지목해 제안에 거론했다”며 “고객과 모든 소비자들에게 안심하고 시만텍 SSL·TLS 인증서를 계속 신뢰할 수 있다고 말하고 싶다”고 강조했다.

<최민지 기자>cmj@ddaily.co.kr

디지털데일리가 직접 편집한 뉴스 채널