세계 점유율 1위 브라우저 크롬을 만드는 구글과, 웹용 암호화 인증서 시장 3위 업체 시만텍의 디지털 인증서를 둘러싼 갈등이 지속되고 있다.
구글은 지난 24일 크롬 브라우저에서 모든 시만텍 인증서의 신뢰 수준을 점진적으로 불신하겠다고 선언했다. 이 경우 HTTPS 암호화 통신을 위해 시만텍 인증서를 쓴 웹사이트는 크롬을 쓰는 방문자에게 '보안상 안전하지 않음' 표시를 띄울 수 있다.
[☞참조링크(구글 Ryan Sleevi): Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates]
이 조치는 시만텍 이름으로 부정 발급된 인증서가 다수 발견된 것이 발단이 됐다. 구글 측은 조사 결과 부정 발급 인증서 규모가 최초 127건으로 보고됐지만, 여러 해에 걸쳐 발급된 인증서 약 3만건에 문제가 있는 걸로 보인다고 주장했다.
시만텍은 부정 발급된 인증서가 3만건이 아니라 127건이라며 일부 문제를 인정했지만, 부정 발급된 인증서는 폐기됐고 그걸로 사용자들이 실제 피해를 입은 증거도 없다고 반발했다. 모든 인증서를 문제 삼는 대응은 과도하고 일방적이란 입장이다.
공식적으로 시만텍 인증서 관련 문제를 제기한 건 구글만이 아니다. 데스크톱 브라우저 점유율 3위 파이어폭스를 만드는 모질라 측에서도 지난 1월 19일 모질라 보안정책 관련 온라인 포럼에서 시만텍의 인증서 관련 문제를 제기했다.
[☞참조링크(모질라 Andrew Ayer): Misissued/Suspicious Symantec Certificates]
이후 시만텍은 2개월가량 자체 조사를 수행하면서 사실관계 확인과 공식대응을 위한 '인증서문제보고서'를 작성, 공개하고 있다. 31일 현재 시만텍 본사 웹사이트를 통해 지난 1월 26일부터 3월 6일까지 작성, 게재된 보고서 내용을 확인할 수 있다.
그에 따르면 구글이 크롬에서 시만텍 인증서를 '안 믿겠다'고 나선 계기를 제공한 건 시만텍의 한국 인증서 발급대행 사업자 '한국전자인증'이었다. 한국전자인증은 이 문제로 지난 1월 시만텍에 부여받았던 인증서 발급대행 권한을 회수당했다.
[☞참조링크: Symantec Certificate Problem Report March 6 , 2017 (Updated)]
■ 시만텍 "127건 인증서 부정 발급, 한국전자인증 때문"
시만텍의 인증서문제보고서 1월 26일자 내용에 담긴 요약문을 통해 모질라의 앤드류 아이어(Andrew Ayer)가 제기한 인증서 127건의 부정 발급 문제를 인정했다. 127건의 인증서는 모두 크로스써트(CrossCert)라는 인증기관(CA)이 발급한 것이었다.
다만 시만텍은 "크로스써트는 웹트러스트 감사를 받은 등록기관(RA)이기 때문에, 시만텍 직원은 해당 인증서를 발급하기 위한 유효성 검증 절차에 참여하지 않았다"고 말했다. 시만텍은 잘못한 게 없다는 얘기였다. 크로스써트가 한국전자인증이다.
시만텍은 이를 계기로 1월 19일부터 모든 한국전자인증 직원의 발급권한을 정지시켰다. 유효 기간이 남아 있던 부정 발급 인증서를 파기했다. 기존 및 신규 접수된 인증서 유효성 검증 및 발급 신청 처리업무를 가져왔다.
시만텍은 또 "이 문제의 심각성을 고려해 크로스써트가 수행한 모든 기업계정(enterprise accounts) 대상 발급을 정지시켰고 모든 계정(의 인증서) 유효성을 재검토 중"이라며 "재검토 이후까지 이 계정을 통한 신규 발급은 차단된다"고 말했다.
한국전자인증 측은 31일 게재한 공식사이트를 통해 "2017년 2월 10일 시만텍 RA 프로그램 종료에 따라 (인증서) 심사와 발급승인이 시만텍으로 이관됐다"며, 사용자들이 발급받은 시만텍 인증서는 "안전하다"고 밝혔다.
[☞참조링크(한국전자인증 공지): Symantec과의 비즈니스 지속 및 RA 프로그램 종료 안내.]
■"EY한영 감사 보고서 적정여부 파악 중…직접 감사 강화"
시만텍에 따르면 크로스써트, 즉 한국전자인증은 절차상 유효성을 검증하는 절차를 제대로 완료하지 못한 인증서를 발급했다. 또 새로운 서비스를 공식 제공하기에 앞서 시만텍과 상의하지 않은 채 고객의 내부 테스트용 인증서를 발급하기도 했다.
시만텍은 언스트앤영코리아(Ernst&Young Korea)즉 회계컨설팅업체 'EY한영'이 지난해 11월 내놓은 한국전자인증 대상 '웹트러스트' 감사 보고서 내용이 적정했는지도 검토 중이다. EY한영은 당시 보고서에 '적정하다(unqualified)'는 의견을 담았다.
[☞참조링크(EY한영 감사보고서): Report of the Independent Accountant(PDF)]
EY한영이 감사를 수행한 기간은 2015년 7월부터 2016년 6월까지 1년간이다. 시만텍 조사 결과, 한국전자인증의 인증서 부정 발급 유형 6가지 중 5가지가, 감사 후에 발생했다. 이는 부정 발급 인증서 127건 중 106건에 해당하는 비중이다.
1월 30일자 보고서 갱신 내용에서 이를 지적한 시만텍은 "조사는 현재 진행중이지만 (부정발급에) 연루된 곳은 크로스써트 뿐"이라며 "우리는 향후 유사 사건을 신속하게 발견하고 차단하기 위한 독립 웹트러스트 보고서를 보완하도록 직접 모니터링과 RA 활동 감사를 추가로 진행하려 한다"고 밝혔다.
■ 부정발급 의심, 모든 시만텍 발급대행기관으로 확대
구글은 크롬 브라우저에서 시만텍의 모든 인증서를 단계적으로 신뢰하지 않겠다는 조치를 예고했다. 이를 CA브라우저포럼(CAB forum)이라는 브라우저 기술표준 협의체에 건의해 타 브라우저 업체들에게도 동참을 요청하기도 했다.
구글이 문제삼는 건 그간 시만텍이 4곳의 발급대행처를 통해 발급해 온 인증서다. 핵심은 향후 배포될 크롬 브라우저에서 점진적으로 이미 발급된 시만텍의 인증서 유효기간을 실제보다 짧게 인정하겠다는 걸로 요약된다.
크로스써트(한국전자인증)뿐아니라 브라질의 써티사인(Certisign), 아르헨티나의 써티수르(Certisur), 멕시코의 써티슈피리어(Certsuperior)가 시만텍의 인증서 발급대행 업무를 해왔다. 시만텍은 이가운데 한국전자인증이 발급한 인증서 127건만 부정발급 사례로 판단했다.
반면 구글 측은 모든 대행업체들의 인증서 3만건 전체가 검증 없이 발급됐을 수 있다고 여겼다. 요컨대 시만텍의 인증서 발급대행을 맡아 온 모든 사업자의 인증서 신뢰성을 재검증해야 한다는 입장이다.
시만텍은 구글이 크롬 브라우저에서 자사 인증서 대상으로 취하려는 조치를 반대하며, 이를 논의한 게시물 내용이 무책임하다고 비판했다. 시만텍의 인증서 발급과 관련된 기존 문제제기 서술이 과장돼 있고 오해의 소지가 있다고 지적했다.
[☞참조링크(시만텍 공식블로그): Symantec Backs Its CA]
■ 구글, 크롬에서 인증서 유효기간 단축·EV인증서 표식 제거 검토
구글은 어떤 조치를 하겠다는 걸까.
시만텍의 최장 인증서 유효기간은 크롬59에서 33개월, 크롬60에서 27개월, 크롬61에서 21개월, 크롬62에서 15개월, 크롬63에서 9개월(베타) 또는 15개월(정식), 크롬64에서 9개월씩만 인정해 주겠다는 게 구글의 구상이다.
또 구글은 인증서 유효기간 단축 조치에 앞서 크롬 주소창에서 시만텍의 '확장유효성검증(EV)인증서' 표식을 제거하는 방안도 검토했다. 이 표식은 주소창 앞쪽에 녹색 바탕 글씨로 웹사이트 운영조직 이름을 보여 주는 형태를 띤다. 방문자에게 웹사이트가 믿을만한 곳이라는 정보를 나타낸다.
EV인증서를 사용한 웹사이트는 이런 브라우저 주소창의 표식을 통해 방문자에게 'HTTPS 기반 암호화 통신이 수행되고 있을뿐아니라, 그 상대방이 믿을만한 곳'이라는 점을 알려준다. 일반 인증서 적용 사이트보다 상대적으로 더 안전하다는 뜻이다.
브라우저에서 EV인증서 표식이 제거되면 시만텍은 웹사이트 운영자와 방문자에게 자사 인증서가 이런 부가적인 보안성을 제공한다는 점을 강조할 수 없게 된다.
한국전자인증 측은 사용자들에게 구글이 일방적으로 시만텍의 인증서 신뢰를 철회할 수는 없을 것이라고 안내 중이다. 공지를 통해 "CA와 브라우저업체 연합인 CA브라우저포럼에서 회원사 협의로 TLS표준을 정의하고 있다"며 "구글의 일방적 주장이 수용될 확률은 희박하다"고 주장했다.
이런 구글 측의 조치가 크롬 브라우저에 적용되면, 시만텍 인증서를 쓴 HTTPS 기반 웹사이트가 방문자에게 예전만큼 안전하게 인식되기 어렵다. IT시장조사업체 넷마켓셰어의 데스크톱브라우저 점유율 조사에 따르면 크롬은 지난 2월 기준 58.53% 점유율로 1위를 차지하고 있다.
■시만텍 HTTPS 인증서 시장 입지 위축될까
최악의 시나리오를 고려한다면 시만텍 인증서 사용 웹사이트 관리자에겐 2가지 대응 시나리오가 주어진다. 하나는 시만텍의 인증서 유효기간이 짧아진만큼 더 자주 새로운 인증서를 발급받는 것이다. 다른 하나는 인증서를 타사 것으로 교체해 이런 번거로움을 피하는 것이다.
시장에서 다수 관리자들이 후자를 선택할 경우, 다국적 사이버보안 전문업체 이미지를 다져 온 시만텍의 업계 이미지가 손상될 수 있다. 더불어 세계 웹사이트 보안 인증서 시장에서 보이고 있는 점유율 하락을 가속할 수 있다.
관련기사
- 구글, 시만텍 인증서 보안수준 평가절하2017.03.31
- 정부 "공공 사이트 HTTPS 보안경고 조만간 해결"2017.03.31
- "백신-보안장비 회사가 HTTPS 보안 훼손"2017.03.31
- 일부 크롬 인터넷 먹통…구글 "보안장비 때문"2017.03.31
소프트웨어 품질관리 컨설팅업체 Q석세스의 웹기반 서비스 사업조직 'W3테크'에서 집계하는 '웹사이트용 SSL인증서 발급기관 시장점유율 트렌드'를 보면, 2016년 3월1일 기준 1위 업체 코모도(40.9%)에 이어 시만텍이 2위(27.3%)였다.
그런데 1년 뒤인 2017년 3월1일 기준 코모도의 점유율은 43.4%로 올랐지만, 시만텍은 15.8%로 크게 줄었다. 그새 존재감이 약했던 아이덴트러스트(IdenTrust)가 22.4% 점유율로 2위에 올라섰다.