모질라가 HTTPS 암호화 통신용 SSL 인증서를 부정 발급해 온 중국 인증기관 '워사인(WoSign)'의 모든 신규 발급 인증서를 차단하겠다는 방침을 밝혔다. 워사인에 인수된 이스라엘 인증기관 '스타트콤(StartCom)'의 인증서도 차단 대상이다.
미국 지디넷은 26일(현지시각) 모질라가 지난 21일 이후 발급된 중국 워사인의 인증서를 파이어폭스 브라우저 신뢰 대상에서 배제하기로 했다고 보도했다. 워사인이 발급한 SSL 인증서로 HTTPS 기반 웹사이트를 운영하는 사이트에 접속할 때 접근을 차단하거나 브라우저 사용자들에게 보안 위협 가능성을 알리겠다는 뜻이다. 내년 1월 24일 정식 배포될 파이어폭스51 버전부터 적용될 예정이다.
[☞참조링크: Distrusting New WoSign and StartCom Certificates]
[☞참조링크: Mozilla slaps ban on China's WoSign: Firefox drops trust for certs over 'deception']
워사인은 중국 SSL 인증서 시장 점유율 30% 이상을 보유, 밝히고 세계 120개 지역 고객사를 둔 인증기관으로 중국 인터넷업체 '치후360(Qihoo360)'의 자회사다. 워사인이 운영하던 SSL 인증서 서비스에 절차상 버그와, 발급 날짜를 조작한 고의 부정 발급 등 심각한 허점이 있었다는 분석이 최근 제기됐다. 파이어폭스 신뢰 대상 배제는 관련 진상을 파악한 모질라의 후속 조치다.
[☞관련기사: 치후360 자회사, 세계 SSL 인증서 시장서 퇴출되나]
치후360 측은 자회사인 워사인이 SSL 인증서 발급 서비스로 파장을 일으키자 그 경영진을 교체하고 조직구조를 개편하는 등 직접 진화에 나섰다. 워사인에서도 관련 문제가 불거진 후 지난 7월 5일 스스로 구글의 '인증서 투명성(Certificate Transparency)' 시스템에 자신들의 모든 SSSL 인증서 이력을 대거 등재하는 등 신뢰 회복에 나섰다.
관련기사
- 치후360 자회사, 세계 SSL 인증서 시장서 퇴출되나2016.10.27
- 하트블리드 오명 쓴 '오픈SSL', 새 버전 뜬다2016.10.27
- 구글 크롬, 내년 SHA1 암호화 기술과 완전 결별2016.10.27
- 크롬 주소창서 '자물쇠 아이콘' 사라진다2016.10.27
구글의 해당 시스템은 인증기관이 부정행위를 저질렀거나 해킹을 당했는지 여부를 파악하기 위해 검토할 수 있는 독립적인 근거를 제공하는 역할을 해 왔다. 구글도 자사 브라우저 '크롬(Chrome)'을 통해 접속하는 웹사이트의 SSL 인증서 보안성을 파악할 때 그게 인증서 투명성 시스템의 운영 정책에 들어맞는지 여부를 근거로 삼고 있다.
구글 소프트웨어 엔지니어 라이언 슬리비는 "인증서 투명성 사용은 브라우저, 사이트 소유자, 관련 이해당사자들이 오발급을 인지하고 대처할 수 있게 해 주는 방법이자 발급기관이 더 이상 커뮤니티의 예측 범주나 브라우저 프로그램에 알맞지 않을 경우 야기되는 피해를 덜기 위한 대응 수단"이라고 설명했다.