구글이 크롬 브라우저 환경에서 시만텍의 전송계층보안(TLS) 인증서의 신뢰 수준을 평가절하했다. 내년 초 배포할 크롬64 버전까지 이를 적용한다는 방침을 최근 밝혔다. 시만텍 측은 이 같은 구글 방침에 반발하고 있다.
■TLS 인증서, HTTPS 암호화 접속에 필수
TLS인증서는 HTTPS 접속을 위해 필요한 디지털 파일이다. HTTPS 접속은 웹사이트 서버와 방문자의 브라우저간 통신 내용을 암호화해 보호하는 기술이다.
웹서버에 정상적인 TLS인증서를 설치한 웹사이트에 접속하면 방문자의 브라우저는 이를 알아보고 사용자에게 '안전한 웹사이트'라는 표시를 띄워 준다.
크롬 환경에서 시만텍 인증서 신뢰 수준을 낮추기로 했다는 건, 시만텍 인증서가 적용된 웹사이트에서 방문자들이 안전하다는 표시를 못 볼 수 있게 된다는 뜻이다.
다만 구글은 이 방침을 자사 브라우저에만 단독으로 적용하는 대신 다른 브라우저 개발업체들과 함께 조치하도록 제안하기로 했다. 한 브라우저만 인증서 신뢰 수준을 낮게 칠 경우, 사용자에게 해당 브라우저의 문제로 간주될 수 있어서다.
■구글, 시만텍 인증서 불신…"오발급·관리부실"
미국 지디넷은 지난 24일 "구글이 시만텍을 TLS 벌칙 벤치에 보낼 뜻을 내비쳤다"며 "구글 계획에 따르면 시만텍 인증서의 신뢰도 보장기간은 9개월로 줄게 된다"고 보도했다.
[☞미국 지디넷: Google proposes sending Symantec to TLS sin bin]
보도에 따르면 구글 보안담당 엔지니어 라이언 슬리비(Ryan Sleevi)는 크롬 브라우저의 오픈소스 엔진 '블링크(Blink)' 개발자 메일링 리스트에 이같은 내용을 담은 글을 게재했다.
슬리비는 글에서 시만텍이 TLS인증서 기술 관련 과오를 저질러, 사용자들이 위험에 노출됐다고 판단했다는 구글 측 입장을 제시했다. 영어로 작성된 본문 가운데 몇 대목을 한국어로 옮겼다.
"이 조사 과정에 시만텍이 제공한 설명은 구글 크롬 팀 구성원이 각 문제를 제기한 (인증서) 오발급 범위가 지속적으로 증가하고 있음을 보여 준다. 최초 인증서 127건이라 보고된 (오발급) 세트가 최소 3만건을 포함할만큼 확장됐고, 이는 여러 해에 걸쳐 발급됐다."
"시만텍은 인증서 발급을 수행하는 방식으로 그들의 인프라에 최소 4개 이해당사자가 접근할 수 있게 허용했다. 이런 수단을 필요하고 기대되는만큼 충분히 감독하지 않았고, 이 조직들이 이런 관리에 적절한 표준을 따르는 데 실패했다는 증거가 발생했을 때, 그런 정보를 제때 공개하거나 그들에게 보고된 이슈의 심각성을 확인하는 데 실패했다."
슬리비는 이런 이유에서 시만텍의 신뢰수준에 벌칙을 적용하기로 했다고 설명했다. 제시된 벌칙은 하나는 인증서 발급 주체로서 시만텍의 연장 확인(Extended Validation) 지위를 최소 1년 삭감하는 것이고, 다른 하나는 시만텍이 발급한 유효 인증서를 전량 재발급하도록 요구하는 것이었다.
슬리비는 이것이 시만텍의 신뢰도를 점진적으로 감소시키는 방법이라고 표현했다. 시만텍이 인증서 발급 시장에서 제공되는 인증서 30% 이상을 맡고 있는만큼, 엄격하고 즉각적인 인증서 무효화 조치를 적용할 수는 없는 사정이 있다는 이유에서다.
그는 "시만텍이 발급한 인증서에서 호환성 위험이 특히 높은데, 이는 그들이 써트(Thawte), 베리사인(Verisign), 에퀴팍스(Equifax)같은 1차 인증기관(CA)을 인수해 발생했고, 그 일부는 널리 지원되는 CA였다"고 지적했다.
이어 "이런 CA의 신뢰성을 낮추는 일은 구형과 신형, 양쪽 디바이스에 보안 연결을 제공하는 걸 더 어렵게 만드는데, 이는 사이트 관리자가 사용하는 CA가 이런 디바이스를 아울러 인식하도록 만들어야 하기 때문"이라고 덧붙였다.
미국 지디넷 보도에 따르면 구글은 시만텍 인증서 관련 조치를 일방적으로 취하지 않은 상태다. 단일 브라우저가 어떤 CA의 신뢰성을 박탈할 경우, 브라우저 사용자가 그 브라우저에 문제가 있어 인증서를 제대로 처리하지 못하는 것처럼 여길 수 있다는 게 슬리비의 설명이었다.
■구글과 시만텍의 인증서 시비
구글은 앞서 지난 2015년 시만텍에 경고 메시지를 전했다. 구글이 요청하지도 않았는데 구글 닷컴 도메인을 포함하는 인증서를 테스트 명목으로 발급한 행위에 대해 문제를 제기하며, 그런 일이 벌어진 과정을 투명하게 밝히라 요구하면서다.
이후 밝혀진 바에 따르면 시만텍은 다른 브라우저 업체 오페라의 테스트 인증서와, 등록된 적이 없는 도메인용 인증서 2천458건을 발급해왔다. 구글은 그해 12월까지 크롬과 안드로이드에서 시만텍의 최상위 인증서 중 하나를 신뢰 대상에서 제외했다. 올초 시만텍은 몇몇 도메인에 오용된 여러 인증서 발급을 철회하기도 했다.
■시만텍, 문제제기에 반박·구글 계획에 항의
영국 BBC와 더레지스터 등 다른 외신들은 이 소식을 다루면서 시만텍이 내놓은 입장을 함께 보도했다.
[☞시만텍 공식 블로그: Symantec Backs Its CA]
[☞BBC: Google and Symantec clash on website security checks]
[☞더레지스터: Google slaps Symantec for sloppy certs, slow show of SNAFUs]
보도에 따르면 시만텍은 구글이 행동을 취해 온 방식을 "강력하게 반대"하며, 구글의 인증서 관련 결정도 "예측불가한(unexpected)" 것이었다고 말했다.
구글이 인증서 오발급 사례를 127건에서 3만건까지 불어났다고 지적한 내용도 사실과 다르다고 반박했다. 오발급으로 인해 야기된 소비자 피해도 없고, 조직 운영이 산업표준에 맞게 이뤄지고 있다고 주장했다.
관련기사
- 시스코 "우리 제품이 HTTPS 보안 훼손? 동의 안 해"2017.03.26
- 정부 "공공 사이트 HTTPS 보안경고 조만간 해결"2017.03.26
- "백신-보안장비 회사가 HTTPS 보안 훼손"2017.03.26
- 일부 크롬 인터넷 먹통…구글 "보안장비 때문"2017.03.26
시만텍은 또 자신들이 인증서 발급 방식을 향상시키기 위해 "포괄적인 개선 조치"를 취해 왔으며 그 조치는 다른 여러 인증서 발급기관이 따라하지 못하는 수준이라는 입장이었다.
시만텍 측은 다른 인증서 발급기관 역시 과오를 저질러 왔는데 구글은 어째서 자사만을 겨냥해 문제삼느냐는 의문을 제기했다. 또 구글더러 일방적인 문제제기가 아니라 시만텍의 고객사 및 협력사의 관심사를 공유하는 상황에서 문제를 해결하도록 노력하는 차원이라면 대화의 장을 열어 두고 있다고 강조했다.