중국 인증기관 '워사인(WoSign)'과 그에 인수된 '스타트콤(StartCom)'이 발급한 SSL/TLS 인증서가 결국 세계 시장에서 퇴출될 전망이다. 구글, 모질라, 애플에 이어 마이크로소프트(MS)가 자사 브라우저에서 중국 업체의 인증서 차단 대열에 합류했다.
모질라는 약 1년전인 지난해 8월 워사인의 인증서 발급 절차상의 보안 결함을 문제삼았고, 9월 후속조사 보고서를 통해 워사인의 인증서를 신뢰할 수 없다고 결론내렸다. 그리고 인증서 차단에 다른 브라우저 개발업체도 동참해 달라고 요청했다. [☞관련기사 바로가기] 이후 모질라, 구글, 애플이 각자의 브라우저와 시스템에서 워사인의 인증서를 신뢰할 수 없다고 발표했다.
모질라는 예고한대로 지난 1월 워사인 인증서를 차단한 파이어폭스51 정식판을 내놨다. [☞관련기사 바로가기] 해당 시점에 애플도 사파리를 탑재한 맥OS의 인증서 저장소를 업데이트하면서 워사인 인증서를 차단했다. [☞원문 바로가기] 구글은 현재 크롬60 정식판을 배포 중인데, 베타 버전인 크롬61 버전부터 워사인 인증서를 차단할 방침이다. [☞원문 바로가기]
이달초 MS도 인터넷익스플로러(IE)와 엣지(Edge) 브라우저를 탑재한 윈도10 인증서 저장소에서 워사인 인증서 차단을 예고했다. [☞원문 바로가기] 파이어폭스, 사파리에 이어 크롬, IE, 엣지 브라우저까지 워사인 인증서를 차단하면, 이 중국 업체의 인증서가 인터넷 세계에서 퇴출되는 셈이 된다. 웹사이트가 차단된 인증서로 HTTPS 접속을 하면 브라우저가 방문자에게 '안전하지 않다'고 경고를 띄우기 때문이다.
HTTPS 접속은 웹서버와 브라우저간 데이터 전송구간을 암호화해 인터넷의 보안성을 높이는 통신방법이다. 웹서버와 브라우저가 이 접속을 수행하려면 웹서버가 '믿을만한 인증기관(CA)'에서 발급한 SSL/TLS인증서를 써야 한다. 브라우저 개발업체는 이를 위해 미리 믿을만한 CA 목록을 관리하고 브라우저에 적용해 사용자에게 배포한다. 특정 인증서를 차단한다는 건 그 CA를 이 목록에서 뺀다는 얘기다.
MS는 지난 8일자 발표를 통해 "중국 CA 워사인과 스타트콤은 우리 '트러스티드루트프로그램'이 요구하는 기준을 유지하는 데 실패했다고 결론내렸다"며 "(안전하지 않다고 판명된 암호화 알고리즘) SHA-1 기반 인증서의 백데이팅(유효기간조작), 인증서 오발급, 인증서 발급취소 사고, 인증서 일련번호 중복과 CAB포럼 '기준요건' 다수 위반 등 용인할 수 없는 보안 관행을 발견했다"고 지적했다.
워사인은 10년 넘게 인증서 발급사업을 수행해 왔지만, 이로써 4대 주요 브라우저 개발업체로부터 믿을만한 CA 자격을 잃게 됐다. 그 영어판 공식사이트에 따르면 회사는 지난 2006년부터 중국에서 인증서를 발급해 왔다. 현지 SSL/TLS인증서 시장 점유율 30%를 보유했고, 세계 120개국 및 지역의 웹사이트 수만곳이 자사 인증서를 쓴다고 주장하고 있다. 이런 시장 기반을 유지하긴 쉽지 않아 보인다.
관련기사
- 시만텍, 말 많던 SSL/TLS인증서 사업 처분2017.08.16
- HTTPS 암호화통신 100% 확산 가능할까2017.08.16
- 크롬의 '안전함'은 그런 뜻이 아니다2017.08.16
- ‘HTTPS’ 적용 공공사이트, 브라우저 차별 심하다2017.08.16
주요 브라우저 가운데 '오페라(Opera)'만이 워사인의 인증서 문제를 심각하게 다루지 않는 분위기다. 오페라는 지난해(2016년) '골든브릭실크로드'라는 중국 IT업체 컨소시엄에 인수됐다. 중국 모바일게임업체 쿤룬테크(Kunlun Tech)와 IT업체 치후360(Qihoo360)이 컨소시엄을 주도한 것으로 드러났다. 이가운데 치후360은 워사인과 스타트콤의 모기업이다.
미국 지디넷은 워사인이 지난해 10월 이 문제를 해결할 의지를 표명하긴 했지만 이후 아무 일도 일어나지 않았다고 평했다. 그간의 흐름과 현재 워사인이 대외적으로 별다른 언급을 않고 있는 점을 놓고 볼 때, 오페라를 제외한 주요 브라우저 업체의 믿을만한 CA 목록에서 퇴출된 이슈를 무시하고 있는 듯 보인다고 평했다. [☞원문 바로가기]