1. 요즘 웹사이트들은 보안상의 이유로 보안이 강화된 통신규약인 https를 사용합니다. 근데 이걸 쓰려면 일종의 공인인증서가 필요합니다. 이 공인인증서를 발급해주는 업체를 CA라고 하며, 구글 크롬과 모질라 파이어폭스 등 우리가 쓰는 웹 브라우저에는 어떤 CA를 믿을 수 있는지에 대한 목록이 내장되어 있습니다.
2. 옛날에 가장 점유율이 높았던 CA는 미국의 보안전문기업인 시만텍(Symantec)이었습니다. 그런데 공인인증서라는 것은 신원이 확실한 곳에만 발급해줘야겠지요? 이 신원 확인을 시만텍 혼자서 다 하기는 힘드니까, 시만텍에서는 각 나라별로 협력업체를 두고 신원 확인이랑...더 보기
배경 해설:
1. 요즘 웹사이트들은 보안상의 이유로 보안이 강화된 통신규약인 https를 사용합니다. 근데 이걸 쓰려면 일종의 공인인증서가 필요합니다. 이 공인인증서를 발급해주는 업체를 CA라고 하며, 구글 크롬과 모질라 파이어폭스 등 우리가 쓰는 웹 브라우저에는 어떤 CA를 믿을 수 있는지에 대한 목록이 내장되어 있습니다.
2. 옛날에 가장 점유율이 높았던 CA는 미국의 보안전문기업인 시만텍(Symantec)이었습니다. 그런데 공인인증서라는 것은 신원이 확실한 곳에만 발급해줘야겠지요? 이 신원 확인을 시만텍 혼자서 다 하기는 힘드니까, 시만텍에서는 각 나라별로 협력업체를 두고 신원 확인이랑 인증서 발급작업을 대행시켰습니다.
3. 근데 2015년경, 구글에서 시만텍이 google.com에 대한 잘못된 인증서를 발급했다는 사실을 알게 되어 조사에 착수합니다. 조사 결과, 사건의 전말은 시만텍 내부에서 테스트를 한답시고 엉터리 인증서를 모두 2,458개나 발급하였고, 이 중 구글 도메인 이름으로 된 인증서가 유출된 것이었다는 것이 드러납니다. 그래서 한번 난리가 나고, 이후 구글 등 웹브라우저를 만드는 곳에서는 매의 눈으로 시만텍을 감시하게 됩니다.
4. 2017년 초, 모질라와 구글 측에서 각각 또다시 시만텍 명의로 엉터리 인증서가 발급되었음을 알아냅니다. 문제가 된 것은 시만텍의 한국 대행업체였던 한국전자인증(CrossCert)이란 곳에서 2010년도부터 엉터리 도메인으로 된 엉터리 인증서를 지속적으로 시만텍의 이름 아래 부정발급한 것이었습니다. 이에 시만텍은 한국전자인증을 비롯하여 인증서 발급을 대행하던 모든 협력업체의 발급권한을 회수하고 관련업무를 직접 처리하기로 결정하였지만, 이미 때는 늦었습니다.
5. 구글과 모질라는 합심하여 시만텍에서 발급한 인증서 자체를 모두 인정하지 않기로 결정하였습니다. 시만텍은 인증서 발급부문 사업을 아예 팔아치워 버렸고요. 하지만 시만텍은 점유율 1위까지 했었던 곳이라 이곳 인증서를 쓰는 곳이 워낙 많았기 때문에, 갑자기 모든 시만텍 인증서를 인정하지 않으면 큰 혼란이 일어날 것이 뻔했습니다. 따라서, 단계적인 유예 기간이 주어졌습니다. 시만텍 쪽에서 받은 인증서를 사용하는 모든 웹사이트는 이 유예기간 이전에 다른 CA에서 인증서를 새로 받아야 합니다.
6. 그 유예기간의 최종 시한이 이번 달에 도래합니다. 구글 크롬의 경우 정식 버전 기준으로 오는 23일부터 모든 시만텍 인증서를 전혀 인정하지 않고, 파이어폭스도 거의 같은 시기에 그렇게 할 것입니다. 지금 이걸 캡쳐한 브라우저는 Firefox의 Nightly 빌드 버전인데, 여기서는 벌써 시만텍을 CA 목록에서 아예 날려버린 모양입니다.
7. 그런데 이 유예기간이 주어진 것은 1년도 훨씬 넘은 이전의 일입니다. 구글에서는 작년 7월 27일에 이 유예기간 일정에 대해 발표했거든요. 하지만 이렇게 기간이 임박했는데도 아직 이렇게 시만텍 인증서를 쓰는 곳이 남아있었던 모양이네요. 꼭 시한이 지나서 아무도 접속 못 하는 상황이 벌어져서야 부랴부랴 일을 처리할 건지 참…
SSL 인증서의 구조에 대해 알아보시면 아시게 될 테지만, SSL 인증서를 발급해주는 발급기관은 상위 발급기관의 서명을 받아 신뢰성을 확보하게 됩니다. 그런데 가장 위에 있는 발급기관(Root CA)은 더 이상 위에 서명해줄 곳이 없으니 자기 자신이 직접 스스로에게 디지털 서명을 하게 되지요. 각 웹 브라우저 및 운영체제에 내장되어 있는 것은 이 Root CA 중 믿을 수 있다고 판단되는 곳에서 발급한 인증들의 목록입니다. 이미 웹 브라우저 및 운영체제에는 수백 개(현 시점 기준으로 파이어폭스에는 150개)의 Root CA 인증목록이 내장되어 있기 때문에, 딱히 이것 때문에 관리가 더 힘들어지고 그러지는 않습니다.