올초 불거진 구글, 모질라와 시만텍의 HTTPS 암호화통신용 SSL/TLS 인증서를 둘러싼 공방이 계속되고 있다. 구글이 지난 3월 시만텍에 인증서의 부정발급 의혹을 제기하며 '크롬에서 인증서 불신'을 선언한 뒤, 시만텍이 기존 조치에 더해 감사(audit)를 통한 절차적 투명성을 강화하겠다는 제안을 내놨다.
■무슨 일 있었나
앞서 구글은 지난 3월 23일 크롬 브라우저에서 SSL/TLS인증서 신뢰성을 평가절하하겠다고 시만텍에 통보했다. 기존 시만텍 인증서의 '확장유효성검증(EV)' 표식을 제거하고, 향후 시만텍이 발급하는 인증서의 유효기간을 최장 9개월(279일)만 인정하겠다는 내용이었다.
명분은 시만텍의 인증서 발급대행기관(RA)의 비정상 발급이었다. 구글은 RA의 인증서 3만건에 문제가 있을 수 있다고 주장했다. 이튿날(24일) 시만텍은 자체 조사 결과 인증서 127건에서 문제가 있었다 보고 이미 RA운영을 중단했지만, 구글 주장은 과장됐고 해당 조치도 부당하다고 반박했다.
구글의 인증서 신뢰성 평가절하 조치가 실현되면 시만텍 인증서를 사용하는 웹사이트 운영자 상당수는 크롬 브라우저를 쓰는 방문자에게 '운영 주체가 검증됐다'는 점과 '방문자의 통신 내용이 안전하게 보호된다'는 점을 인정받기 어려워진다.
시만텍은 SSL/TLS인증서 시장 3위, 크롬은 브라우저 시장 1위다. 구글은 자사의 크롬 브라우저에 적용하려는 시만텍 인증서 평가절하 조치에 동참해 달라고 다른 브라우저 개발업체들에게 요청하기도 했다. 다른 주요 브라우저 업체가 이 조치에 동참할 경우 시만텍은 SSL/TLS인증서 시장 입지에 어느 정도 타격을 받을 것으로 전망된다.
■"대행 발급된 EV인증서 감사 받겠다"
시만텍은 구글의 인증서 불신 선언 후 약 1개월만인 지난 4월 26일 인증서와 관련된 추가 조치를 제안했다.
이 제안에 따르면 시만텍은 우선 기존 발급된 모든 활성(active) 'EV인증서'를 감사한다.
감사는 운영이 중단되기 전 RA파트너가 발급한 시만텍 인증서를 검사할 감사원과, 오는 9월 이전 완료될 개선 조치를 살필 외부 감사 활동을 포함한다. 12월 1일부터 5월 31일까지 6개월간 웹트러스트(WebTrust) 감사 실시 후, 1년동안 개선 조치를 필요로 하지 않을 때까지 분기별 웹트러스트 감사를 수행한다. 제3자의 시만텍 인증서 운영 프로세스 및 시스템 위험평가도 포함한다.
구글의 인증서 유효시한 단축 통보에 대응하는 조치도 담겼다.
시만텍은 오는 8월 31일까지 유효성 검증 주기를 3개월로 단축한 인증서 제공 범위를 확대하겠다고 예고했다. 검증 주기가 짧으면 탐지되지 않은 주요 침해 사례에 노출될 위험을 낮추고 'ECDSA' 또는 'SHA3'같은 신규 산업표준 기술을 더 빨리 채택할 수 있으며 '하트블리드'처럼 인증서 교체를 요하는 SSL/TLS 관련 잠재적 취약점에 더 빨리 대응할 수 있게 된다고 설명했다. 유효기간이 9개월 이상인 인증서의 도메인 유효성 재확인(revalidation)은 무료로 이뤄질 것이라고 덧붙였다.
■"인증서 유효기간 단축 조치, 의존성 문제 야기할 것"
시만텍은 여전히 구글의 인증서 신뢰성 평가절하 조치가 부당함을 지적하고 있다.
시만텍은 구글의 통보가 실현될 경우 '복잡한 의존성(문제)'을 초래할 수 있다고 비판했다. 우선 임베디드 기기가 재개발돼야 하고, 모바일 애플리케이션이 갱신돼야 하고, 시만텍 인증서를 쓰도록 고정된 애플리케이션을 사용하는 조직에서 문제를 겪을 것이라 내다봤다. 구글의 조치가 시만텍이 아닌 일반 기업들에게 부당한 피해를 전가할 수 있다는 뉘앙스다.
시만텍은 특히 "이런 조직이 새로운 인증기관의 인증서를 채택하도록 전환 계획을 세우고 준비하는 기간이 문서화하지 않은 미확인 의존성 때문에 여러달 걸릴 수 있고 어떤 경우엔 몇년까지 걸릴 수도 있다"며 "우리가 의견을 수렴한 대규모 조직가운데 유효기간 단축 인증서 채택시 요구되는 안전하고 비용 효율적인 인증서 수명주기 자동화 수준을 구현한 곳은 거의 없었다"고 강조했다.
시만텍의 제안 발표문에서 록산 디볼 시만텍 웹사이트 시큐리티 제너럴매니저 겸 총괄부사장(EVP)은 "우리가 이런 조치를 실행하기 위해 노력하면서 우리 고객들의 비즈니스 연속성을 보장하고 브라우저 커뮤니티의 요구사항을 준수함으로써, 모든 이해관계자의 최상 이익에 맞는 해법을 도출할 수 있다"고 주장했다. 자사의 대응 조치가 여러 이해당사자의 여건을 고려한 합리적 방법이라는 얘기다.
당초 구글의 인증서 신뢰성 평가절하 조치가 통보된 후 시만텍은 그 내용에 대해 '일방적'이라 비판한 바 있다.
구글도 당초 입장에서 약간 물러서긴 했다. 지난 4월 초 자신들이 예고한 인증서 신뢰성 평가절하 조치 일정을 다소 늦춘 것이다.
지난 4월 27일 미국 지디넷 보도에 따르면 구글은 시만텍의 인증서 유효기간 단축 시점을 크롬60 버전 배포 때부터로 조정했다. 당초 선언한 크롬59 버전 배포 시점에서 미룬 셈이다. 4월초 구글 엔지니어 라이언 슬리비는 "위험을 줄여줄 것이라 믿지는 않지만, 이 변화가 생태계에서 적절하게 사회화되고 다른 브라우저와의 이상적으로 상호운용하도록 보장되길 바랐기에" 일정을 연기했다고 말했다.
■시만텍, 주요 브라우저 업체 신뢰 회복 될까
미국 지디넷 보도는 시만텍이 모질라와도 비슷한 문제를 다루고 있음을 함께 전했다.
관련기사
- 크롬의 '안전함'은 그런 뜻이 아니다2017.05.03
- 스마일서브, 무료 SSL 보안 서버 공개2017.05.03
- 구글의 '시만텍 불신' 빌미 된 한국 파트너2017.05.03
- 구글, 시만텍 인증서 보안수준 평가절하2017.05.03
모질라는 오픈소스 브라우저 파이어폭스 개발업체로 구글보다 앞서 지난 1월 이번 시만텍의 SSL/TLS인증서 발급 관련 문제를 제기한 곳이다. 시만텍은 구글에 앞서 모질라가 제기한 문제에 대응해 왔고 그중 3가지를 해결했다. 모질라 측은 이제 시만텍이 주요(major) 등급 6건, 중간(intermediate) 등급 2건, 사소한(minor) 등급 4건의 문제를 남겨 두고 있다고 밝혔다.
구글은 현재 시만텍에 인증서 발급기관으로서의 신뢰가 없다는 근본적인 입장을 바꾸진 않은 듯하다. 지난달 IT미디어 테크타깃 보도에 따르면 구글은 시만텍 측에 그 인증기관 업무를 다른 믿을만한 기관에 넘기라는 제안까지 했다. 테크타깃의 2일(현지시간) 보도에 따르면 모질라 역시 이런 구글의 권고를 지지하는 입장을 밝혔다.
