상단여백
HOME 뉴스·정책
中 최대인증기관 ‘가짜 SSL 인증서를…’
  • 한종진 IT칼럼니스트
  • 승인 2016.09.02 12:00
  • 댓글 0




무료 SSL 인증서를 발급해 인기를 끌었던 중국 최대 인증기관인 우사인(WoSign)이 가짜 인증서를 대량으로 발급했던 것으로 밝혀졌다고 한다.

SSL(Secure Socket Layer)은 정보를 암호화해서 송수신, 인터넷에서 개인 정보나 신용카드 번호 같은 중요 데이터를 안전하게 교환할 수 있게 해준다. 예를 들어 쇼핑 사이트에 들어가 보면 주소가 ‘https’로 시작하고 왼쪽에 자물쇠 마크가 보일 것이다. 이런 사이트는 SSL을 도입한 것이다.

사이트 입장에선 SSL 서버 인증서를 발급 받아 서버에 저장, 설치해야 SSL을 도입할 수 있다. 우사인은 이런 인증서를 발급해주는 인증기관 중 하나다. 이곳은 3년 동안 무료로 쓸 수 있는 인증서 프로그램(WoSign Free SSL Certificate)을 제공, 서버에 SSL을 도입하려는 사람들에게 인기를 모았다. 그런데 이곳에서 하위 도메인 관리 권한만 있어도 도메인 인증서를 발급할 수 있다는 취약점이 있었다는 사실이 발견됐다.

센트럴플로리다대학 의대의 사이트 관리자인 스테판 슈라우거(Stephen Schrauger)라는 사람이 우연히 발견한 것. 그는 의대 공식 사이트의 SSL 지원을 위해 경비 절감 차원에서 2015년 봄 무료 SSL 인증서를 시작한 우사인에서 시험 삼아 인증서를 받기도 결정했다.

그런데 ‘med.ucf.edu’에 대한 인증서 취득에는 문제가 없었지만 하위 도메인에 'www'를 추가하려고 신청하려다 대학 전체에 해당하는 ‘www.ucf.edu’를 입력해버렸다고 한다.

그런데 우사인은 ‘med.ucf.edu’ 대신 ‘ucf.edu’에 대한 인증서를 발급해줬다. 설마라는 생각에 그는 사용자명 하위 도메인이 주어지는 깃허브에서 검증을 다시 했다. 그 결과 ‘github.com’ 등에 대한 인증서를 받는 데 성공했다고 한다. 우사인의 인증서 발급에 큰 허점이 있어 가짜 증명서를 발급하는 상태라는 걸 알 수 있게 된 것.

물론 그가 이 사건을 보고하면서 ‘github.com’ 등에 대한 인증서를 해제됐다. 하지만 이 문제는 우사인에선 14개월 이상 방치되어 있다고 한다. 중국 SSL 지원 사이트 3개 중 1개는 우사인의 인증서를 이용하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

한종진 IT칼럼니스트  hancook@hanmail.net

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>

한종진 IT칼럼니스트의 다른기사 보기
인기기사
추천기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
재미있는 테크월드 세상
여백
여백
여백
여백
여백
여백
여백
Back to Top