중국 인증 기관, ‘실수로’ GitHub 도메인용 SSL 인증서 배포해

중국 인증 기관, ‘실수로’ GitHub 도메인용 SSL 인증서 배포해

Chinese Certificate Authority 'mistakenly' gave out SSL Certs for GitHub Domains

중국 인증 기관(CA)에서 기본 도메인의 SSL 인증서 사본을 배포하는 엄청난 보안 실수를 저질렀습니다. 

해당 인증기관의 이름은 Wosign으로, 그들은 이름이 밝혀지지 않은 Github 사용자에게 GitHub 도메인의 기본 인증서를 발행했습니다. 

이것이 어떻게 가능했을까요? 

디지털 인증서 관리 시스템은 인터넷에서 가장 취약한 부분이며, 이미 뚫려진 상태라는 것을 알고 계신가요?

수십 억 인터넷 사용자들은 그들의 데이터에 대한 비밀성, 완전성을 보장받기 위해 전 세계 수백개의 인증기관(CA)에 맹목적으로 의존합니다. 하지만 이런 인증기관들은 사용자가 소유한 특정 도메인의 유효한 SSL 인증서를 발생할 수 있습니다. 사용자가 이미 다른 인증기관에서 인증서를 구매한 상황에서도 말입니다. 이것이 인증기관 시스템의 가장 큰 허점입니다. 

이번에 발생한 실수는 Wosign이 기본 도메인의 소유권을 확인하지 않은 채 GitHub 도메인의 SSL 인증서 복사본을 발행한 데에서 비롯되었습니다.

이 사실은 영국의 Mozila 프로그래머인 Gervase Markham이 약 1년 전인 2015년 7월에 처음 발견했습니다. 그러나 당시 크게 이슈화되지 않았습니다.

Markham에 따르면, 이름이 밝혀지지 않은 한 보안연구원이 우연히 이 보안 결점을 발견했습니다. 그 연구원은 ‘med.ucf.edu’를 위한 인증서를 발행 시도하다 실수로 ‘www.ucf.edu’를 위한 인증서도 함께 신청했습니다. Wosign은 이를 승인하였고, 결국 해당 대학의 메인 도메인 인증서가 발급되었습니다.

이후 그는 테스트를 위해 사용자 github.com, github.io의 Github 기본 도메인에도 동일한 방법으로 인증서 발급을 시도하였습니다. 그리고 그 결과, Wosign은 Github의 메인 도메인을 위한 인증서도 발급해 주었습니다. 

이 연구원은 Wosign에 GitHub의 인증서를 보내며 해당 이슈에 대해 제보하였습니다. 하지만 Wosign은 두 개의 인증서가 아닌 GitHub의 인증서만을 파기했습니다. 

왜 하나만 파기했을까요?

해당 인증기관이 이슈를 제보 받았음에도 불구하고, 자가 조사를 통해 잘못 발행된 모든 인증서들을 찾아내어 파기할 수 있는 능력이 없었을 가능성이 높습니다. 이 연구원은 최근 구글과의 연락에서 거의 1년이 지난 지금도 ucf.edu의 인증서가 폐기되지 않고 있는 것을 확인하였습니다. 

그렇다면 악의적인 공격자일 수 있는 다른 누군가가 나의 도메인 인증서를 발행받았는지, 확인하는 방법에는 어떤 것들이 있을까요?

다행히 조직이나 개인이 그들의 도메인을 위한 인증서가 비밀리에 몇 개나 발생되었는지 확인할 수 있는 공개서비스가 있습니다. 인증서 투명성 (Certificate Transparency, CT)이 그것입니다. CT는 인증기관들이 생성한 모든 디지털 인증서를 공개하는 것을 요구하며, WoSign역시 이 CT에 참여합니다. 

인증서 로그를 통하여 사용자의 도메인으로 발행된 디지털 인증서를 찾아볼 수 있습니다. 하지만 인증기관들이 위조된 인증서를 발행하는 것을 예방할 수는 없습니다. 단지 악성 인증서들을 쉽게 탐지할 수 있도록 도와줄 뿐입니다. 

현재 구글, 시만텍, DigiCert 및 다른 인증 기관들도 공개 CT 로그를 운영하고 있습니다. 또한 구글의 인증서 투명성 조회 툴이나 Comodo의 인증서 투명성 검색 툴을 사용해 사용자 도메인으로 발행된 모든 현존하는 인증서를 확인할 수 있습니다. 만약 자신의 도메인으로 발행된 악성 인증서를 발견할 경우, 각자의 인증 기관에 제보해 즉시 이를 제거하시기 바랍니다.

참고 : 

http://thehackernews.com/2016/08/github-ssl-certificate.html

https://www.certificate-transparency.org/