상세 컨텐츠

본문 제목

구글 크롬, 더 이상 시만텍 SSL 인증서를 신뢰하지 않기로 결정

국내외 보안동향

by 알약(Alyac) 2017. 8. 1. 15:20

본문

올해 3 월, 구글과 파이어 폭스의 합동조사 과정에서 시만텍이 승인받지 않은 SSL 인증서를 대량으로 발급한 사실을 발견하였습니다. (자세히 보기)


그리고 7월 28일, 구글은 정식으로 GeoTrust,Thawte 및 Rapid SSL 등 시만텍 계열사의 모든 SSL 인증서를 신뢰하지 않겠다고 밝혔습니다. 시만텍은 이에 동의하였으며, CA사업의 매각을 고려하고 있다고 밝혔습니다. 



사건개요


2017년 3월, 구글과 파이어폭스 조사단은, 시만텍이 업계의 규칙을 어기고 127개의 SSL인증서를 부당하게 발급한 사실을 확인하였습니다. 이에 더 심도깊은 조사를 진행한 결과, 약 3만개가 넘는 인증서가 부적절하게 발급된 것이 추가로 확인되었습니다. 


시만텍은 세계 최대의 CA발급업체중 하나로,이번 사건은 사람들에게 큰 충격을 안겨주었습니다. 구글은 시만텍의 SSL 인증서 발급 프로세스에 대해 불만을 표시하였으며, Chrome에서 시만텍 인증서를 더이상 신뢰하지 않겠다고 밝혔습니다. 


구글은 시만텍이 특수 도메인 SSL인증서를 신청하는 신청자에 대한 감사를 제대로 진행하지 않았다고 밝혔습니다. 또한 시만텍 직원들이 인증서 발급 로그를 제대로 감사하지 않았으며 이러한 문제점에 대해서도 개선하지 않았다고 밝혔습니다. 


구글이 시만텍의 부적절한 인증서 발급문제에 대해 경고한 것은 이번이 처음은 아닙니다. 


2015년 9월과 10월, 구글은 시만텍 계열사의 Root CA가 동의 없이 많은 도메인에 대한 수천개의 인증서를 발급하였으며, 이중에는 구글의 하위 도메인 및 존재하지 않은 도메인도 포함되어 있는 것을 확인하였습니다. 구글은 이렇게 발급한  Root CA를 이용하여 구글 제품을 위장하거나, 사용자의 보안통신 위협 등 다양한 악성행위를 할 가능성이 있었지만, 시만텍은 발급된 인증서 사용처에 대해 자세한 설명을 하지 않았습니다. 


2015년 12월, 구글은 Chrome, Android 및 기타 Google 제품에서 더이상 시만텍 계열사의 "Class 3 Public Primary CA"  최상위 인증서를 신뢰하지 않기로 했습니다. 



결론


처음에 시만텍은 이러한 사건들에 대하여 "과장과 오해"가 있었다며 부인했습니다. 하지만 어찌되었던 시만텍은 이러한 결과를 예견하고 있었으며, 합의하기로 결정하였습니다. 7월 28일, 구글은 시만텍이 동의한 제안에 따라, 올해 10월 Chrome로 예정되어 있었던 계획을 내년 4월(Chrome66)으로 연장하였고, 단계적으로 시만텍 SSL 인증서를 완전히 신뢰하지 않기로 결정하였습니다. 



첫번째 단계 : 2017년 12월 1일, 시만텍을 Sub CA 기관으로 변경

2017년 12월 1일,   시만텍과 다른 SSL인증서 발급기관이 협력하여 인증서를 발급합니다. 시만텍은 기술상 CAsub CA가 되는 것입니다. 


구글과 다른 브라우저 업체들은 SSL 인증서 발급 권한을 또 다른 CA에 이관시켜 시만텍이 규칙을 위반하고 인증서를 발급해 주는 행위에 대해 제재하기로 결정하였습니다. 동시에 암묵적으로 시만텍이 새로운 형태의 SSL업무를 준비하도록 허용하였습니다. 하지만 시만텍은 CA업무를 매각하기로 고려하고 있는 것으로 확인되었습니다. 



두번째 단계 :  Chrome66에서(2018년 4월)부터 시만텍의 일부 인증서 신뢰하지 않음 

구글 Chrome66의 출시 예정일은 2018년 4월로, Chrome66부터 시만텍이 2016년 6월 1일 이전에 발급한 SSL인증서들에 대하여 신뢰하지 않기로 결정하였습니다. 



세번째 단계 : Chrome70에서(2018년 10월) 부터는 시만텍에서 발급한 모든 인증서에 대해 신뢰하지 않음 

구글 Chrome70의 출시 예정일은 2018년 10월로, Chrome70부터 2017년 12월 1일 이전에 시만텍에서 발급된 모든 SSL인증서를 신뢰하지 않기로 결정하였습니다. 


구글Chrome은 시만텍이 현재까지 인수한 다른 CA기업(GeoTrust,Thawte 및 Rapid SSL)에도 동일한 조치를 취할 것이라고 밝혔으며, FireFox, Safari등 브라우저들도 곧 구글과 같은 조치를 취할 것으로 밝혀졌습니다. 이에 Symantec SSL 인증서 및 GeoTrust,Thawte, Rapid SSL 인증서를 사용하는 홈페이지 혹은 프로그램들은 빠른 시일내에 다른 SSL 인증서로 교체해야 합니다. 







출처 :

https://www.bleepingcomputer.com/news/security/google-outlines-ssl-apocalypse-for-symantec-certificates/

관련글 더보기

댓글 영역

  • 프로필 사진
    2017.08.01 16:43
    시만텍 인증서 점유율이 있는데, 특정 기간에 발급된 시만텍 인증서를 전체를 불신하면 크롬도 인증서 변별력이 없어지겠죠.
    누가 이길지 지켜봐야겠습니다.
  • 프로필 사진
    2017.08.02 13:15
    글쎄요. 이건 너무 구글의 독단적인 입장이 아닐런지. 구글이 CA사업 시작하고도 지지율이 지지부진해서그런지 업계 1위 Symantec 죽이기에 나선 것 같은 느낌 이네요. 1위여서 까이는 것 같은 느낌적인 느낌. 나머지 업체들은 그냥 듣보잡이라 안까이는거 아닌가요.. 위에분 말처럼 지켜봐야 할꺼 같네요~_~