포스팅 내용

국내외 보안동향

구글, 모질라, 애플, 스파이 예방 위해 카자흐스탄의 루트 CA 인증서 차단해

Google, Mozilla, Apple Block Kazakhstan's Root CA Certificate to Prevent Spying


카자흐스탄 정부의 감시로부터 사용자를 보호하기 위해 구글, 애플, 모질라가 당사의 웹브라우저에서 카자흐스탄 정부가 발행한 루트 CA 인증서를 차단했습니다.


오늘부터 카자흐스탄의 크롬, 사파리, 파이어폭스 사용자들은 정부가 발행한 인증서로 응답하는 웹사이트에 접근할 경우 "Qaznet Trust Network" 인증서를 신뢰할 수 없다는 에러를 보게 될 것입니다.


지난달, 카자흐스탄의 모든 주요 ISP 사는 인터넷 서비스에 대한 재접근을 위해 정부에서 발행한 루트 인증서를 고객 기기에 설치하도록 강요했습니다.


문제의 루트 인증서는 "신뢰할 수 있는 인증서" 또는 "국가 보안 인증서"로 분류 되었으며, 해당 인증서가 설치될 경우 사용자의 암호화된 HTTPS 및 TLS 연결을 인터셉트, 모니터링 및 복호화하는 것이 가능합니다.


이를 통해 정부는 카자흐스탄 정부는 사용자가 페이스북, 트위터, 구글 등 인기 사이트에서 행하는 모든 것을 해독하여 읽을 수 있으며 1,800만 시민을 감시하고 콘텐츠를 검열할 수 있습니다.

 


<이미지 출처: https://thehackernews.com/2019/08/kazakhstan-root-certificate.html>



또한 사용자의 계정 정보 및 패스워드를 가로챌 수도 있습니다. 이러한 행위는 중간자 공격(MITM)이라고도 합니다.

 

커스텀 루트 CA 인증서를 설치하면, 정부가 시민의 온라인 활동을 감시할 수 있을 뿐만 아니라 사회공학적 기법 공격을 당할 위험에도 노출됩니다. 



<이미지 출처: https://thehackernews.com/2019/08/kazakhstan-root-certificate.html>



해커들이 비공식 웹사이트 또는 비공식 출처를 통해 악성 루트 인증서를 설치하도록 사용자를 속일 수 있는 기회가 생기기 때문입니다.


전 세계의 비난을 받자, 카자흐스탄 정부는 해당 인증서의 초기 배포에 대해 사이버 위협 모니터링을 위한 테스트였다고 발표하며 시민의 인터넷 트래픽을 인터셉트하려던 계획을 단념했습니다.


크롬 시니어 디렉터인 Parisa Tabriz는 정부를 포함한 어떤 조직도 크롬 사용자의 데이터를 해킹하려는 시도를 절대 용납하지 않을 것이라며, 항상 전 세계 사용자를 보호하기 위한 조치를 취할 것이라고 전했습니다.


또한 해당 인증서는 크로미움의 소스코드 내 차단 목록에 추가될 것이며, 다른 크로미움 기반 브라우저에도 추가되어야 할 것이라 말했습니다.


애플의 대변인은 사파리 웹 브라우저 또한 카자흐스탄 정부가 발행한 루트 CA 인증서를 차단한다고 전했습니다.


애플은 개인 정보 보호는 기본적인 인권이라고 생각한다며, 사파리는 해당 인증서를 신뢰하지 않도록 조치를 취했고 사용자들은 해당 문제로부터 안전할 것이라고 밝혔습니다.


카자흐스탄 정부가 시민의 인터넷 트래픽을 가로챈 것은 이번이 처음은 아닙니다.


2015년, 정부는 모질라의 신뢰할 수 있는 루트 저장 프로그램에 루트 인증서를 포함시키려 시도했습니다.


그러나 모질라가 카자흐스탄 정부가 해당 인증서를 통해 사용자의 데이터를 검열하려는 의도를 알아챘고 해당 요청을 거부했습니다.


구글과 모질라는 카자흐스탄 정부의 루트 인증서를 이미 설치했을 경우, 이를 삭제하고 온라인 계정의 비밀번호를 즉시 변경할 것을 권장했습니다.





출처:

https://thehackernews.com/2019/08/kazakhstan-root-certificate.html

https://blog.mozilla.org/security/2019/08/21/protecting-our-users-in-kazakhstan/

https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html

https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD


티스토리 방명록 작성
name password homepage