2024-03-29 06:15 (금)
나정주 디지서트 이사 " DV인증서, 피싱에 무방비...신뢰할 수 있는 EV인증서 확대 필요"
상태바
나정주 디지서트 이사 " DV인증서, 피싱에 무방비...신뢰할 수 있는 EV인증서 확대 필요"
  • 길민권 기자
  • 승인 2018.04.25 19:31
이 기사를 공유합니다

GPKI, CA 브라우저 포럼서 인증 못받아 접속시 문제 발생...EV인증서로 문제 제거해야

▲ G-Privacy 2018. 나정주 디지서트 이사가 SSL 인증서의 중요성에 대해 강연을 진행하고 있다.
▲ G-Privacy 2018. 나정주 디지서트 이사가 SSL 인증서의 중요성에 대해 강연을 진행하고 있다.
데일리시큐 주최 상반기 최대 개인정보보호&정보보안 컨퍼런스 'G-Privacy 2018'이 지난 4월 10일 서울 양재동 더케이호텔서울 가야금홀에서 정보보안 실무자 1,000여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 디지서트(digicert) 나정주 이사는 '2018 웹사이트 시큐리티 동향'을 주제로 발표를 진행했다.

나정주 이사는 "인증서는 2가지 요건을 갖춰야 인증서라고 할 수 있다. 바로 암호화와 신뢰성이다. 특히 SSL 인증서는 국민연금과 같다. 꼭 들어야 하는 것이다. SSL은 보안에서 가장 필수항목이다. 이를 제외하고 보안은 힘들다"며 "사용자와 웹서버 간의 데이터를 암호화해 중간자가 공격을 해서 데이터를 보더라도 내용을 알 수 없도록 하는 것이 SSL 인증서다"라고 설명했다.

이어 인증서 종류에 대해 설명했다. 그는 "인증서는 3가지로 나뉠 수 있다. 바로 DV, OV, EV 세가지다. 모두 주소창에 HTTPS로 표기된다. 우선 DV는 도메인에 대한 권한심사 수준이다. OV는 조직(기업)에 대한 인증을 해 줄 수 있다. 인증서에 기업정보도 표기된다. 조직의 유효성 검사가 핵심이다. 1~2일 내 발급된다"라며 마지막으로 "EV는 가장 하이레벨의 인증서다. 미국 정부도 EV를 사용한다. 통상 DV나 OV는 정부기관에서 사용하지 않는다. 특히 EV는 주소창이 그린바로 표시되며 또 기업 조직명까지 주소창에 표기되는 등 가장 강력한 신뢰(Trust)를 제공하는 인증서라고 할 수 있다. 확장 유효성 검사 수준의 인증서다"라고 밝혔다.

그는 인증서 종류에 대해 참관객들에게 명쾌한 설명으로 집중도를 높여갔다. 다음은 CA/B(Certificate Authority & Browser) 포럼과 브라우저 시장 동향, SSL 시장 동향 등에 대한 발표로 이어갔다.

CA/B 포럼은 인터넷 브라우저 소프트웨어 공급업체, 운영체제 및 기타 PKI 지원 응용 프로그램과 관련된 업계의 자발적 컨소시엄이다.

나 이사는 "전세계 브라우저 점유율 1등은 크롬이다. 50% 이상을 점유하고 있다. 2등은 사파리다. 하지만 국내는 다르다. 국내도 1위는 크롬이지만 2위는 IE(인터넷 익스플로러)다"라며 "지난해 브라우저에 큰 변화들이 있었다. 바로 HTTPS 즉 인증서가 첨부 안되면 경고메시지가 뜬다. 정부기관 대부분이 HTTPS로 전환했고 브라우저 주요 기능들이 인증서가 있는 것만 구현 가능하도록 바뀌고 있다. 즉 인증서가 없으면 상거래 등이 불가능하다. 그래서 사용자들이 사용을 기피할 수 있다. 75% 이상이 HTTPS로 크롬 접속을 하고 있고 50% 이상이 HTTPS로 안드로이드에 접속하고 있을 정도다"라고 말했다.

2017년 5월 기준 주요 100대 사이트에서 HTTPS를 기본(디폴트)으로 구현하는 비율이 56%까지 늘고 있는 상황이다. 이제 브라우저에서 'HTTPS'는 옵션이 아니라 필수요건이 됐다.

인증서 시장 동향으로 넘어 가보자.

전세계 DV, OV, EV 인증서 시장에서 시만텍이 33%를 차지한 것으로 조사됐다. 디지서트는 18% 정도 차지했다. 하지만 디지서트는 지난해 10월말까지 미국과 유럽에서만 주로 사용됐다. 그럼에도 18%를 차지하고 있었다. 한편 시만텍은 전세계를 상대로 인증서 비즈니스를 하고 있었기 때문에 당연히 점유율이 높을 수밖에 없다.

반면 올해 점유율은 어떨까. 디지서트가 전세계 55%를 차지하고 있다. 이유는 디지서트가 시만텍 인증서를 인수했기 때문이다. 디지서트가 시만텍의 웹사이트시큐리티인증서를 인수한 것이다.

▲ G-Privacy 2018. 나정주 디지서트 이사의 브라우저 동향에 대해 경청하고 있는 참관객들.
▲ G-Privacy 2018. 나정주 디지서트 이사의 브라우저 동향에 대해 경청하고 있는 참관객들.
한국의 인증서 시장을 들여다 보자. 지난해 2월까지 디지서트는 없었다. 하지만 올해 3월 조사결과 OV 시장은 디지서트가 48% 이상, EV 시장은 디지서트가 65% 이상을 차지한 것으로 조사됐다. 한편 OV 시장에서 GPKI 점유율이 거의 30% 정도로 조사됐다.

◇GPKI, CA 브라우저 포럼서 인증 못받아 외부나 모바일 접속시 문제 발생

GPKI(정부 공개키 기반 구조)는 기관을 담당하고 있고 각 부처에서 인증기관의 역할을 수행한다. 현재 한국 정부 공개키 기반 구조의 업무 범위는 행정기관에서 금융기관 및 공공기관으로 확대되고 있다.

이 부분에 대해 나 이사는 문제점을 지적했다. "GPKI는 CA 브라우저 포럼에서 인증을 못받아 외부나 모바일 접속시 문제가 발생하고 있다. GPKI 인증서로는 크롬이나 사파리 모바일 접속시 경고 문구가 뜬다. 보안상 사용자의 정보가 위험하다는 경고문구다. GPKI 파이어폭스도 연결이 안전하지 않다는 경고 문구가 뜬다. 즉 GPKI를 신뢰할 수 없다는 것"이라며 "CA 브라우저 포럼에서 인증한 EV인증서를 사용해 문제를 제거해야 접속자의 편의성과 보안성을 높일 수 있을 것"이라고 강조했다.

이어 그는 "HTTPS로 가는 것은 한국에서 뿐만 아니라 글로벌 대세다. 하지만 여기서 DV인증서를 사용하는 사이트는 웹사이트 조직 확인이 안되기 때문에 주조상으로는 문제가 없지만 피싱 사이트로 악용될 위험성이 크다. 반면 EV(Extended Validation) SSL 인증서는 주소 표시줄이 녹색으로 바뀌고 발급 조건을 더욱 엄격히 심사해 피싱과 같은 인터넷 사기를 방지할 수 있다"며 "무료 혹은 저가의 DV인증서는 최소한의 보안조치로 안전을 담보할 수 없다"고 밝혔다.

마지막으로 그는 IoT 동향에 대해 "IoT 기기는 휴대폰 수량 보다 많고 앞으로 더욱 증가할 전망이다. IoT 기기에 대한 공격을 받고 있는 주요 국가를 보면 미국이 1위, 한국이 6위를 차지하고 있다. IoT 공격이 2016년 대비 지난해 6배 증가했다. IoT 기기가 PC, 휴대폰, 테블릿, 스마트TV, 웨어러블 보다 훨씬 더 많다. 즉 IoT 보안시장이 급속도로 성장할 전망"이라며 "특히 패스워드의 주기적 변경과 취약점에 대한 정기적인 패치 등 기본적인 사항들이 지켜지지 않고 있어 계속 보안문제가 발생할 것으로 보인다. 공격자들은 이미 라우터를 넘어 다양하고 새로운 IoT 디바이스들을 타깃으로 심각한 공격을 이어갈 것이다. 이에 대한 대비가 필요하다"고 강조했다.

나정주 디지서트 이사의 발표자료는 G-Privacy 2018 등록사이트에서 무료로 다운로드 할 수 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★