2024-03-29 00:30 (금)
[G-PRIVACY 2019] 나정주 디지서트 지사장 "SSL OV/EV인증서와 IoT 보안 시장 선도"
상태바
[G-PRIVACY 2019] 나정주 디지서트 지사장 "SSL OV/EV인증서와 IoT 보안 시장 선도"
  • 길민권 기자
  • 승인 2019.04.15 09:40
이 기사를 공유합니다

"주요 기업들이 사용하는 OV/EV인증서, 87%가 디지서트 인증서 사용"

▲ 나정주 디지서트(DigiCert) 지사장이 G-PRIVACY 2019에서 '웹사이트와 IoT 보안의 흐름과 대책'을 주제로 키노트 발표를 진행하고 있다.
▲ 나정주 디지서트(DigiCert) 지사장이 G-PRIVACY 2019에서 '웹사이트와 IoT 보안의 흐름과 대책'을 주제로 키노트 발표를 진행하고 있다.
데일리시큐가 주최하는 상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2019가 4월 10일 1천400여 명의 보안실무자들이 참석한 가운데 양재동 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 나정주 디지서트(DigiCert) 지사장은 '웹사이트와 IoT 보안의 흐름과 대책'을 주제로 키노트 발표를 진행했다. 나 지사장은 한국을 비롯해 인도네시아, 베트남, 파키스탄 지역까지 총괄하고 있다.

◇웹사이트 보안...신뢰도 높은 OV와 EV인증서 사용 증가

'SSL 인증서'란 웹서버와 사용자 구간을 암호화해 ,양자간의 데이타가 중간자에 의해 침해 받지 못하도록 하는 기술을 말한다. SSL 인증서를 적용한 웹사이트는 브라우저의 검색창에 HTTP(Hyper Text Transport Protocol)에서 HTTPS(Hyper Text Transport Protocol over Secure)로 바뀌게 된다.

한편 SSL인증서에는 신뢰 수준에 따라서, DV, OV, EV 등급으로 나뉜다. △DV(Domain Validation)인증서는 가장 기본적인 인증서다. 암호화만 되어져 있고 웹사이트 운영자가 누구인지 알 수 없기 때문에 피싱에 노출되기 쉽다. 주로 소규모 사업자나 개인 운영자가 사용하는 인증서이다.

△OV(Organization Validation)인증서는 암호화 뿐만 아니라 웹사이트의 운영자 정보도 포함되어 있어 중소기업 용으로 쓰이는 인증서이다.

△EV(Extended Validation)인증서는 암호화, 웹사이트 운영자 정보 및 인증서 최고 보안 기능들을 포함하고 있다. 상용 웹사이트, 정부 기관, 은행권과 대기업에서 사용하고 있는 최고 수준의 인증서다.

전세계의 SSL 인증서 제공자인 CA(Certificate Authority)와 브라우저 업체간의 협의체인, CAB 포럼에서는 “HTTPS Everywhere”라는 캠페인을 벌이고 있다. 이는 날로 심해지는 보안 위험으로부터 최소한의 보안 향상, 사용자 신뢰 확보 그리고 브랜드 보호를 제공하고자 함이다.

나정주 지사장은 "브라우저 시장에는 많은 변화가 일어나고 있다. 특히 2018년 하반기 부터 대부분 브라우저 업체에서는 HTTPS가 적용 안 된 사이트 즉 SSL 인증서가 없는 웹사이트에 대해서는 경고 메시지를 사용자에게 보여주고 있다"며 또 "차세대 HTTP인 HTTP2는 HTTPS에서만 구현되게 하는 등 HTTPS에 대해 더욱 강하게 요구 하고 있는 추세다"라고 말했다.

SSL 인증서 동향을 살펴보기 위해 마케팅 전문업체 넷크래프트(Netcraft) 2018년 12월 자료에 따르면, 전세계에서 약 89%의 인증서가 DV이고, 11%가 OV, 1% 미만의 인증서가 EV로 나타나고 있다.

한편 상용 웹사이트 및 주요 기업들이 쓰고 있는 인증서인 OV/EV인증서의 경우, 87%가 디지서트 인증서를 사용하고 있는 것으로 분석되었다.

이 자료는 인증서의 수량에 대한 분석이지만, 실제 전세계의 웹 트래픽을 분석 해 보면, DV가 37.9%로 떨어지고, OV는 49%, EV는 13.2%로 OV와 EV 인증서의 분포가 급격히 증가하고 있는 것을 알 수 있다.

또한 상용 트렌젝션(E-commerce transaction) 분포를 보더라도, DV가 34%로 더욱 분량이 떨어지고 OV가 33%, EV가 33%로 매우 높은 비중을 차지하게 된다.

이에 대해 나 지사장은 "신뢰도가 높은 OV와 EV인증서 사용이 증가하고 있다는 것은 기업 신뢰가 중시되고 보안과 브랜드 보호가 필요한 상용 웹사이트나 주요 기업에서 어떤 인증서를 사용하고 선호하는지를 반증하는 결과라고 할 수 있다"고 밝혔다.

▲ 피싱에 의해 웹사이트가 폐쇄된 인증서가 가장 많이 나오는 CA 업체로 'Let’s encrypt'와 'Sectigo(구 Comodo)'로 결과가 나왔다. 넷크래프트의 2018년 8월 자료.
▲ 피싱에 의해 웹사이트가 폐쇄된 인증서가 가장 많이 나오는 CA 업체로 'Let’s encrypt'와 'Sectigo(구 Comodo)'로 결과가 나왔다. 넷크래프트의 2018년 8월 자료.
한편 그는 "넷크래프트의 2018년 8월 자료에 따르면, 'Blocked Phishing Certificates' 즉 피싱에 의해 웹사이트가 폐쇄된 인증서가 가장 많이 나오는 CA 업체로 'Let’s encrypt'와 'Sectigo(구 Comodo)'로 결과가 나왔다. OV와 EV에 비해 신뢰수준이 낮은 DV인증서는 피싱 위협에 노출될 수 있어 기업들의 DV인증서 사용은 위험하다고 할 수 있다"고 주의를 당부했다.

◇디지서트, IoT 보안 위해 강력한 디바이스 인증 서비스 제공

나정주 지사장은 IoT 보안 위협에 대해서도 언급하며 IoT 보안에 대해 각별히 신경을 써야 한다고 강조했다.

D-2.jpg
사물인터넷(IoT)은 여러 사물(디바이스, 자동차, 빌딩 등)들이 서로 연결되어 상호간 데이터를 모으거나 교류하는 것을 말한다. 마케팅 연구 기관인 IDC는 300억(30B)개의 엔드포인트들이 2020년까지 연결될 것이라고 발표한 바 있다. IDC, 가트너 등 주요 마케팅 연구기관에서는 IoT 보안 시장을 2015년 약 60억 달러에서 2020년도에는 약 300억 정도로 급 성장할 것으로 보고 있다.

나정주 지사장은 "IoT는 여러가지 편리한 점에도 불구하고 보안의 위협이 되고 있다. 이는 기본적인 패스워드 변경이나 주기적인 기본 사항 확인 등으로도 많은 문제를 예방할 수 있다"며 "디지서트 인증서는 IoT 보안을 위해 강력한 디바이스 인증, 엔드포인트들 간의 암호화 그리고 IoT 디바이스에 대한 디지털 서명을 제공해 보안을 강화할 수 있다"고 말했다.

◇디지서트, SSL, PKI, IoT 보안시장 선도 기업

▲ 1,400여 명의 보안실무자가 참석한 G-PRIVACY 2019에서 나정주 디지서트 지사장이 키노트 발표를 하고 있다.
▲ 1,400여 명의 보안실무자가 참석한 G-PRIVACY 2019에서 나정주 디지서트 지사장이 키노트 발표를 하고 있다.
디지서트는 높은 신뢰도를 보장하는 SSL, PKI, IoT 솔루션 선도 업체로 웹사이트와 IoT를 위한 신원확인, 인증, 암호화 솔루션을 제공하는 기업이다. 매일 260억 개 Web connection의 안전한 연결 보장과 글로벌 기업 2천의 83%와 탑 글로벌 은행의 97%가 사용하고 있다. 또한 2017년 10월 시만텍 SSL 사업부문 인수를 통해 업계 최정상의 기술력 확보를 통해 보다 간편한 SSL, PKI & IoT 솔루션을 제공한다.

한편 2018년 10월 계정(Identity) 및 암호화 PKI(공개키 기반구조) 솔루션 분야 글로벌 선도기업 디지서트는 디지털 보안 글로벌 리더 젬알토(Gemalto), 퀀텀-세이프(quantum-safe) 보안 솔루션 분야 선도기업 아이사라(ISARA Corp.)와 양자 컴퓨팅 시대의 사물인터넷(IoT) 보안을 위한 파트너십을 체결했다. 파트너십 체결을 통해 3사는 커넥티드 디바이스를 위한 향상된 퀀텀-세이프(양자 컴퓨팅에서 안전한) 디지털 인증서 및 보안 키 관리 기술 개발을 목표로 하고 있다

아이사라는 포스트-퀀텀 암호화 알고리즘의 구현에 있어 인정받고 있는 선도기업이며, 젬알토는 보안성이 높은 하드웨어 시큐리티 모듈(Hardware Security Modules)을 생산하는 선도기업이다. 이 두 기업의 뛰어난 역량이 디지서트의 역량과 잘 부합해 3사의 협력이 양자 컴퓨팅 시대에 강력한 보안을 제공할 예정이다.

양자 컴퓨팅은 기존의 컴퓨터로는 해결이 어렵거나 불가능한 여러 흥미로운 사안들을 해결하는 데 도움이 될 수 있을 것으로 본다. 하지만 이와 동시에 양자 컴퓨팅은 오늘날 가장 보편적으로 사용되는 두 가지 비대칭 암호화 알고리즘인 RSA와 ECC에 잠재적 위협이 될 가능성이 있다. 구글, IBM 및 아마존 등 많은 선두기업들이 양자 컴퓨터 구축을 위해 투자하고 있다.

나정주 지사장은 "일부 전문가들은 향후 10년 내에 양자 컴퓨팅이 현실이 될 것으로 예측하고 있다. 제품 수명이 긴 커넥티드 디바이스(자동차, 의료기기, 산업시스템 및 주요 인프라)를 구축하고 있는 기업들은 양자 컴퓨팅이 현실화되고 이에 따른 보안 위협이 고비용의 재구축을 초래하기 전에 퀀텀-저항(quantum-resistant: 양자 컴퓨팅에서도 강력한) 보안 구현을 고려할 필요가 있다"며 "은행 및 금융 서비스 제공 기업들은 종종 기술을 빠르게 도입하는 얼리 어답터로서 암호화 민첩성에 대해 거론하며, 양자 컴퓨팅이 대세가 되기 전에 앞서 준비되어야 한다고 얘기하고 있다"고 설명했다.

◇파인앤서비스 인증사업부 써트코리아 "국내 SSL인증 시장 성장 이끌어 갈 것"

▲ G-PRIVACY 2019에 디지서트의 플래티넘파트너사로 참가한 파인앤서비스 전시부스.
▲ G-PRIVACY 2019에 디지서트의 플래티넘파트너사로 참가한 파인앤서비스 써트코리아 전시부스.
한편 이번에 G-PRIVACY 2019에 디지서트의 플래티넘파트너사로 함께 참가한 파인앤서비스(김형후 대표) 인증사업부 써트코리아 국내 SSL 인증서가 활성화 되기도 전인 2001년부터 국내에 SSL 인증 서비스를 시작한 선두주자다.

이 기업은 SSL 인증서 관련 기술 노하우 및 전문 인력을 보유하고 있으며, 지금까지 국내 유수의 기업 및 금융권, 공공기관, 교육기관에 4만여 개 이상의 SSL 인증서를 제공 해 오고 있다.

김형후 파인앤서비스 대표는 "SSL 인증서는 웹사이트 방문자와 웹서버간의 통신을 암호화 된 방식으로 주고받는 통신규약이며, HTTP의 보안기능이 강화된 버전으로 해커가 중간에 데이터를 가로챌 수 없게 한다"며 "특히 2018년 10월 크롬 70버전부터 SSL인증서가 적용되지 않은 경우 주소창에 ‘주의 요함’으로 표시 됨으로 되며 개인정보를 취급하는 웹사이트는 SSL 인증서 설치가 필수적이다"라고 강조했다.

써트코리아는 그동안 쌓아온 4만개 이상의 SSL 발급 경험을 기반으로 최대 강점인 안정성과 기술노하우, 신뢰를 바탕으로 공공기관과 교육기관 영역을 확장하고 소규모 기업의 취약점 진단 및 기술 지원으로 수요 흡수를 확충하겠다는 전략이다.

파인앤서비스의 인증사업부 써트코리아 관계자는 "앞으로도 국내 SSL인증 시장의 성장을 이끌어가는 중추적인 역할을 하고 지속적인 성장을 통해 대한민국을 대표하는 SSL인증서비스 기업으로 자리잡겠다"고 밝혔다.

나정주 디지서트 지사장의 G-PRIVACY 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

[의료기관 컨퍼런스 안내]
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2019
-MPIS 2019 사전등록:
http://conf.dailysecu.com/conference/mpis/2019.html
▶의료기관 및 메디컬 관련 기업 개인정보보호 및 정보보안 실무자만 참석 가능
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★