사건의 발단을 살펴보면, 올해 3월, 구글과 파이어폭스 조사단은 시만텍이 업계의 규칙을 어기고 127개 SSL인증서를 부당하게 발급한 사실을 확인했다. 이에 더 심도 있는 조사를 진행한 결과, 약 3만개가 넘는 인증서가 부적절하게 발급된 것이 추가로 확인되었다.
시만텍은 세계 최대 CA발급업체중 하나로 이번 사건은 사람들에게 큰 충격을 안겨주었다. 구글은 시만텍의 SSL 인증서 발급 프로세스에 대해 불만을 표시했으며, 크롬에서 시만텍 인증서를 더 이상 신뢰하지 않겠다고 밝힌 것이다.
구글은 시만텍이 특수 도메인 SSL인증서를 신청하는 신청자에 대한 감사를 제대로 진행하지 않았다고 밝혔다. 또한 시만텍 직원들이 인증서 발급 로그를 제대로 감사하지 않았으며 이러한 문제점에 대해서도 개선하지 않았다고 밝혔다.
구글이 시만텍의 부적절한 인증서 발급문제에 대해 경고한 것은 이번이 처음은 아니다. 지난 2015년 9월과 10월, 구글은 시만텍 계열사의 Root CA가 동의 없이 많은 도메인에 대한 수천 개의 인증서를 발급했으며, 이중에는 구글의 하위 도메인 및 존재하지 않은 도메인도 포함되어 있는 것을 확인했다. 구글은 이렇게 발급한 Root CA를 이용해 구글 제품을 위장하거나 사용자의 보안통신 위협 등 다양한 악성행위를 할 가능성이 있었지만, 시만텍은 발급된 인증서 사용처에 대해 자세한 설명을 하지 않았다.
2015년 12월, 구글은 크롬(Chrome), 안드로이드(Android) 및 기타 구글 제품에서 더 이상 시만텍 계열사의 "Class 3 Public Primary CA" 최상위 인증서를 신뢰하지 않기로 한 바 있다.
처음에 시만텍은 이러한 사건들에 대해 "과장과 오해"가 있었다며 부인했다. 하지만 어찌됐건 시만텍은 이러한 결과를 예견하고 있었으며, 합의하기로 결정했다. 지난 7월 28일, 구글은 시만텍이 동의한 제안에 따라, 올해 10월 Chrome으로 예정되어 있었던 계획을 내년 4월(Chrome66)으로 연장했고, 단계적으로 시만텍 SSL 인증서를 완전히 신뢰하지 않기로 결정했다. (정보출처. 이스트시큐리티 알약 블로그)
★정보보안 대표 미디어 데일리시큐!★