"해커들의 공격 타깃 중심에 서있는 IoT 디바이스, 2020년에는 300억 개가 넘는 IoT 디바이스가 지구상에 존재할 전망이다. 따라서 IoT 디바이스에 대한 해커들의 공격은 더욱 거세지고 다변화될 것이다. 디지서트는 IoT 보안에 선도기업으로 IoT 기기에 대한 인증, 암호화, 무결성을 제공한다. 불법적 사용자가 들어올 수 없도록 하고 통신 내용을 암호화하고 또 데이터가 위변조 되지 않았다는 것을 보장해 사용자와 IoT 기기를 보호한다." -나정주 디지서트 이사, PASCON 2018에서-

데일리시큐가 주최한 하반기 최대 개인정보보호&정보보안 컨퍼런스 PASCON 2018이 지난 10월 25일 양재동 더케이호텔서울 가야금홀에서 1,000여 명의 정보보안 실무자가 참석한 가운데 성황리에 개최됐다.

이 자리에서 나정주 디지서트 이사는 '웹 보안과 IoT 보안의 흐름'을 주제로 키노트 강연을 진행해 큰 관심을 끌었다.

SSL인증서라고 해서 다 같은 인증서가 아니다

나 이사는 "SSL 인증서는 사용자와 서버간 통신 데이터를 암호화하는 것이다. 그리고 암호화 수준에 따라 가장 낮은 수준의 DV부터 OV 그리고 최상위 레벨인 EV 등으로 SSL인증서 신뢰도를 구분하고 있다"며 "초기 SSL인증서는 암호화에 초점이 맞춰졌지만 최근에는 얼마나 신뢰할 수 있는 SSL인지가 더욱 중요한 잣대가 되고 있다. 따라서 미국과 유럽 등 선진국 정부 및 공공기관 웹사이트는 의무적으로 EV인증서를 사용하고 있고 글로벌 은행과 대기업 대부분도 신뢰도가 높은 EV인증서를 적용하고 있다"고 설명했다.

DV인증서는 단순 암호화와 도메인 확인 수준이다. 발급도 빠르고 간단하며 무료 혹은 저렴하다. 주소창에 자물쇠도 보여 안전한 사이트로 오해할 수 있다. 하지만 신뢰도는 많이 떨어진다. 피싱 공격자들이 저렴하고 발급도 빠른 DV인증서를 적용한 피싱 사이트를 제작해 사용자를 속이고 피해를 주고 있기 때문이다. 주소창에 HTTPS로 시작하고 자물쇠 표시가 보인다 해도 피싱사이트인지 아닌지 의심해야 하는 상황이다.

나정주 이사는 "SSL인증서라고 다 같은 인증서가 아니다. 마이크로소프트사는 위험사이트의 DV인증서에 대해 폐기를 진행할 예정이다. 또 지난해 구글 등 브라우저 업체들은 C사와 L사에서 발행한 공짜 혹은 저가 DV인증서를 적용한 사이트를 차단했다. C사는 2,100건, L사는 3,109건에 달한다. 모두 피싱에 노출된 인증서였기 때문"이라며 "DV인증서를 적용한 사이트에 접속할 때 사용자들은 각별한 주의를 기울여야 한다. HTTPS라고 해서 안전하다고 생각하면 오산이다. 피싱 공격자들은 이를 노리고 무료나 값싼 DV인증서를 발급받아 피싱사이트를 만들고 이용자들의 정보와 돈을 노리고 있다"고 주의를 당부했다.

다음 레벨인 OV인증서는 조직에 대한 심사와 인증서 신청자를 확인하고 도메인에 대한 권한심사, 인증서에 기업정보 표기가 이루어지며 하루에서 이틀 내에 발급받을 수 있다.

한편 최상위 레벨의 신뢰수준을 갖고 있는 EV인증서는 조직에 대한 확대 심사와 주소창에 그린바로 보여지며 기업 조직명이 주소창에 표기된다. 가장 강력한 신뢰를 제공하며 발급일도 3일에서 7일까지 소요된다.

SSL인증서에 대한 중요도는 날로 높아지고 있다. 브라우저 시장에서 가장 높은 점유율을 차지하고 있는 구글 크롬은 https가 아닌 사이트에는 주소창 앞쪽에 'Not secure'를 표기하고 있다. 신뢰할 수 없는 사이트라는 것을 사용자에게 알려주기 위한 구글의 정책이다. 파이어폭스도 http에서는 위치정보서비스를 중단했고 애플사도 CT(인증서 유효성) 확인을 시작했다. MS는 신뢰도가 떨어지는 DV인증서를 폐기하려고 준비하고 있다.

이처럼 브라우저 시장에서 https에 대한 요구는 강력하며 향후 더욱 강화될 전망이다. 이용자 보호와 웹사이트를 서비스하는 조직의 안전을 위해서다. 즉 국내 정부, 공공기관 사이트를 비롯해 기업들도 이용자 보호를 위해 SSL인증서를 적극 도입해야 하고 SSL인증서를 도입할 때도 신뢰도가 낮고 피싱 공격 우려가 있는 DV인증서를 도입할 것이 아니라 신뢰도 높은 EV인증서 도입을 적극 고려해야 할 것으로 보인다.

글로벌 정부기관 웹사이트, HTTP에서 HTTPS로 전환이 대세

현재 한국의 행정전자서명 인증관리센터(GPKI)의 일부 사이트를 모바일에서 크롬과 사파리, 파이어폭스 브라우저로 접속했을 때 '연결이 비공개로 설정되어 있지 않습니다'란 경고문구와 함께 피싱 사이트일 가능성 즉 신뢰할 수 없다는 경고를 하고 있다. 다시 말해 크롬과 사파리 등 글로벌 브라우저 업체들은 GPKI(정부 공개키 기반 구조)의 보안수준을 신뢰할 수 없다는 것이다. 한국도 크롬 브라우저 점유율이 56%에 달하는 만큼 개선해야 할 부분이다.

나정주 이사는 "최근 브라우저 변화를 보면 HTTPS가 아닌 연결에 대해 경고 메시지를 표기하고 글로벌 정부기관 웹사이트는 HTTP에서 HTTPS로 전환하고 있다. 또 브라우저의 주요 기능들이 HTTPS에서만 구현될 예정이며 HTTP2는 HTTPS에서만 구현 가능하다. Referrer Data도 HTTPS를 통해서만 가능하다"고 전했다.

2016년 대비 17년에 IoT 공격은 600%나 급증

이어서 나 이사는 IoT 보안 이슈로 주제를 옮겼다. IoT 타깃 공격은 감염대상 기기가 많고 보안관리가 안되고 있어 현재 초보적인 해킹 공격에도 무방비상태다. 최근 한국을 타깃으로 한 해킹 공격 대부분이 사물인터넷(IoT) 기기에 집중되고 있으며 라우터, CCTV, DVR 등이 대표적인 타깃이다.

나 이사는 "IDC 조사에 따르면 2020년 IoT 기기는 300억 개에 달할 전망이다. 해커들은 인터넷에 연결돼 있는 IoT 기기를 쇼단 검색에서 너무 쉽게 찾을 수 있고 즉시 공격 타깃이 될 수 있다. IoT 기기를 공격하는 목적으로는 '정보수집'이 90%를 차지하고 있다. 획득한 정보로 2차 공격을 하기 위해서다. 한편 한국은 미국, 인도, 일본, 대만, 우크라이나에 이어 7번째로 많은 타깃 공격을 받고 있다고 조사됐다"며 "2016년 대비 17년에 IoT 공격은 600%나 급증했다. 공격자들은 이미 라우터를 넘어 DVR, 모뎀, NAS, IP카메라 등 다양한 기기를 공격하고 있다"고 말했다.

또 그는 "기하급수적으로 늘어나는 IoT 기기를 이용한 공격의 규모도 더욱 급증할 것으로 보인다. 따라서 IoT 기기와 사용자간 그리고 기기와 기기간 통신 데이터 암호화와 비인가자 접속 차단, 데이터 무결성 확보 등 IoT 산업에서도 해킹위협에 대비해야 한다"고 강조했다.

디지서트, 양자컴퓨팅 시대 대비해 기술 개발...IoT 보안분야 선도

디지서트(DigiCert)는 OV와 EV 인증서 시장에서 글로벌 점유율이 55%로 1위 기업이며 한국에서도 마찬가지로 56% 점유율로 1위를 차지하고 있는 SSL인증서 시장의 선두 기업이다. 더불어 CA포럼 창립 멤버이며 IoT와 블록체인 보안 분야도 선도하고 있다. 글로벌 2000 기업중 83%가 사용하고 있고 글로벌 은행 97개사가 사용하고 있다.

마지막으로 나정주 이사는 "IoT와 블록체인 보안 그리고 SSL인증서 보안에 새로운 문제가 대두되고 있다. 바로 양자컴퓨팅 기술이다. 기존 컴퓨팅과 비교되지 않는 속도로 암호를 풀 수 있는 시대가 오고 있는 것이다. IBM, 구글, 아마존 등이 실제 테스트를 진행하고 있으며 전문가들은 10년 혹은 30년 내로 양자컴퓨팅이 일반화될 것이라고 말한다"며 "이에 대비해 계정(Identity) 및 암호화 PKI(공개키 기반구조) 솔루션 분야의 글로벌 선도기업 디지서트는 젬알토(Gemalto), 아이사라(ISARA)와 양자컴퓨팅 시대의 사물인터넷(IoT) 보안을 위한 파트너십을 체결했다. 이번 파트너십 체결을 통해 3사는 커넥티드 디바이스를 위한 향상된 퀀텀-세이프(quantum-safe: 양자 컴퓨팅에서 안전한) 디지털 인증서 및 보안 키 관리 기술 개발을 준비하고 있다"고 전했다.

나정주 디지서트 이사의 PASCON 2018 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★