프랑스 인증기관인 ANSSI(Agence nationale de la securite des systemes d'information)가 일부 구글 도메인에 가짜 디지털 인증서를 발급한 것으로 알려져 파문이 일고 있다.
 
구글은 12월 초 이러한 사실을 발견하고, ANSSI가 발급한 가짜 인증서의 사용을 즉시 차단했다.
 
ANSSI는 성명서를 통해 “가짜 인증서 발급은 ‘사람의 부주의(human error)’에서 비롯된 것이며, IT 보안을 강화하는 과정에서 발생했다”며, “이로 인해 프랑스 정부나 일반 대중에 미치는 영향은 없을 것”이라고 밝혔다.

 
그러나 구글은 이를 심각한 보안 침해 사고로 규정지었다. 가짜 인증서를 통해 중간자 공격(man in the middle attack, MITM)이나 피싱 혹은 스푸핑 공격을 할 수 있기 때문이다. 중간자 공격이란 네트워크 통신을 조작해 통신 내용을 도청하거나 조작하는 공격 기법이다.
 
구글은 ANSSI가 발급한 가짜 인증서가 암호화된 트래픽을 감시하기 위한 목적으로 특정 네트워크 상에 있는 장비에 이용됐다고 설명했다. SSL 트래픽을 검열하는 것은 조직이 자체 네트워크 상에서 데이터 유출이나 악성코드로 인한 악의적인 연결이 일어났을 때 이를 방지하기 위한 목적으로 이용될 수 있다.
 
비록 해당 네트워크 상에 있는 사용자들에게 이 사실을 공지했다고는 하지만, 이는 ANSSI가 절차를 위반했다고 볼 수 있다. 이에 구글은 인증서 발급에 대한 투명성을 높일 필요성이 있다고 주장하고 나섰다. 인증서를 모니터링하고 감사를 실시해서 불법적으로 발급되는 일이 없도록 하는 프레임워크를 구축해야 한다는 것.
 
하지만 가짜 인증서가 발급되는 사고는 이번이 처음이 아니다. 2011년 네덜란드 인증기관인 디지노타(DigiNotar)가 해킹돼 수백건의 가짜 인증서가 발급된 바 있다. 이로 인해 이란에서는 지메일 사용자들이 정보 탈취 등의 피해를 입은 사례가 보고되기도 했다. 
 
미 국가안보국(NSA)도 과거에 가짜 인증서를 통해 구글에 중간자 공격을 감행한 바 있는 것으로 알려졌다. 
 
데일리시큐 호애진 기자 ajho@dailysecu.com