IT 인프라 보안 전문기업 닷네임코리아(대표 강희승)가 저가형 SSL 인증서의 취약점에 대하여 경고했다.

저가형 인증서는 저렴한 가격과 심사 없는 빠른 발급이 특징으로 많은 글로벌 인증서 제공 기업들이 이러한 발급의 편의성을 강점으로 내세우며 인증시장에서 점유율을 확보해 왔다.

하지만 지난 2011년 9월 유럽의 인증기관인 글로벌사인(Global Sign)이 해킹을 당하여 수 천 개의 웹사이트가 차단되는 사건이 발생했다. 당시 글로벌사인의 주요 고객사인 위키피디아(Wikipedia), 파이낸셜 타임즈(Financial Times)는 물론 글로벌사인 자체 서버까지 문제를 일으켜 논란이 되었고, 조사 결과 글로벌사인 자체 시스템의 문제로 확인되었다.

소프트웨어 및 SSL 인증서 제공 기업 코모도(Comodo) 역시 과거 인증서가 해킹 당하여 허위 인증서가 생성된 사건이 발생한 바 있다. 코모도의 두 종류의 인증서가 해킹 당하여 구글, 야후, 마이크로소프트 및 기타 주요 웹 사이트에 사기성 디지털 인증서가 발급되었다.

여러 심사과정을 거쳐 발급되는 OV, EV 등의 고급형 인증서는 전세계적으로 시만텍(Symantec)이 가장 높은 점유율을 보유하고 있다.

최근 시만텍 인증서의 신뢰성 재고에 대한 구글의 제안이 발표되면서 한국의 기업 보안 분야의 SSL인증 발급기업들이 시만텍 인증서 이용 고객을 대상으로 전환 프로모션을 활발히 진행하고 있다. 하지만 일정 심사 없이 비용만 지불하면 누구에게나 발급되는 발행 방식의 저가형 인증서로의 전환에는 신중을 기할 필요가 있다.

8월 3일 시만텍이 디지서트에 매각됨에 따라 구글 제안은 새로운 국면으로 접어 들었으며 구글 70버전부터 적용되는 시만텍 인증서 불신 일정에도 충분한 변화가 예상된다.

강희승 닷네임코리아 대표는 "구매자에게 저가의 인증서는 상당히 매력적으로 비춰질 수 있지만, 강력한 보안을 제공하는 저렴한 비용의 인증서는 현실적으로 존재하기 힘들다"라며 "인증서 제공 업체들이 저가 경쟁에 몰두하기보다는 사용자 입장에서 신뢰할만한 서비스와 올바른 발급 시스템을 갖추는 데 집중해야 한다"고 말했다.

한편, 닷네임코리아는 국내 보안인증분야 1위의 애니서트를 통해 SSL인증서 및 응용프로그램 인증서를 안정적으로 제공하고 있으며, 무료로 보안 컨설팅 캠페인을 지속적으로 진행해오고 있다.

김용수 기자
저작권자 © 데일리그리드 무단전재 및 재배포 금지