데일리그리드
정보산업
닷네임코리아, 구글 크롬 브라우저 “안전함” 표기 후 오히려 피싱 사이트 증가
조남욱 기자  |  sun@sundog.kr
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2017.11.28  
트위터 페이스북 google 링크드인 밴드 카카오톡
   
▲ 피싱사이트 예시: 실제 애플과 관련이 없는 피싱 사이트임에도 SSL인증서를 설치함으로 크롬에서 Secure(안전함)으로 표기되어짐

기업 신원 정보 제공하지 않는 저가형 인증서 취약점 이용한 피싱 사이트 급증

IT 인프라 보안 전문기업 닷네임코리아(대표 강희승)가 저가형 인증서인 DV SSL(Domain-Validated Secure Sockets Layer)의 취약점을 이용한 피싱 사이트 피해가 구글에서 "안전함" 표기 이후 오히려 더 증가하고 있어 주의가 필요하다고 밝혔다.

SSL 인증서는 인증 방법에 따라 크게 DV(Domain-Validated), OV(Organization-Validated), EV(Extended-Validation) 세 가지 유형으로 나누어 진다. 이 중 DV SSL은 OV SSL, EV SSL과 비교하여 저렴한 가격과 별도의 기업심사 없이 발급된다는 특징이 있어 많은 글로벌 인증서 제공 기업들이 이러한 발급의 편의성을 강점으로 내세우며 인증시장에서 점유율을 확보해 왔다.

넷크래프트(Netcraft)에 의하면, 전 세계적으로 DV SSL의 수요는 지난 해 대비하여 무려 335%가 증가했다.

   
▲ 2017년 적용된 DV SSL은 19,344,017건으로 2016년 대비 335% 증가했다. (자료출처: 넷크래프트)

이 같은 DV SSL에 대한 전 세계적인 수요는 DV SSL을 무료로 제공하는 렛츠 인크립트(Let’s Encrypt)의 영향이 크다는 분석이 나오고 있다. 렛츠 인크립트가 무상으로 DV SSL을 공급함에 따라 기존 유료 인증서를 사용하고 있던 많은 기업들의 주목을 받으면서, 이 같은 DV SSL 수요 증가를 견인하고 있다는 것이다.

이러한 DV SSL의 성장세와 맞물려 구글(Google)은 크롬(Chrome) 55 버전부터 인증서를 적용하는 웹사이트에 대해서 브라우저 상에 "안전함"을 표기하는 정책을 시행했다.

크롬 브라우저 상에서는 인증서만 적용되어 있으면 사이트 접속 시 "안전함"으로 표기가 되기 때문에 일반 사용자의 입장에서는 인증서가 정상 설치된 사이트에 대해서 직관적으로 ‘안전하다’ 라고 인식하게 된다.

문제는 피싱 사이트에서 이 점을 악용하여 손쉽게 발급되는 DV SSL인증서를 발급 받아 불법 웹사이트의 안전성을 확보하고 있다는 것이다.

   
▲ 표기 예시: DV SSL(왼쪽)은 안전함 표기만 있는 반면, EV SSL(오른쪽)은 인증된 회사명이 명확하게 표기되어 있다.

넷크래프트에 따르면, 구글 크롬의 "안전함" 표기 정책 시행 이후, 피싱 사이트들이 렛츠 인크립트와 같은 무료 인증서를 사이트에 적용한 후, "안전함" 표기를 미끼로 하여 피싱에 성공한 사례가 급속하게 증가하고 있다.

브라우저 기술표준 협의체(CAB Forum)에서는 이 같은 SSL에 대한 크롬 표기 정책을 문제 삼고, 사용자에게 막연한 정보를 제공하는 것이 아니라 인증서 유형별로 명확하게 정의된 보안 정보를 제공하여 혼란을 막아야 하며, 사용자에게 인증서의 유형 별 차이점과 각 브라우저 별 표기 방식에 대한 교육이 필요함을 강조했다.

닷네임코리아 강희승 대표는 "안전함이라는 단어의 의미 자체가 사람들이 방심하기 쉽게 하므로, 안전함이라는 표기 대신 사용자가 좀더 신중하고 객관적으로 판단할 수 있게 하는 암호화됨, 보안접속 등의 좀더 사실적이고 전문적인 명칭을 사용하자는 의견이 전문가들 사이에서 많이 제안되고 있고, 파이어폭스에서는 도메인주소만 진하게 표기하여 피싱을 방지하도록 하고 있다"며 "DV, OV, EV 각각의 인증서 유형에 따라 브라우저 별로 표기되는 방식이 다른데, 이 같이 피싱의 위협이 증가하고 있다면 DV SSL을 사용하는 것보다는 웹사이트의 실체성과 회사명을 브라우저 상에 명확히 표기해주는 EV SSL을 사용하여 DV SSL의 단점을 보완하는 것이 바람직한 방향”이라고 말했다.

한편, 닷네임코리아는 국내 보안인증분야에서 시만텍(Symantec), 지오트러스트(Geotrust), 써트(Thawet), 코모도(Comodo) 인증서 공급 브랜드 애니서트(Anycert)를 통해 SSL인증서 및 응용프로그램 인증서를 안정적으로 제공하고 있으며, 무료로 보안 컨설팅 캠페인을 지속적으로 진행해오고 있다.

[오피니언 리더가 만드는 심층뉴스 '데일리썬'] [IT보고서 총집합 '마이닝독']
< 저작권자 © 데일리그리드 무단전재 및 재배포금지 >
조남욱 기자의 다른기사 보기  
페이스북 공유하기 트위터 공유하기
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 google 링크드인 밴드 카카오톡
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
신문사소개기사제보광고문의불편신고개인정보취급방침이메일무단수집거부청소년보호정책
서울시 중구 수표로 72-13, 401호 (수표동, 대한전기회관)   |  대표전화 : 02) 749-3205  |  팩스 : 02) 749-3207
정기간행물ㆍ등록번호 : 서울 아 00378  |  발행.편집인 : 장영신  |  등록일 : 2007.05.28  |  발행일 : 2007.05.30  |  청소년보호책임자: 심재형
Copyright © 2011 데일리그리드. All rights reserved. mail to grid@dailygrid.net