렛츠인크립트의 무료 인증서 하나, 9월 30일에 만료됐다

입력 : 2021-10-04 10:18

여기 저기 전파해야 할 소식이다. 렛츠인크립트의 인증서 하나가 만료되었으니 업그레이드를 해야 한다는 것이다. 렛츠인크립트가 무료로 인증서를 발급하는 바람에 인증서에 대한 필요가 충족되고 있기는 하지만 반대로 인증서에 대해 무심해지는 사람들도 생기고 있다. 그럴 땐 업데이트 소식을 빨리 전파하는 것이 중요하다.

[보안뉴스 문가용 기자] 무료 인증서를 제공하는 인증 기관(CA)인 렛츠인크립트(Let’s Encrypt)에서 제공하는 최상위 인증서가 종료됨에 따라 많은 웹사이트와 시스템에서 문제가 발생할 것으로 예상된다.


렛츠인크립트는 비영리 단체인 인터넷보안연구그룹(Internet Security Research Group, ISRG)에 소속된 산하 조직으로, HTTPS 인증서를 대량으로 제공하는 기관이기도 하다. 지난 2월 10억 번째 인증서 발급이라는 대기록을 이뤄낸 바 있다. 현재까지 1억 9200만 웹사이트가 렛츠인크립트의 인증서를 활용하는 중이다.

렛츠인크립트의 인증서 중 IdenTrust DST Root CA X3가 지난 9월 30일에 만료됐다. 즉 이 인증서와, 이 인증서를 기반으로 하고 있는 웹사이트들이나 OS, 시스템이나 플랫폼 등은 더 이상 ‘신뢰할 만한 요소’로 인정받지 못한다는 뜻이다.

“최고 인증서 중 하나가 만료가 된다면, 그 인증서에 기반을 둔 다른 인증서들가지 같이 영향을 받습니다. 소프트웨어 디펜던시처럼 뿌리에 얽힌 뭔가가 무너지면 그 위에 있는 다른 것들도 하나 둘 이상 증상을 나타낸다는 것이죠.” 시큐리티헤더(Security Header)의 창립자인 스콧 헬름(Scott Helme)의 설명이다.

이미 지난 5월에도 AddTrust External CA Root이 만료됐을 때 수많은 조직들이 영향을 받은 바 있다. 당시 로쿠(Roku), 스트라이프(Stripe) 등과 같은 조직들의 웹사이트들에서 삐걱거리는 일들이 신고 됐다. 헬름은 “애스트러스트(AddTrust)와 렛츠인크립트는 생태계의 규모 차이가 어마어마하다”고 설명하며, “따라서 이번 렛츠인크립트 인증서의 만료는 더 큰 후폭풍을 가져올 것”이라고 짚었다.

사실 최상위 인증서가 만료된다고 해서 무조건 커다란 문제가 되는 건 아니다. 인증서는 항상 일정 기간이 지나면 만료되는 것이고, 그러므로 새 인증서로 대체시키는 건 흔히 일어나는 일이다. 그리고 그 과정 모두가 투명하게 진행된다. 그렇다면 렛츠인크립트 인증서의 만료는 어떤 점에서 문제가 되는 걸까?

“렛츠인크립트를 무료로 가져다 쓴 클라이언트들이 이 종료일에 대해서 잘 모르는 경우가 대다수이기 때문”이라고 헬름은 설명한다. “무료이고 편안하니까 인증서에 대한 이해도 없이 렛츠인크립트를 가져다 쓴 사람들이 렛츠인크립트 고객들 중에는 많습니다. 그리고는 인증서에 대해 잊어버리는 거죠. 아마 이번 만료에 대해서도 모르고 있고, 따라서 새 것을 다운로드 받지 않은 사람들이 대다수일 겁니다.”

헬름은 자신의 블로그를 통해 IdenTrust DST Root CA X3 만료에 영향을 받을 클라이언트의 목록을 게시했다. 그의 블로그 주소는 이것(https://scotthelme.co.uk/lets-encrypt-old-root-expiration/)이며 게시글의 아래쪽에 클라이언트들의 목록을 찾을 수 있을 것이다. 맥OS 10.12.1 이하 버전, 윈도 XP 서비스팩 3 이하 버전, iOS 10 이하 버전, 오픈SSL 1.0.2 이하 버전, 파이어폭스 50 이하 버전 등이 여기에 포함된다.

그 외에도 팔로알토(Palo Alto), 블루코트(Bluecoat), 시스코 엄브렐라(Cisco Umbrella), 구글 클라우드 모니터링(Google Cloud Monitoring), 오스제로(Auto0), 쇼피파이(Shopify), 퀵북스(QuickBooks), 포티넷(Fortinet) 등과 같은 조직들도 영향이 있을 수 있다고 헬름은 강조했다.

렛츠인크립트 측은 공식 트위터 채널을 통해 “오류가 발생하는 경우 커뮤니티 포럼에 마련된 픽스를 활용하라”고 사용자들에게 알리고 있다. 또한 헬름의 우려와 달리 “평소보다 많은 사람들이 현재 새 버전을 다운로드 하고 있다”고 하며 “인증서 다운로드가 원활하지 않을 수 있다”고도 밝혔다.

3줄 요약
1. 무료 인증서 발급 기관인 렛츠인크립트의 인증서 하나가 9월 30일에 만료됨.
2. 하지만 렛츠인크립트 인증서는 무료이기 때문에 사람들이 업데이트에 관심이 없음.
3. 이 때문에 꽤나 많은 조직과 시스템, 플랫폼과 웹사이트에서 이상 증상이 나타날 것으로 우려됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 2

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 3

  MS의 로우코드 플랫폼 파워페이지스, 사용자...

• 4

  최고의 ‘보안 강연자’를 선발하다... IS...

• 5

  개인정보 유출 사고 대응방안 논의... 공공...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...