Home > 전체기사

렛츠인크립트의 무료 인증서 하나, 9월 30일에 만료됐다

  |  입력 : 2021-10-04 10:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여기 저기 전파해야 할 소식이다. 렛츠인크립트의 인증서 하나가 만료되었으니 업그레이드를 해야 한다는 것이다. 렛츠인크립트가 무료로 인증서를 발급하는 바람에 인증서에 대한 필요가 충족되고 있기는 하지만 반대로 인증서에 대해 무심해지는 사람들도 생기고 있다. 그럴 땐 업데이트 소식을 빨리 전파하는 것이 중요하다.

[보안뉴스 문가용 기자] 무료 인증서를 제공하는 인증 기관(CA)인 렛츠인크립트(Let’s Encrypt)에서 제공하는 최상위 인증서가 종료됨에 따라 많은 웹사이트와 시스템에서 문제가 발생할 것으로 예상된다.

[이미지 = utoimage]


렛츠인크립트는 비영리 단체인 인터넷보안연구그룹(Internet Security Research Group, ISRG)에 소속된 산하 조직으로, HTTPS 인증서를 대량으로 제공하는 기관이기도 하다. 지난 2월 10억 번째 인증서 발급이라는 대기록을 이뤄낸 바 있다. 현재까지 1억 9200만 웹사이트가 렛츠인크립트의 인증서를 활용하는 중이다.

렛츠인크립트의 인증서 중 IdenTrust DST Root CA X3가 지난 9월 30일에 만료됐다. 즉 이 인증서와, 이 인증서를 기반으로 하고 있는 웹사이트들이나 OS, 시스템이나 플랫폼 등은 더 이상 ‘신뢰할 만한 요소’로 인정받지 못한다는 뜻이다.

“최고 인증서 중 하나가 만료가 된다면, 그 인증서에 기반을 둔 다른 인증서들가지 같이 영향을 받습니다. 소프트웨어 디펜던시처럼 뿌리에 얽힌 뭔가가 무너지면 그 위에 있는 다른 것들도 하나 둘 이상 증상을 나타낸다는 것이죠.” 시큐리티헤더(Security Header)의 창립자인 스콧 헬름(Scott Helme)의 설명이다.

이미 지난 5월에도 AddTrust External CA Root이 만료됐을 때 수많은 조직들이 영향을 받은 바 있다. 당시 로쿠(Roku), 스트라이프(Stripe) 등과 같은 조직들의 웹사이트들에서 삐걱거리는 일들이 신고 됐다. 헬름은 “애스트러스트(AddTrust)와 렛츠인크립트는 생태계의 규모 차이가 어마어마하다”고 설명하며, “따라서 이번 렛츠인크립트 인증서의 만료는 더 큰 후폭풍을 가져올 것”이라고 짚었다.

사실 최상위 인증서가 만료된다고 해서 무조건 커다란 문제가 되는 건 아니다. 인증서는 항상 일정 기간이 지나면 만료되는 것이고, 그러므로 새 인증서로 대체시키는 건 흔히 일어나는 일이다. 그리고 그 과정 모두가 투명하게 진행된다. 그렇다면 렛츠인크립트 인증서의 만료는 어떤 점에서 문제가 되는 걸까?

“렛츠인크립트를 무료로 가져다 쓴 클라이언트들이 이 종료일에 대해서 잘 모르는 경우가 대다수이기 때문”이라고 헬름은 설명한다. “무료이고 편안하니까 인증서에 대한 이해도 없이 렛츠인크립트를 가져다 쓴 사람들이 렛츠인크립트 고객들 중에는 많습니다. 그리고는 인증서에 대해 잊어버리는 거죠. 아마 이번 만료에 대해서도 모르고 있고, 따라서 새 것을 다운로드 받지 않은 사람들이 대다수일 겁니다.”

헬름은 자신의 블로그를 통해 IdenTrust DST Root CA X3 만료에 영향을 받을 클라이언트의 목록을 게시했다. 그의 블로그 주소는 이것(https://scotthelme.co.uk/lets-encrypt-old-root-expiration/)이며 게시글의 아래쪽에 클라이언트들의 목록을 찾을 수 있을 것이다. 맥OS 10.12.1 이하 버전, 윈도 XP 서비스팩 3 이하 버전, iOS 10 이하 버전, 오픈SSL 1.0.2 이하 버전, 파이어폭스 50 이하 버전 등이 여기에 포함된다.

그 외에도 팔로알토(Palo Alto), 블루코트(Bluecoat), 시스코 엄브렐라(Cisco Umbrella), 구글 클라우드 모니터링(Google Cloud Monitoring), 오스제로(Auto0), 쇼피파이(Shopify), 퀵북스(QuickBooks), 포티넷(Fortinet) 등과 같은 조직들도 영향이 있을 수 있다고 헬름은 강조했다.

렛츠인크립트 측은 공식 트위터 채널을 통해 “오류가 발생하는 경우 커뮤니티 포럼에 마련된 픽스를 활용하라”고 사용자들에게 알리고 있다. 또한 헬름의 우려와 달리 “평소보다 많은 사람들이 현재 새 버전을 다운로드 하고 있다”고 하며 “인증서 다운로드가 원활하지 않을 수 있다”고도 밝혔다.

3줄 요약
1. 무료 인증서 발급 기관인 렛츠인크립트의 인증서 하나가 9월 30일에 만료됨.
2. 하지만 렛츠인크립트 인증서는 무료이기 때문에 사람들이 업데이트에 관심이 없음.
3. 이 때문에 꽤나 많은 조직과 시스템, 플랫폼과 웹사이트에서 이상 증상이 나타날 것으로 우려됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)