구글, “더 이상 시만텍 신뢰하지 못하겠다”

구글, “인증서 오류, 3만여 건에 달해”
시만텍, “크게 과장되어 있으며, 사실이 호도됐다”

[보안뉴스 문가용 기자] 구글의 크롬 엔지니어들이 시만텍(Symantec)을 강력하게 비판했다. 시만텍이 발행한 SSL/TLS 디지털 인증서에서 인증 오류가 자꾸만 발생했기 때문이다. 해당 엔지니어들은 블로그 포스트를 통해 “1월 19일 이후부터 구글은 시만텍 디지털 인증서의 연속적인 인증 실패 원인에 대해 조사해왔다”고 밝히며, “처음엔 127개의 인증서를 조사했는데, 지금은 3만여 개로 불어났다”고 말했다.

구글 크롬의 최상위 인증서 정책(Root Certificate Policy)에 따르면 최상위 인증서 인증기관은 1) 서버 인증서가 도메인 통제 인증(domain control validation)을 수신하고, 2) 로그를 수시로 감사해 불법 인증서 발급이 이뤄지고 있는지 확인해야 하며, 3) 그러한 사기 인증 발급이 애초부터 일어나지 않도록 인프라를 스스로 보호해야 한다.

“시만텍이 공개한 내용만을 비춰 봐도 위 세 가지 사항이 제대로 지켜지지 않고 있다는 걸 알 수 있습니다. 그리고 이는 구글 크롬 사용자들을 굉장히 큰 위험에 빠트리는 결과를 낳습니다.”

이에 구글은 새롭게 배포되는 시만텍 인증서의 유효 기간을 9개월 이하로 줄여나갈 계획이다. 시만텍은 해당 기간 안에 구글에게 재인증을 요청해야 한다. 또한 구글은 시만텍이 발행한 디지털 인증서들의 EV(Extended Validation) 지위 또한 최소 1년 간은 취소시킬 예정이라고 발표했다.

이는 호환성 문제로 이어질 것이라고 구글 엔지니어들은 설명을 이어나갔다. “사용자와 웹사이트 운영자들에게는 특히 직접적인 불편이나 문제가 발생할 것입니다.” 웹사이트 운영자라면 시만텍 외 다른 곳에서 발급된 인증서를 받아야 하고, 사용자는 그 전까지 꽤나 많은 양의 ‘오류 메시지’를 접하게 될 것이라고 구글은 밝혔다.

이에 시만텍도 반박했다. “인증서 발급과 관련된 시만텍의 행위나 오류 등에 대한 구글의 주장은 매우 과장되어 있으며 사실을 호도하고 있다”고 발표한 것이다. 하지만 시만텍으로서 구글의 신뢰를 잃은 마당에, 이를 회복시키는 것 외에 크게 할 수 있는 일이 없어 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)