세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
페이스북, 인증서 모니터링 및 관리 위한 개발자 도구 발표
  |  입력 : 2017-12-18 15:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인증서 투명성 모니터링 위한 새로운 인터페이스 두 개 발표
페이스북 개발자들은 올해부터 활용 가능...중간자 공격 감소 기대


[보안뉴스 문가용 기자] 페이스북은 지난 해 12월 인증서 투명성 모니터링(Certificate Transparency Monitoring)이라는 유틸리티를 발표한 바 있다. 그리고 1년이 지났다. 페이스북은 올해 이 인증서 투명성 모니터링 서비스를 사용하는 개발자들을 위한 새로운 툴을 발표했다.

[이미지 = iclickart]


지난 해 발표된 인증서 투명성 모니터링이란, 페이스북의 여러 가지 서비스들을 통해 TLS 인증서가 발급되는 현황을 살피고, 그 과정에서 수집된 데이터에 접근할 수 있도록 해주는 기능을 가지고 있다. TLS 인증서가 잘못 발급되면 인증서 투명성(Certificate Transparency)라는 프레임워크를 사용해 HTTPS 트래픽을 가로챈다.

이 툴이 있으니 개발자들은 수백 가지나 되는 인증서들 중에서 자기에게 필요하거나 목적에 맞는 인증서를 쉽게 검색하고, 새로운 인증서를 새 도메인에 사용할 목적으로 발급할 때 필요한 경고를 받을 수 있게 된다. 가짜 인증서 등을 통한 중간자 공격을 방어하는 데 있어 유용한 기능이다.

여기에 더해 페이스북은 이번에 웹훅스 API(Webhooks API)를 발표했다. 개발자들이 외부 소스로부터 주기적으로 인증서들을 끌어오거나 알람이 울리기를 기다리는 대신 능동적으로 웹훅(webhook)을 등록하고 모니터링을 위한 도메인을 규정하도록 하는 도구다. 이 API를 통해 등록한 도메인에 새로운 인증서가 발급될 때마다, 인증서와 관련된 정보가 개발자의 엔드포인트로 전송된다.

여기에 더해 페이스북은 또 다른 API도 공개 배포하기 시작했다. 이 API의 기능은 인증서들에 대한 요청 전송을 프로그램화할 수 있게 해주는 것이다. 즉, 수백만 건의 인증서 정보를 상세히 받고 분석하는 게 쉽지 않은 일이라는 것에 착안해, 요청에 상당하는 도메인 이름들에 대핸 인증서 메타데이터를 제공하는 것이다.

앞으로 인증서 투명성 기능을 활용하기로 한 개발자들이라면, 자신들의 도메인에 대한 인증서가 새로 발급될 때마다 이메일로 해당 인증서에 대한 정보를 받게 될 것이다. 이 서비스는 욜해부터 시작되며, 푸시 알림을 통해 모두가 인증서 업데이트 현황을 볼 수 있게 된다. developers.facebook.com/tools/ct를 구독하는 개발자들은 전부 이 기능을 활용할 수 있다.

현재 페이스북은 20개의 인증서 투명성 로그를 공개적으로 관리하고 있다. 또한 매일 2500개의 알림 메시지를 내보낸다. 매 시간 투명성 로그에 등록되는 새 인증서의 수는 4만여 개에 이르며, 이는 내년에 더 많아질 예정이다. 구글 크롬이 모든 웹사이트 인증서가 인증서 투명성 로그에 로그인 되도록 정책을 바꿀 것이기 때문이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#인증   #API   #관리   #도구   #중간자   #공격   


   2018 평창 동계올림픽, 그 현장 속으로!

SPONSORED
비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
4차 산업혁명의 본격적인 출발점이 되는 2018년, ICBM+AI로 대변되는 4차 산업혁명의 기반 기술 가운데 보안 이슈와 함께 가장 많이 언급될 키워드는 무엇일까요?
사물인터넷(IoT)
클라우드(Cloud)
빅데이터(Bigdata)
모바일(Mobile)
인공지능(AI)
기타(댓글로)