세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
페이스북, 인증서 모니터링 및 관리 위한 개발자 도구 발표
  |  입력 : 2017-12-18 15:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인증서 투명성 모니터링 위한 새로운 인터페이스 두 개 발표
페이스북 개발자들은 올해부터 활용 가능...중간자 공격 감소 기대


[보안뉴스 문가용 기자] 페이스북은 지난 해 12월 인증서 투명성 모니터링(Certificate Transparency Monitoring)이라는 유틸리티를 발표한 바 있다. 그리고 1년이 지났다. 페이스북은 올해 이 인증서 투명성 모니터링 서비스를 사용하는 개발자들을 위한 새로운 툴을 발표했다.

[이미지 = iclickart]


지난 해 발표된 인증서 투명성 모니터링이란, 페이스북의 여러 가지 서비스들을 통해 TLS 인증서가 발급되는 현황을 살피고, 그 과정에서 수집된 데이터에 접근할 수 있도록 해주는 기능을 가지고 있다. TLS 인증서가 잘못 발급되면 인증서 투명성(Certificate Transparency)라는 프레임워크를 사용해 HTTPS 트래픽을 가로챈다.

이 툴이 있으니 개발자들은 수백 가지나 되는 인증서들 중에서 자기에게 필요하거나 목적에 맞는 인증서를 쉽게 검색하고, 새로운 인증서를 새 도메인에 사용할 목적으로 발급할 때 필요한 경고를 받을 수 있게 된다. 가짜 인증서 등을 통한 중간자 공격을 방어하는 데 있어 유용한 기능이다.

여기에 더해 페이스북은 이번에 웹훅스 API(Webhooks API)를 발표했다. 개발자들이 외부 소스로부터 주기적으로 인증서들을 끌어오거나 알람이 울리기를 기다리는 대신 능동적으로 웹훅(webhook)을 등록하고 모니터링을 위한 도메인을 규정하도록 하는 도구다. 이 API를 통해 등록한 도메인에 새로운 인증서가 발급될 때마다, 인증서와 관련된 정보가 개발자의 엔드포인트로 전송된다.

여기에 더해 페이스북은 또 다른 API도 공개 배포하기 시작했다. 이 API의 기능은 인증서들에 대한 요청 전송을 프로그램화할 수 있게 해주는 것이다. 즉, 수백만 건의 인증서 정보를 상세히 받고 분석하는 게 쉽지 않은 일이라는 것에 착안해, 요청에 상당하는 도메인 이름들에 대핸 인증서 메타데이터를 제공하는 것이다.

앞으로 인증서 투명성 기능을 활용하기로 한 개발자들이라면, 자신들의 도메인에 대한 인증서가 새로 발급될 때마다 이메일로 해당 인증서에 대한 정보를 받게 될 것이다. 이 서비스는 욜해부터 시작되며, 푸시 알림을 통해 모두가 인증서 업데이트 현황을 볼 수 있게 된다. developers.facebook.com/tools/ct를 구독하는 개발자들은 전부 이 기능을 활용할 수 있다.

현재 페이스북은 20개의 인증서 투명성 로그를 공개적으로 관리하고 있다. 또한 매일 2500개의 알림 메시지를 내보낸다. 매 시간 투명성 로그에 등록되는 새 인증서의 수는 4만여 개에 이르며, 이는 내년에 더 많아질 예정이다. 구글 크롬이 모든 웹사이트 인증서가 인증서 투명성 로그에 로그인 되도록 정책을 바꿀 것이기 때문이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)