‘한국전자인증’이 말하는 2018 웹시큐리티 동향과 IoT 보안

‘2018 웹시큐리티 동향과 IoT보안’ 주제로 6월 1일 PIS FAIR 2018에서 강연

[보안뉴스 이은비 기자] SSL인증서란 웹사이트 로그인 또는 회원가입 시 개인정보 데이터를 암호화하여 안전하게 송수신할 수 있도록 해주는 인증서이다. 만약 회원가입 시 개인정보를 입력하려고 할 때 웹서버에 SSL인증서가 설치되어 있으면 개인정보가 암호화되어 타인에게 노출되지 않고, 정보를 안전하게 전송해 탈취당하더라도 해독할 수 없게 해준다.

SSL 인증서는 신뢰수준에 따라 3가지로 나뉘는데, 도메인 인증을 하는 DV(Domain Validation), 조직인증을 하는 OV(Organization Validation), 조직 확장검증을 해주는 EV(Extended Validation) 인증서다. 이 중 EV SSL은 인터넷 주소 창에 녹색 바로 표시하고 주소 창 우측에 조직명을 표기해 줌으로써 사용자의 신뢰도를 높여준다. SSL/TLS인증서, Code Sign 인증서 등 시스템과 네트워크 보안에 사용되는 인증서 지침은 CA/B포럼에서 결정된다. CA/B포럼은 인터넷 브라우저 소프트웨어 공급 업체, 운영체제 및 기타 PKI 지원 응용 프로그램과 관련된 업계의 자발적 컨소시엄이다.

웹브라우저는 계속 진화하고 있고, 사용자들은 원하는 브라우저를 선택해서 사용할 수 있다. 최근에는 인터넷 익스플로러(Internet Explorer), 파이어폭스(Firefox), 크롬(Chrome), 사파리(Safari) 오페라(Opera) 등 익숙한 이름의 브라우저 말고도 새로운 종류의 브라우저들도 생겨나고 있다. 스탯카운터의 자료의 브라우저 시장점유율을 살펴보면 전세계적으로 크롬(Chrome)이 56.3%로 가장 많은 이용률을 보이고 있다.

한국의 경우에도 크롬이 55.9%로 가장 높은 비중을 차지하며, 뒤이어 인터넷 익스플로러(Internet Explorer)는 15.8% 사용률을 보이고 있다. 지난해 브라우저들에서는 https를 적용하지 않은 사이트에 대해서 경고창을 표시하기 시작했고, 미국 정부사이트는 모두 https로 이동하게끔 하는 등 https에 대한 강화 움직임을 보이고 있다. 글로벌 상위 100개 사이트들에 대해서는 https 지원이 2016년 대비 2배 가까이 상승한 60%를 보이고 있다.

영국 넷크래프트(NetCraft) 자료 기준으로 SSL CA기관별 점유율로 보면 OV, EV인증서는 2018년 4월 글로벌 시장점유율은 디지서트가 55%를 차지하고, 국내에서는 56%로 점유하고 있다. 이 외 GPKI 등의 기타 인증서는 27%를 차지하며, 해가 갈수록 사이트에 대한 신뢰성을 줄 수 있는 EV인증서의 성장률은 증가하고 있다. 국내 CA별 점유율 중 디지써트는 EV와 OV SSL 56%를 차지하고 있다. 특히 OV, EV인증서 점유율이 압도적 차이가 난다는 것은 실제 기업들에서 사용하고 있는 인증서들은 신뢰도가 높은 인증서를 사용한다는 것을 의미한다.

[이미지=한국전자인증]

국내 CA별 점유율 중 디지서트는 EV SSL 65%, OV SSL 48%를 차지하고 있다(올 3월 영국 Netcraft 자료기준). OV, EV인증서 점유율이 압도적 차이가 난다는 것은 실제 기업들에서 사용하고 있는 인증서들은 대부분 디지서트를 사용한다는 것을 의미한다.

[이미지=한국전자인증]

하지만 국내 OV인증서인 GPKI에서 발행된 SSL 인증서는 크롬과 사파리, 파이어폭스에서 http는 연결이 비공개로 설정되어 있지 않다는 경고 화면을 보여주고 있어 모바일 환경에서 호환성 문제가 발생할 수 있다는 사실에 주목해야 한다.

[이미지=한국전자인증]

또한, 크롬 브라우저는 단계적으로 변화하고 있는데, https 보안을 사용하지 않는 모든 웹사이트에 플래그를 지정하고 크롬 68에서는 2018년 7월부터 ‘안전하지 않음’이라는 메시지를 표시할 예정이다.

점점 진화하는 피싱사이트들은 웹사이트 주소에 교묘한 변화뿐 아니라 https로 표시된 주소에도 속임수가 있을 수 있다. 실제 한국전자인증 사이트에 비슷한 주소로 인증서를 설치했을 때 어떤 것이 실제 안전한지에 구분하라고 물었을 때 실제 응답자들은 피싱사이트가 더 안전하게 느껴진다고 말했다. 피싱사이트는 도메인 인증을 하는 DV SSL을 사용한다. 실제 렛츠인크립트나 코모도 CA에서 발행된 SSL인증서들은 피상사이트들에서 이용된 바 있다. SSL인증서만 있으면 안전한 사이트로 보는지에 대해서 묻는다면 단지 최소한의 보안조치로 해당 URL에서 Client와 Server간에 암호화되어 연결되어 있음 의미한다고 말할 수 있다.

웹 보안 시장의 고객들은 인증서가 아닌 통합 솔루션에 보다 많은 관심을 두고 있다. 클라우드 응용 프로그램 및 디지털 콘텐츠의 등장 및 IoT 장치가 확산됨에 따라 고객은 대규모 보안문제에 직면할 것이기 때문이다. 디지서트에서는 이러한 고객 니즈를 충족할 MPKI와 SSL을 관리하는 CIC UX도 제공한다.

디지서트는 시만텍의 WSS 사업부문을 2017년 11월에 인수 완료했고 OV, EV SSL인증서로 미국 내 1위를 점유하는 곳이다. 디지서트는 업계 최정상의 기술력을 통합하고 혁신을 촉진하여 보다 간편한 SSL & PKI를 제공한다. 또한, 한국전자인증은 국내 최초로 인증 서비스를 상용화했으며, 국내 유일 글로벌인증센터와 공인인증센터를 모두 보유하고 있는 SSL인증 점유율 1위의 가장 믿을 수 있는 공인인증기관이다.

이러한 가운데 한국전자인증은 오는 5월 31일부터 6월 1일 이틀간 서울 코엑스 그랜드볼룸에서 개최되는 국내 최대 규모의 개인정보보호 콘퍼런스인 제8회 개인정보보호 페어(PIS FAIR 2018)에 참가해 정보보안 솔루션을 전시하고, 31일에는 한국전자인증 나정주 이사가 ‘2018 웹시큐리티 동향과 IoT보안’이라는 주제로 발표할 예정이다.
[이은비 기자(boan6@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)