Home > 전체기사
애플, 구글, 모질라, 카자흐스탄 정부의 감시에 맞서다
  |  입력 : 2019-08-22 09:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
얼마 전 전국민에 디지털 인증서 설치 명령한 카자흐스탄 정부
브라우저 제조사들, 단체로 나서 해당 인증서를 차단 목록에 심어


[보안뉴스 문가용 기자] 애플, 구글, 모질라가 미국 현지 시각으로 수요일 모든 국민들에게 루트 인증서를 설치하라고 요구한 카자흐스탄 정부의 시민 감시 행위에 대해 자신들이 할 수 있는 행동을 취했다고 발표했다.

[이미지 = iclickart]


무슨 일일까? 몇 주 전 카자흐스탄 정부는 국민들에게 한 디지털 인증서를 소개하며, 각자의 장비에 수동으로 설치하라고 발표했다. 국가 안보를 향상시키기 위한 수단이라고 주장하면서 말이다. 카자흐스탄의 인터넷 사업자들이 고객들에게 설치 방법을 안내했고, 불응할 경우 인터넷에 접속할 수 없다고 경고하기도 했다.

이 디지털 인증서는 한 번 설치되고 나면 정부가 HTTPS 트래픽을 뚫고 중간자 공격을 할 수 있게 해준다고 한다. 그러므로 수많은 웹사이트에 카자흐스탄 국민들이 접속하는 현황을 모니터링하거나 트래픽을 가로채는 것도 가능하다는 것이다. 구글, 페이스북, 인스타그램, 트위터, 유튜브가 이 지점에서 안 되겠다고 생각을 한 것.

자사 사용자들을 보호하겠다는 명목 하에 이 대기업들은(구글, 모질라, 애플) 크롬, 파이어폭스, 사파리 브라우저를 업데이트했다. 카자흐스탄이 국민들에게 나눠준 디지털 인증서를 신뢰하지 않도록 만든 것이었다.

인터넷 브라우저라는 프로그램들은 로컬 장비에 수동으로 설치된 인증서들은 신뢰하는 것이 보통이다. 왜냐하면 개발 행위와 내부 트래픽 모니터링을 위해 덩치가 큰 조직들은 디지털 인증서를 수동으로 로컬 장비들에 심기 때문이다.

크롬 보안 팀의 앤드류 웰리(Andrew Whalley)는 “보호자들이 따로 조치를 더 취하지 않아도 보호받을 수 있도록 했다”고 설명한다. “카자흐스탄 정부가 제공한 디지털 인증서는 크로미움 소스코드의 차단 목록에 포함시킬 예정입니다. 따라서 크로미움 기반 브라우저에 자동으로 적용될 것입니다.”

모질라의 인증 기관 프로그램 관리자인 웨인 테이어(Wayne Thayer)는 “카자흐스탄 국적을 가진 사용자들이라면 VPN 소프트웨어나 토르 브라우저를 사용하는 것이 프라이버시 보호를 위한 방법”이라고 충고했다. “또한 이미 인증서를 설치했다면 최대한 빨리 삭제하고 비밀번호들을 전부 변경하는 게 안전합니다. 이미 누군가 당신의 비밀번호를 알고 있을 가능성이 높습니다.”

지난 7월 17일 카자흐스탄 정부는 인터넷 트래픽을 가로채려는 시도를 하다가 발각된 바 있다. 각기 각층에서 비판이 쏟아지자 카자흐스탄 정부는 “단순 실험”이었다며 관련 행위를 전부 중단했다.

3줄 요약
1. 카자흐스탄 정부, 국민들에게 디지털 인증서 나눠주며 모든 장비에 설치하라고 지시.
2. 이 인증서 설치되면, 정부가 중간자 공격 실시할 수 있음.
3. 이에 메이저 브라우저 개발사들이 해당 인증서를 차단 목록에 등재하고 신뢰하지 않게 만듦.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)