렛츠인크립트, 300만 개 넘는 디지털 인증서 폐지

입력 : 2020-03-05 12:29

디지털 인증서 발급과 갱신에 사용되는 소프트웨어에서 버그 발견되고
렛츠인크립트는 수많은 인증서 폐지시켜...인증서 관리 안 하고 있었다면 큰 일

[보안뉴스 문가용 기자] 웹에서의 암호화 기술 사용을 권장하고 보편화시키기 위해 시작된 비영리 단체 렛츠인크립트(Let's Encrypt)가, 그 동안 스스로 발행했던 디지털 인증서 300만 장을 폐지했다. 발급 과정에서 문제가 있었다는 게 밝혀졌기 때문이다.


이 때문에 이번에 폐지된 렛츠인크립트 TLS 인증서들을 사용하는 도메인 운영자들은 빠르게 인증서를 복구시켜야 하는 상황에 놓이게 됐다. 그렇지 않으면 웹사이트 사용에 에로사항이 생길 수밖에 없다. 자신이 어떤 인증서를 사용하고 있는지, 혹은 인증서가 웹사이트 어느 부분에 적용되고 있는지 파악해두지 않았던 운영자라면 이번 상황이 당황스러울 것으로 보인다.

보안 업체 키팩터(Keyfactor)의 수석 통합 엔지니어인 JD 킬갈린(JD Kilgallin)은 “갑작스러운 결정이라 이걸 제 때 시간에 맞춰 대응할 수 있을 만한 곳은 많지 않아 보인다”며 “해당되는 조직의 IT 팀들은 비상사태를 맞았을 것”이라고 예상한다. 이런 상황을 인지해서인지 렛츠인크립트 측은 사이트 운영자들을 위해 이번에 폐지된 인증서가 사용되고 있는지 확인할 수 있는 도구를 공개하기도 했다(https://checkhost.unboundtest.com/),

인터넷보안연구그룹(Internet Security Research Group, ISRG)이 2014년 시작한 프로젝트인 렛츠인크립트는 2015년부터 무료 TLS 인증서를 발급하기 시작했고, 현재까지 약 10억 개가 넘는 디지털 인증서를 전 세계에 내놓았다. 렛츠인크립트 인증서를 사용하는 웹사이트는 현재 1억 9200만 개 정도인 것으로 알려져 있다. 렛츠인크립트가 활동하는 동안 HTTPS의 사용량도 급격하게 늘어나, 현재는 전 세계 웹 페이지의 81%가 HTTPS를 기반으로 하고 있다.

그러나 이번 주 화요일 렛츠인크립트는 3,048,289개의 인증서를 폐지한다고 발표했고, 그 이유에 대해 “도메인 확인 과정에서 사용되는 소프트웨어에서 버그가 발견됐기 때문”이라고 밝혔다. 렛츠인크립트에 따르면 “여러 도메인에서 사용되는 다량의 인증서 갱신 요청이 한꺼번에 처리되는 과정 중에는 확인 절차가 제대로 발동되지 않는다”고 한다.

보안 업체 소포스(Sophos)는 자사 블로그를 통해 “예를 들어 렛츠인크립트가 10개의 인증서를 갱신해야 한다고 했을 때, 해당 인증서에 연결된 모든 도메인을 검사해야 하는데, 1개만 무작위로 선택해 그것만 10번 검사한다”며 “나머지 9개 인증서는 확인 과정을 거치지 않은 채 갱신되는 것과 마찬가지”라고 설명했다.

자동으로 인증서를 발급하고 갱신하는 건 렛츠인크립트만이 아니다. 많은 인증기관이 비슷한 기술과 절차를 가지고 인증서를 발급한다. 그만큼 인증서 발급과 갱신이라는 절차가 안정화 되어 있고, 자동화 기술의 효용성이 높다는 것이다. 킬갈린은 “다만 그런 절차 속에서 이번 사건에서처럼 비정상적인 일이 발생했을 때의 대응력은 아직 부족한 상황”이라고 지적한다. ‘발급’ 혹은 ‘갱신’에만 안정화가 이뤄졌지, 예상 못한 사건의 대응에 대해서는 별 다른 진척이 없다는 것이다.

“심지어 이 ‘예상 못한 사건’ 속에 인증서의 정상적인 만료까지도 포함되어 있어서 문제입니다. 즉 사용자들이 자신들이 어떤 인증서를 사용하고 있고, 어떤 페이지에 어떤 인증서를 적용하고 있는지 모르고 있다는 겁니다. 예상 못한 사건이 아닌데 마치 예상 못한 사건처럼 취급되고 있다는 게 큰 문제입니다.” 킬갈린의 설명이다. “이번 사건도 사실 유연하게 대처하는 게 가능하지만 큰 혼란이 왔습니다. 평소에 인증서에 대한 파악이 안 되어 있기 때문입니다.”

보안 업체 베나피(Venafi)의 수석 보안 엔지니어인 프라틱 사블라(Pratik Savla)는 “렛츠인크립트가 인증서를 폐기한 것이 처음 있는 일이 아니”라며 킬갈린의 의견을 보충한다. “과거에도 인증서 발급 절차에서 문제가 발견됐었습니다. 그래서 일부가 급히 폐지된 적이 있었죠. 그럼에도 많은 인증서 사용자들이 이 부분을 고려하지 않고 있습니다.”

사블라는 “이번 사건이 두 번째 교훈이 되어야 할 것”이라고 지적했다. “현대의 디지털 인증서는 자동화 소프트웨어를 통해 발급됩니다. 소프트웨어는 언제고 취약점이 발견될 수 있는 물건이고, 때문에 어제까지 잘 쓰고 있던 인증서가 바로 폐지될 수도 있습니다. 즉 인증서를 항상 새롭게 바꿀 수 있을 정도의 유연성은 갖추고 있어야 한다는 뜻입니다. 이번 사건을 통해 인증서 사용자들이 이 부분을 인지하고 대비해 둘 수 있기를 바랍니다.”

3줄 요약
1. 렛츠인크립트, 인증서 발급에 사용되는 소프트웨어에서 취약점 발견함.
2. 이에 렛츠인크립트는 급하게 300만 개의 디지털 인증서를 폐지시킴.
3. 사이트 운영자들, 인증서 리스크를 평소에 고려하지 않으면 이런 사건 발생 시 우왕좌왕 하게 됨.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...