TLS 보호 약화하기, 한국 스타일 - 블라디미르 팔란트
(palant.info)-
요약
- 한국 보안 프로그램들이 로컬 서버에서 TLS 사용을 위해 비공인 자체 인증기관을 PC에 설치한다.
- 이들 인증기관에서 사용하는 비밀키에 대해서는 보안상 잘 관리가 되야하지만 이것을 강제하는 법이나 외부 감참 등이 없기 때문에 이것을 설치한 업체가 보안 유지를 잘 하기를 믿어야 한다.
- 하지만 이전 글에서 보았듯이 과연 업체들이 얼마나 잘 보안을 유지할지는 의문이다.
- 만약 비밀키가 유출시에는 한국에 많은 사람들이 웹사이트 사칭위험에 노출될 수 있다.
- 자체 인증기관 설치시 좀 더 안전한 방법과 사례를 제시한다.
번역글 링크에 오타가 있어서 수정되었습니다.
또한가지 무시무시한 사건이 있는데 많이 알려져 있지 않아서 금방 묻힌 사건이었는데, 정부 인증서를 완전한 와일드카드로(예, 구글 및 네이버 접속 시 해당 사이트의 인증서가 아닌 정부 인증서로 접속) 운영하려다가 구글 프로젝트 제로와 모질라에 딱걸려서 인증서 거부 처리 하고 이로 인해 시만택의 인증서가 모두 퇴출되는 바람에 시만텍이 인증서 사업을 철수하고 매각한 사건이 일어났습니다. 만약 이게 받아들여졌으면 1984 소설은 일도 아니고, 중국도 부러워할 만큼의 완전한 국민감시가 가능한 심각한 보안 취약점과 사안이었죠. 근데... 관련 언론 기사들 다 나려가서 공유를 하지 못해 참 아쉽네요...
언론기사는 잘 유지되고 있습니다.
https://n.news.naver.com/mnews/article/092/0002114313?sid=105
애초에 한국의 인증 방식은 제 3자 검증 방식을 인정하지 않기 때문에 뿌리부터 잘못된 인증 방식이라 가능한 내용입니다. 최소한 제 3자 인증이 가능하면 저런 취약점이 나올 수가 없죠.
예전에 모질라에서 제3자 인증하지 않은 정부 인증서 승인 요청하다가 빠꾸먹은 부끄러운 사실을 아시는 분은 아실 겁니다.
게다가 이를 주최한 기관이 명언을 남겼죠. "우리는 우리 스스로 인증한다."