전자정부 웹서비스에 적용되는 G-SSL(Government Secure Socket Layer) 인증서 신뢰성이 흔들린다. G-SSL을 발급하는 행정전자서명(GPKI) 인증기관이 보안에 허술한 인증서를 발급했다. 구글과 마이크로소프트 등 글로벌 웹 브라우저 기업이 국내 G-SSL을 신뢰하지 않을 수 있는 심각한 사안이다.

GPKI 인증기관이 보안에 허술한 '와일드 카드 인증서'를 발급한 사실이 드러났다. 와일드 카드 인증서는 각 도메인별로 발급하는 인증서를 하나로 대체하는 형태다.

공공기관이나 학교는 웹사이트 도메인별로 G-SSL 인증서를 발급받는다. 예를 들어 www.000.go.kr 사이트에 G-SSL인증서를 받는다. GPKI 인증기관은 해당 사이트와 신청 기관 신뢰성을 확인한 후 G-SSL를 발급한다. G-SSL인증서가 붙어있는 사이트는 웹 브라우저에서 '안전'이라고 표시한다.

와일드 카드 인증서는 특정 도메인을 넘어 2·3차 서브 도메인에 무제한으로 쓴다. GPKI 인증기관이 *.or.kr *.sc.kr *.kg.kr *.es.kr 등에서 모두 쓸 수 있는 와일드 카드 인증서를 발급했다. 현재도 해당 인증서는 유효기간이 남아있다. 한 개 도메인마다 사이트와 기관을 확인해야 하는 절차를 무시했다. 이 같은 형태로 발급된 와일드 카드 인증서는 특정 도메인이 아니라 or.kr, sc.kr, kg.kr, es.kr 등으로 끝나는 모든 사이트를 안전하다고 표시한다.

김승주 고려대 정보보호대학원 교수는 “or.kr, sc.kr, kg.kr, es.kr 와일드 카드 인증서는 앞에 어떤 도메인이 오든지 저런 형태로 끝나는 모든 사이트를 인증한다”면서 “광범위한 서브도메인에 쓰는 와일드카드 인증서는 자칫 감청이나 피싱 공격에 악용될 수 있어 발급 때 철저히 검증해야 한다”고 말했다.

GPKI는 행정안전부가 총괄한다. 행정안전부는 지난해국제 공인기관 '웹트러스트'에서 G-SSL에 대해 국제 신뢰성 마크를 갱신했다. 매년 웹트러스트 인증 심사를 거쳐야 신뢰성 마크가 유지된다. 구글과 마이크로소프트는 웹트러스트 인증을 믿고 브라우저에서 G-SSL 인증서가 붙은 사이트를 안전하다고 표시한다.

보안전문가는 “와일드 카드 인증서 발행은 웹트러스트 인증심사를 통과할 수 없는 사안”이라면서 “GPKI 인증기관이 인증서 발급 절차를 무시한 국제 망신”이라고 지적했다.

인증서 신뢰성 논쟁은 국제 이슈다. 지난해 구글은 크롬 브라우저에서 모든 시만텍 인증서를 신뢰하지 않겠다고 선언했다. 구글이 시만텍 이름으로 부정 발급된 인증서를 발견하고 문제 삼았다. 당시 시만텍 이름으로 부정 발급된 인증서 일부는 한국전자인증이 발행했다. 한국전자인증은 시만텍 인증서 발급대행 사업자였다. 이 후 시만텍은 한국전자인증에서 인증서 발급 대행 권한을 회수했다.

이미 인터넷에 GPKI 인증기관 신뢰가 훼손됐다며 최상위 인증기관(Root CA)에서 제외하자는 목소리도 높다. 이에 대해 행정안전부는 입장을 밝히지 않았다.

(자료:www.gilgil.net)">

김인순 보안 전문기자 insoon@etnews.com