페이스북 개발자들은 올해부터 활용 가능...중간자 공격 감소 기대
[보안뉴스 문가용 기자] 페이스북은 지난 해 12월 인증서 투명성 모니터링(Certificate Transparency Monitoring)이라는 유틸리티를 발표한 바 있다. 그리고 1년이 지났다. 페이스북은 올해 이 인증서 투명성 모니터링 서비스를 사용하는 개발자들을 위한 새로운 툴을 발표했다.
[이미지 = iclickart]
지난 해 발표된 인증서 투명성 모니터링이란, 페이스북의 여러 가지 서비스들을 통해 TLS 인증서가 발급되는 현황을 살피고, 그 과정에서 수집된 데이터에 접근할 수 있도록 해주는 기능을 가지고 있다. TLS 인증서가 잘못 발급되면 인증서 투명성(Certificate Transparency)라는 프레임워크를 사용해 HTTPS 트래픽을 가로챈다.
이 툴이 있으니 개발자들은 수백 가지나 되는 인증서들 중에서 자기에게 필요하거나 목적에 맞는 인증서를 쉽게 검색하고, 새로운 인증서를 새 도메인에 사용할 목적으로 발급할 때 필요한 경고를 받을 수 있게 된다. 가짜 인증서 등을 통한 중간자 공격을 방어하는 데 있어 유용한 기능이다.
여기에 더해 페이스북은 이번에 웹훅스 API(Webhooks API)를 발표했다. 개발자들이 외부 소스로부터 주기적으로 인증서들을 끌어오거나 알람이 울리기를 기다리는 대신 능동적으로 웹훅(webhook)을 등록하고 모니터링을 위한 도메인을 규정하도록 하는 도구다. 이 API를 통해 등록한 도메인에 새로운 인증서가 발급될 때마다, 인증서와 관련된 정보가 개발자의 엔드포인트로 전송된다.
여기에 더해 페이스북은 또 다른 API도 공개 배포하기 시작했다. 이 API의 기능은 인증서들에 대한 요청 전송을 프로그램화할 수 있게 해주는 것이다. 즉, 수백만 건의 인증서 정보를 상세히 받고 분석하는 게 쉽지 않은 일이라는 것에 착안해, 요청에 상당하는 도메인 이름들에 대핸 인증서 메타데이터를 제공하는 것이다.
앞으로 인증서 투명성 기능을 활용하기로 한 개발자들이라면, 자신들의 도메인에 대한 인증서가 새로 발급될 때마다 이메일로 해당 인증서에 대한 정보를 받게 될 것이다. 이 서비스는 욜해부터 시작되며, 푸시 알림을 통해 모두가 인증서 업데이트 현황을 볼 수 있게 된다. developers.facebook.com/tools/ct를 구독하는 개발자들은 전부 이 기능을 활용할 수 있다.
현재 페이스북은 20개의 인증서 투명성 로그를 공개적으로 관리하고 있다. 또한 매일 2500개의 알림 메시지를 내보낸다. 매 시간 투명성 로그에 등록되는 새 인증서의 수는 4만여 개에 이르며, 이는 내년에 더 많아질 예정이다. 구글 크롬이 모든 웹사이트 인증서가 인증서 투명성 로그에 로그인 되도록 정책을 바꿀 것이기 때문이다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>