최상위 인증 기관인 글로벌사인의 인증서 폐지 조치 시 오류 발생
수천 개 웹 사이트 갑자기 접근 금지될 수도... 4일 있으면 해결
[보안뉴스 문가용 기자] 최상위 인증 기관인 글로벌사인(GlobalSign)에서 사고가 발생했다. 이 때문에 수천 개의 웹 사이트들이 브라우저들로부터 ‘접근 불가’ 판정을 받을 수 있게 되었다. 현재 글로벌사인에서는 이 문제를 해결한 상태이긴 하나, 일반 사용자들의 브라우저에서 캐시가 종료되거나 삭제되지 않는 이상, 이번 사고로 억울하게 ‘위험하다’고 판명된 웹 사이트들은 계속해서 블록될 것으로 보인다. 캐시는 보통 4일 이상 컴퓨터에 남아있다.
글로벌사인은 두 개의 최상위 인증서가 연결된 상호 인증서 한 개를 폐지하려다가 사고가 났다고 설명했다. 최상위 인증서를 여러 개 관리하는 글로벌사인은 다양한 플랫폼에서의 인증서 활용을 보다 효율적으로 만들기 위해서 상호 인증서라는 걸 제공하기도 한다며, 상호 인증서의 폐지는 두 개 이상의 최상위 인증서가 엮여드는 작업이라고 추가 설명을 덧붙였다.
지난 주 글로벌사인 측은 이미 예정되어 있었던 상호 인증서 폐지 작업을 스케줄에 따라 진행했다. 작업 대상이 된 인증서는 10월 7일에 발표된 인증서 폐기 목록에 포함되어 있는 것이었다. 그런데 약 1주일이 지난 10월 13일, 글로벌사인이 위임한 온라인 인증서 상태 프로토콜(OCSP)의 응답 데이터베이스가 업데이트 되면서, 폐지가 된 최상위 인증서 하위에 있는 모든 인증서가 다 폐지되어버렸다.
이로써 OCSP를 사용해 디지털 인증서의 폐지 여부를 확인하는 브라우저들은 수천 개의 웹 사이트를 ‘위험한’ 사이트로 분류하기 시작했다. 이에 글로벌사인은 위에서 언급한 것처럼 문제를 파악, 인증서의 상태에 관한 정보를 계속해서 전달하기 위해 서드파티 OCSP 응답 시스템을 활용해왔는데, 거기서부터 문제가 발생한 것이라고 발표했다.
글로벌사인의 전략 책임자인 스티브 로이란스(Steve Roylance)는 “그러나 이번 사고를 통해 상호 인증서의 폐지 과정에서 논리적 오류를 발견할 수 있었다”며 “글로벌사인은 물론 인증서 생태계에 관련된 모든 사람들이 이를 모르고 있었거나 너무나 당연한 것으로 받아들이고 있었다”고 설명했다.
스티브 로이란스가 설명하는 건 바로 이 점이다. 인증서를 폐지할 때 OCSP 서버가 중간 인증서도 모두 폐지되었다는 응답을 내보내는데, 이 점을 글로벌사인은 전혀 모르고 있었다. “전혀 예상치 못한 오류였습니다.” 전혀 예상치 못한 오류라서 그런지 현재 이 오류로 ‘위험하다’ 판정을 받은 웹 사이트가 얼마나 되는지 계수하는 게 불가능하다고 한다.
이 오류를 발견한 후 글로벌사인은 OCSP 데이터베이스에서 해당 상호 인증서를 지우고 캐시를 모두 지운 후 새로운 중간 인증서들을 만들어 사용이 가능하도록 했다. 즉 인증서의 최상위단에서 할 수 있는 조치를 다 취한 것. 그러나 최종 사용자들이 겪는 문제들도 해결한 건 아니다. 엔드포인트의 브라우저들마다 캐시가 그대로 남아있기 때문. 물론 이런 문제가 있더라도 약 4일이 지나면 캐시가 지워지면서 저절로 해결되긴 한다.
보안 전략 업체인 베나피(Venafi)의 부회장인 케빈 보섹(Kevin Bocek)은 “글로벌사인의 고객들이 새로 발급된 중간 인증서를 설치하려다가 문제에 봉착할 수도 있다”며 이 문제가 다 해결된 게 아니라고 주장했다. “보안 담당자들이 인증서가 다 어디서 온 것인 줄 알고 있을까요? 글로벌사인을 사용하고 있는지 파악이 되고 있나요? 제 경험상 인증서에 대한 가시성을 충분히 확보한 조직은 거의 없어요. 그냥 자동으로 처리되게끔 놔두지. 물론 이번 글로벌사인 인증서 해프닝이 잘 넘어갈 수도 있지만, 불필요하게 더 큰 문제로 이어질 수도 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
수천 개 웹 사이트 갑자기 접근 금지될 수도... 4일 있으면 해결
[보안뉴스 문가용 기자] 최상위 인증 기관인 글로벌사인(GlobalSign)에서 사고가 발생했다. 이 때문에 수천 개의 웹 사이트들이 브라우저들로부터 ‘접근 불가’ 판정을 받을 수 있게 되었다. 현재 글로벌사인에서는 이 문제를 해결한 상태이긴 하나, 일반 사용자들의 브라우저에서 캐시가 종료되거나 삭제되지 않는 이상, 이번 사고로 억울하게 ‘위험하다’고 판명된 웹 사이트들은 계속해서 블록될 것으로 보인다. 캐시는 보통 4일 이상 컴퓨터에 남아있다.
글로벌사인은 두 개의 최상위 인증서가 연결된 상호 인증서 한 개를 폐지하려다가 사고가 났다고 설명했다. 최상위 인증서를 여러 개 관리하는 글로벌사인은 다양한 플랫폼에서의 인증서 활용을 보다 효율적으로 만들기 위해서 상호 인증서라는 걸 제공하기도 한다며, 상호 인증서의 폐지는 두 개 이상의 최상위 인증서가 엮여드는 작업이라고 추가 설명을 덧붙였다.
지난 주 글로벌사인 측은 이미 예정되어 있었던 상호 인증서 폐지 작업을 스케줄에 따라 진행했다. 작업 대상이 된 인증서는 10월 7일에 발표된 인증서 폐기 목록에 포함되어 있는 것이었다. 그런데 약 1주일이 지난 10월 13일, 글로벌사인이 위임한 온라인 인증서 상태 프로토콜(OCSP)의 응답 데이터베이스가 업데이트 되면서, 폐지가 된 최상위 인증서 하위에 있는 모든 인증서가 다 폐지되어버렸다.
이로써 OCSP를 사용해 디지털 인증서의 폐지 여부를 확인하는 브라우저들은 수천 개의 웹 사이트를 ‘위험한’ 사이트로 분류하기 시작했다. 이에 글로벌사인은 위에서 언급한 것처럼 문제를 파악, 인증서의 상태에 관한 정보를 계속해서 전달하기 위해 서드파티 OCSP 응답 시스템을 활용해왔는데, 거기서부터 문제가 발생한 것이라고 발표했다.
글로벌사인의 전략 책임자인 스티브 로이란스(Steve Roylance)는 “그러나 이번 사고를 통해 상호 인증서의 폐지 과정에서 논리적 오류를 발견할 수 있었다”며 “글로벌사인은 물론 인증서 생태계에 관련된 모든 사람들이 이를 모르고 있었거나 너무나 당연한 것으로 받아들이고 있었다”고 설명했다.
스티브 로이란스가 설명하는 건 바로 이 점이다. 인증서를 폐지할 때 OCSP 서버가 중간 인증서도 모두 폐지되었다는 응답을 내보내는데, 이 점을 글로벌사인은 전혀 모르고 있었다. “전혀 예상치 못한 오류였습니다.” 전혀 예상치 못한 오류라서 그런지 현재 이 오류로 ‘위험하다’ 판정을 받은 웹 사이트가 얼마나 되는지 계수하는 게 불가능하다고 한다.
이 오류를 발견한 후 글로벌사인은 OCSP 데이터베이스에서 해당 상호 인증서를 지우고 캐시를 모두 지운 후 새로운 중간 인증서들을 만들어 사용이 가능하도록 했다. 즉 인증서의 최상위단에서 할 수 있는 조치를 다 취한 것. 그러나 최종 사용자들이 겪는 문제들도 해결한 건 아니다. 엔드포인트의 브라우저들마다 캐시가 그대로 남아있기 때문. 물론 이런 문제가 있더라도 약 4일이 지나면 캐시가 지워지면서 저절로 해결되긴 한다.
보안 전략 업체인 베나피(Venafi)의 부회장인 케빈 보섹(Kevin Bocek)은 “글로벌사인의 고객들이 새로 발급된 중간 인증서를 설치하려다가 문제에 봉착할 수도 있다”며 이 문제가 다 해결된 게 아니라고 주장했다. “보안 담당자들이 인증서가 다 어디서 온 것인 줄 알고 있을까요? 글로벌사인을 사용하고 있는지 파악이 되고 있나요? 제 경험상 인증서에 대한 가시성을 충분히 확보한 조직은 거의 없어요. 그냥 자동으로 처리되게끔 놔두지. 물론 이번 글로벌사인 인증서 해프닝이 잘 넘어갈 수도 있지만, 불필요하게 더 큰 문제로 이어질 수도 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
