SSL 인증서의 수명을 대폭 줄이려는 움직임(애플과 구글이 주도적으로 추진)이 인터넷을 더 안전하게 만들 여지는 별로 없다. 그러나 IT 부서가 더 많은 자동화를 수용하도록 유도할 가능성이 꽤 높다. 일부에서는 이 변화에 대해 공급업체들의 수익 챙기기에 불과하다고 비판하기도 한다.
웹사이트 인증서 업데이트 주기를 대폭 단축하라고 요구하는 움직임이 거세지고 있다. 주로 애플과 구글이 주도하는 이 움직임이 내세우는 명분은 ‘보안’이다. 그러나 이 움직임과 명분에 대해 눈살을 찌푸리는 사람도 적지 않다.
SSL/TLS 인증서라고도 하는 웹사이트 인증서는 공개 키 암호화를 사용하여 웹 브라우저에 웹사이트를 인증한다. 웹 주소의 소유권의 인증 기관(CA)에서 발급하는 사이트 인증서는 초창기 8~10년 동안 유효했다. 그러나 2012년에 5년으로 줄어들었고 현재는 398일이다. 즉 점차 줄어들고 있다.
특히 두 주요 브라우저 업체가 업데이트 주기를 훨씬 더 빠르게 해야 한다고 지속적으로 주장해 왔다. 2023년 구글은 사이트 인증서의 유효 기간을 90일 이내로 요구했고, 2024년 말 애플은 2028년 3월 15일까지 47일 만에 인증서가 만료되도록 하는 제안을 CA/브라우저 포럼 (CA/Browser Forum)에 제출했다. (제안서의 다른 버전에서는 45일을 언급했기 때문에) 45일 제안이라고도 불린다.
AKSDIR CA/브라우저 포럼이 애플의 제안을 채택하면 현재 1년에 한 번씩 회사 사이트 인증서를 업데이트하는 IT 부서로서는 약 6주마다 업데이트 작업을 수행해야 한다. 8배나 늘어나는 셈이다. 이보다 완화된 구글의 90일 제안도 IT 부서의 관련 업무량을 4배 늘릴 수 있다. 관련해 기업 IT 부문이 알아야 할 사항을 정리했다.
SSL 인증서 갱신 주기 단축을 추진하는 이유는?
인증서 갱신 주기를 단축하는 공식적인 이유는 사이버 도둑이 ‘고아 도메인 네임’(orphaned domain names), 즉 방치된 도메인 이름을 활용해 피싱 및 기타 데이터 및 자격 증명을 도용하는 수법을 더 어렵게 만들기 위해서다.
고아 도메인 네임은 기업이 다양한 도메인 네임을 예약하기 위해 비용을 지불한 후 잊어버릴 때 발생한다. 예를 들어, 나비스코가 내년에 출시할 시리얼의 이름을 여러 개 구상할 수 있다. 화이자도 여러 가능한 의약품 이름을 준비할 수 있다. 이들 기업은 관리자 회의를 거쳐 해당 제품이 출시되지 않을 것이라는 이유로 두 개 제품의 도메인 이름만 사용하기로 결정한다. 이 때 기업이 더 이상 필요하지 않은 도메인 이름을 일부러 포기하는 경우가 얼마나 될까?
더 큰 문제는 도메인 이름 등록기관에는 이미 비용을 지불한 이름을 포기할 수 있는 메커니즘이 없다는 점이다. 대다수 등록기관은 그저 “자동 갱신이 되지 않도록 하고 나중에 갱신하지 마시오”라고만 말한다.
이렇게 방치된 사이트를 악의적인 사용자가 탈취 후 불법적인 목적으로 사용할 수 있다. 사이트 인증서의 유효 기간이 짧을수록 보안 위협이 줄어든다는 주장이 나타나는 배경이다. 애석하게도 이러한 주장은 화이트보드에서는 합리적으로 보이지만 현장의 현실을 반영하지는 못한다.
기간을 단축하면 이러한 공격이 줄어들 수 있지만, 공격자가 악행을 저지를 충분한 시간이 없는 경우에만 그렇다. 일부 보안 전문가들은 47일은 여전히 충분한 시간이라며, 따라서 이러한 공격은 크게 줄어들지 않을 것이라고 주장하고 있다.
인포테크 리서치 그룹의 보안 및 개인정보 보호 수석 자문 디렉터인 존 넬슨은 “단축을 주장하는 이들이 해결될 것이라고 주장하는 문제가 해결될 것 같지 않다. 47일이라는 시간은 악당이 유출된 인증서를 가지고 하고 싶은 모든 일을 할 수 있는 시간이다”라고 말했다.
보안 공급업체 c/사이드(c/side)의 연구원 이만슈 아난드도 “악의적인 공격자가 스크립트를 손에 넣더라도 45일 이내에 다크웹에서 구매자를 찾을 가능성이 매우 높다”라고 동의했다.
이러한 이유로 아난드는 더 자주 업데이트를 해야 한다는 입장이다. “7일 안에 중간자 공격을 전송하고 실행하는 데 필요한 조정의 양이 많아지면 악의적인 행위자들이 훨씬 더 힘들어질 것”이라고 그는 말했다.
하지만 넬슨은 만료된 도메인 도용이 오늘날 기업에게 중요한 문제인지에 대해서는 의문을 제기했다. 그는 “내가 대화하는 사람들 중 손상된 인증서와 관련된 사고를 겪은 사람은 단 한 명도 없었다. 즉 이는 해결해야 할 10대 문제 중 하나가 아니다”라고 말했다.
보안 공급업체 스트라이크레디(StrikeReady)의 알렉스 랜스타인 CTO도 같은 의견을 가지고 있다. 랜스타인은 “없는 문제를 굳이 들쑤신 해법이라고까지는 말하지 않겠지만, 웹사이트 인증서 악용은 매우 드문 문제다. 공격자가 인증서를 훔쳐서 훔친 도메인을 사칭하는 데 사용하는 경우는 거의 없다”라고 말했다.
더 빠른 사이트 인증서 업데이트 다루기
그럼에도 불구하고 인증서 만료 날짜가 급격하게 빨라지는 동향은 분명해 보인다. 이로 인해 IT 부서의 부담이 크게 늘어날 가능성이 있으며, 이는 관련 작업의 자동화로 이어질 가능성이 크다. 실제로 넬슨은 공급업체들이 자동화 도구를 판매하여 수익을 창출하려는 의도가 대부분이라고 주장했다.
“기술을 구매하도록 강요하여 돈을 벌려고 하는 것이다. (IT 부서는 내부적으로 PKI)를 다룰 수 있으며, 현재로서는 특별히 부담되지 않는 작업이다”라며, 하지만 몇 달 또는 몇 주마다 해야 한다면 훨씬 더 큰 부담이 된다고 그는 말했다.
관련 작업을 간단히 말해본다, 인증서를 수동으로 갱신하려면 사이트 소유자가 인증 기관으로부터 업데이트된 인증서 데이터를 획득하여 호스팅 회사에 전송해야 한다. 단 정확한 프로세스는 CA, 구매한 특정 수준의 인증서, 호스팅/클라우드 환경의 규칙, 호스트의 위치 및 기타 수많은 변수에 따라 달라진다. 기업이 갱신해야 하는 인증서의 수는 비즈니스의 특성 및 기타 상황에 따라 매우 다양하다.
C/사이드의 아난드는 45일의 업데이트 주기는 “IT 부서가 스크립트를 수동으로 처리하는 레거시 방식을 유지하기에는 충분한 고통이 될 것이며, 더 빠른 처리 방안을 모색하게 될 것”이라고 예측했다.
자동화 작업은 IT 부서가 직접 수행할 수 있으며, 인증서 수명 주기 관리(CLM) 벤더와 같은 외부 기업을 통해 처리될 수 있다. 참고로 해당 서비스를 제공하는 벤더 중 다수는 CA 및 CA/브라우저 포럼의 회원이다.
외부 기업을 활용하는 접근 방식은 다양할 수 있지만, 많은 경우 외부 업체에 기업 시스템에 대한 일정 수준의 권한 액세스를 부여하는 식으로 이뤄진다. 그리고 이는 2024년 여름에 한 공급업체의 소프트웨어 업데이트로 인해 전 세계 850만 대의 윈도우 PC가 다운된 크라우드스트라이크 사태를 떠올리게 한다. 물론 크라우드스트라이트 사고는 극단적인 사례다. 크라우드스트라이크가 시스템에서 특히 민감한 영역인 커널에 액세스할 수 있었다는 점을 고려하면 더욱 그렇다.
120억 달러 규모의 출판사 허스트의 아티 리아지 CIO는 자사의 대응 방침을 공유했다. 그의 회사는 일단 외부 자동화를 허용하여 인증서 변경을 처리하는 방안을 강구 중이다. 그러나 엄격한 제어를 유지하기 위해 자동화 소프트웨어 주변에 가상 울타리를 구축할 예정이다.
리아지는 “규모가 크고 성숙한 조직일수록 이러한 외부 기관을 제어할 수 있는 리소스를 충분히 확보하고 있다. 따라서 확인되지 않은 자동화를 얼마나 허용할 것인지, 그리고 제3자에게 얼마나 많은 액세스 권한을 부여할 것인지에 대한 보다 현명한 접근 방식이 있을 수 있다. 외부에서 중간 지점에 액세스하지만 실제 엔드포인트는 제3자의 손길이 닿지 않는 프록시 모델을 구축할 수 있을 가능성이 높다”라고 말했다.
한편 인증서 문제는 다른 기술 문제와 크게 다르지 않다고 그녀는 덧붙였다. “이 문제는 위험과 이득을 따져 처리될 것이다. 조직의 성숙도, 규모, 보안 태세가 이 문제에서 중요한 요소다. 어떤 해법을 취하든 인증서 이슈가 잦아들 가능성은 희박하다. 마치 지금쯤이면 우리 모두가 비밀번호 없는 단계에 도달해야 한다고 말하는 것과 비슷하지만, 아직 비밀번호 없는 조직이 얼마나 될까?”라고 말했다.
웹사이트 인증서가 만료되면?
인증서 만료에 대한 담론에서 오해의 소지가 있는 용어가 자주 사용된다. 사이트 인증서가 만료되더라도 사이트의 공개 부분은 말 그대로 중단되지 않는다.
다만 트래픽이 즉각적으로 급감한다. 일부 방문자는 소속 조직의 보안 설정에 따라 만료된 인증서가 있는 사이트를 방문하는 것이 완전히 차단될 수 있다. 하지만 대부분의 방문자에게는 브라우저에서 인증서가 만료되었음을 표시하고 실제로 차단하지 않고 계속 진행하면 위험하다는 경고를 표시할 뿐이다.
그러나 CLM 공급업체 섹티고의 최고 규정 준수 책임자이자 CA/브라우저 포럼의 부의장인 팀 캘런은 사이트 방문자들이 “이 장애물을 통과하는 경우는 거의 없다”라고 주장했다. 기업으로서는 방치할 수 없는 문제다.
또 만료된 인증서는 내부 서버 간 상호 작용을 구동하기 때문에 때때로 실제 중단을 초래할 수 있다. 캘런은 “대부분의 인증서는 인간 대면 웹사이트를 보호하는 것이 아니라 서버 간 상호 작용을 보호하고 있다. 많은 경우 시스템 중단은 실제로 시스템이 멈추는 것”이라고 말했다. 최악의 시나리오에서는 “서버 A가 서버 B와의 통신을 중단하여 연쇄적인 장애가 발생할 수도 있다.
즉 만료된 인증서는 대부분의 사이트 방문자가 사이트에 접속할 수 없음을 의미하므로 인증서를 최신 상태로 유지하는 것이 중요하다. 더 빠른 업데이트 주기를 앞두고 있는 지금이 바로 인증서 유지 관리에 대한 새로운 계획을 세워야 할 때인 셈이다.
그러나 IT 부서가 숨쉴 여지는 있다. 스트라이크레디의 랜스타인은 인증 변경이 애플의 최근 제안만큼 빠르게 이루어지거나 극단적으로 이루어지지는 않을 것이라고 바라봤다.
그는 “2028년까지 ‘45일 제안’이 실현될 가능성은 전혀 없다. 구글은 지난 5년 동안 6개월을 주장해왔다. 그들은 무언가를 할 것이라고 미리 발표하고 2026년에 그것을 연기할 것이라고 장담한다. 하지만 무기한은 아닐 것”이라고 말했다.
한편 C/사이드의 아난드는 또한 많은 기업에서 인증서 유지 관리 프로세스가 여러 단계로 나뉘어져 있다고 지적했다. 그는 “대부분의 최신 퍼블릭 대면 플랫폼은 클라우드플레어, 패스틀리, 아카마이와 같은 프록시 뒤에서 작동하거나 네틀리파이, 파이어베이스, 쇼피파이와 같은 프런트엔드 호스팅 제공업체를 사용한다”라고 설명했다.
그는 이어 “또는 자동화된 인증서 관리를 제공하는 AWS, 애저 또는 GCP와 같은 클라우드 플랫폼에서 호스팅하는 경우도 많다. 이미 최신 솔루션은 IT 팀의 수작업을 크게 줄이거나 없앨 수 있다”라고 덧붙였다.
[email protected]
Read More from This Article: 웹사이트 인증서가 6주마다 만료되면?··· 기업 IT를 위한 가이드북
Source: News