인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

소식

2017.03.29 19:57

시만텍 CA에서 부정 인증서 대량 발견

http://centrair.kr

조회 수 2143 댓글 23

Extra Form
참고/링크	https://bugzilla.mozilla.org/show_bug.cgi?id=1334377

2017-03-29 (5).png

2016년 ~ 2017년 사이에 시만텍 CA하에서 SSL 인증서가 대량으로 부정 발급된 사실이 드러났습니다.

test.com 등 금지된 도메인으로 발급하거나 인증서 세부 내용을 허위로 채운 것들인데요, 이들 모두 시만텍 CA의 인증대행사인 한국전자인증(CrossCert)에서 발급된 것으로 확인됩니다. 대부분은 상위기관 확인 즉시 Revoke(폐기) 되었으나, 일부 인증서는 30일 이상 유지되기도 했습니다.

이로 인해 각 오픈소스 브라우저 커뮤니티가 들끓고 있으며, 크로미움 진영에서는 당분간 시만텍 EV를 '안전하지 않음'으로 분류해야 한다는 주장이 나왔습니다.( https://groups.google.com/a/chromium.org/forum/m/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ ) - 초록색의 '안전함' 표기를 없앤다는 거죠. 크롬을 개발하는 구글은 동의 의사를 밝혔으나 타 브라우저와 발맞춰 움직이길 원한다고 합니다.( http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170326032010&type=det&re= )

위 참고 사진은 한국전자인증의 광고인데요, 사실 시만텍은 1위에서 밀려난지 꽤 됐습니다.

https://w3techs.com/technologies/history_overview/ssl_certificate

삭제 요청

Prev 윈도우 10 인사이더 프리뷰 빌드 15063 이미지 윈도우 10 인사이더 프리뷰 빌드 15063 이미지 2017.03.29by 낄낄 윈도우 10 파워쓰로틀링 기능 추가 Next 윈도우 10 파워쓰로틀링 기능 추가 2017.04.19by 낄낄

목록 스크랩

위로 아래로 댓글로 가기

Comments '23'

노력 2017.03.29 20:12

시만텍 CA가 안전하지 않은데 브라우저에서 안전함으로 뜨는점이 문제지요 흠..
?
약장수마녀 Make Gigglehd Great Again!, Gigglehd First! d('∧')b AMD FX CPU Fake NEW... 2017.03.29 20:30

이 망할 시만텍이 이런건 잘 발급하면서 정작 자사 제품 엔드포인트 서버 SSL 접속 인증서는...
낄낄 2017.03.29 20:42

이쯤 되면 저거 완전 사기 아니에요? 제정신인가..
?
Cluster 2017.03.29 20:43

한국전자인증... 한국 보안이 국제적으로 사고를 쳤군요
白夜2ndT 원래 암드빠의 길은 외롭고 힘든거에요! 0ㅅ0)-3 / Twitter @2ndTurning 2017.03.29 22:41

결국 세계구급으로 망신당하게 생겼지 말임돠. 아예 이 참에 탈탈 털려버리라지 말임돠.
슬렌네터 Human is just the biological boot loader for A.I. 2017.03.30 00:15

에휴 절래절래= _=
?
RuBisCO 2017.03.30 01:16

저기를 믿다니 이 헬알못 시만텍...
동전삼춘 2017.03.30 01:34

=ㅅ=;; 한국전자인증이 사고쳐서 시만텍이 덩달아 욕먹는 듯한 느낌인데요.
ExyKnox An ordinary human connecting dots about every experience✨ 2017.03.30 01:38

일쳤네요.
Koasing PROBLEM? 2017.03.30 01:53

구글에서는 약 3만개 정도 부정 발급된 것으로 추정하고 있습니다만 시만텍은 이를 부정하고 있습니다.
CrossCert (한국전자인증) RA에서 발급된 127개는 부정 발급 사례로 인정하였구요.

당 사례에 대해 시만텍에서 발표한 보고서에 따르자면
CrossCert RA에서 발급된 127개는 내부 테스트 목적 및 관리시스템 소개 목적으로 발급되었다고 하며
자동 필터링 시스템에서 규정 위반으로 차단되었으나 CrossCert에서 강제로 이를 무시하고 발급했다고 합니다.
어쨌든 규정을 어긴 것이니 CrossCert는 책임을 피할 수 없겠고, 1월 당시 시점에 RA 업무권한이 즉시 정지되었다고 합니다.
시만텍 또한 자체 감시 시스템이 제대로 동작하지 않았음을 인정하고 이유를 찾고 있다고 합니다.

이어지는 시만텍 질의응답에 따르자면
CrossCert에서 발급된 모든 인증서는 시만텍에서 재감사를 수행하여 필요한 경우 revoke나 재발급 될 것이며
RA 프로그램은 종료되어 인증대행사를 이용한 발급은 중단, 모든 발급 신청은 시만텍 자체 인력으로 검증을 수행할 것이라고 합니다.
?
히로리아 2017.03.30 01:56

3만개라니 장난아니네요
Renfro. the last resort 2017.03.30 04:56

보안에서 한국회사를 믿다니(...) 이쪽은 무조건 믿고 걸러야 할 텐데...
아엠푸 5900X+96GB 2017.03.30 08:32

한국보안회사에 영업손실 소송걸어도 할말이 없겠는데요
TundraMC 자타공인 암드사랑/GET AMD, GET MAD. Dam/컴푸어 카푸어 그냥푸어/니얼굴사... 2017.03.30 09:10

헬알못...믿어도 될껄믿어야지...
?
Aeacus 2017.03.30 11:22

???: 국민 여러분 안심하십시오. 공인인증서는 안전합니다.
?
약장수마녀 Make Gigglehd Great Again!, Gigglehd First! d('∧')b AMD FX CPU Fake NEW... 2017.03.30 11:51

기사 내용을 잘보시면 이전부터 구글에서 시만텍에 인증서 건으로 문제를 많이 제기 했는데 이걸로 보아 시만텍도 관계가 있을 것으로 봐요

괴씸죄도 포함되었을 거에요
?
skymont 2017.03.30 12:54

이정도 인증서 발급이 허술하다면 국내의 SSL인증서인 GPKI RootCA와 KISA Root CA도 인증서 검증조차 제대로 되지 않아 있으니 인증서 서장소에서 삭제 되어야 합니다.
Touchless 2017.03.30 13:59

한국전자인증의 부정 인증서 발급에 시만텍이 발목을 잡혔네요;
아카츠키 . 2017.03.30 15:53

한국에 제대로 된 보안회사가 있었던가...
?
winner 2017.03.30 16:02

Symantec 은 Verisign 인증서 사업 인수해서 잘 말아먹네요.
한국전자인증도 큰 문제이지만 Symantec 인증서 발급에 대해서는 예전에도 종종 문제된 적이 있습니다. 괜히 browser 제작회사들이 인증서 발급 회사들을 문제삼는게 아니지요. Let's Encrypt 도 그래서 나왔고...
?
skymont 2017.03.31 19:02

참고로 CrossCert (한국전자인증)이 공인인증기관이기도하고, 공인인증서 발급 솔루션, 프로그램 업체 입니다.

--수정--
"공인인증기관이 아니라" 에서 "공인인증기관이기도하고" 로 정정합니다.

공인인증서 발급 솔루션(CrossCert)
http://www.crosscert.com/solution/03_1_07.jsp
Centrair http://centrair.kr 2017.03.31 20:52

KISA의 업무를 대행해 범용공인인증서를 발급하고 SSL 인증서를 발급하니 공인인증기관 맞지 않나요?
?
skymont 2017.04.01 00:43

공인인증기관 맞습니다
한국정보인증과 이름 비슷해서 한국전자인증이 아닐거라고 생각는데, 뒤늦게 알아보니 한국전자인증도 공인인증기관입니다.
지적 감사합니다.
정정할게요...;

전자서명법 제4조의 규정에 의하여 지정된 공인인증기관 중에 한 한곳인 한국전자인증이 맞습니다.
http://www.rootca.or.kr/kor/accredited/accredited01.jsp

정확히 말씀드리자면 KISA(한국인터넷진흥원)는 루트인증기관(최상위 인증기관)이구요.
그 밑에 있는 하위인증기관은 한국전자인증(주), 금융결제원, 한국정보인증(주), (주)코스콤, 금융결제원, 한국무역정보통신 입니다.

SSL인증서에 관해서 말씀드리자면
KISA 에서 발급하는 SSL인증서를 발급하는 기관이기도 합니다.
http://open.crosscert.com/sub_1_1.jsp
http://www.crosscert.com/symantec/02_1_03.jsp

하지만 KISA가 발급하는 서버용 인증서(TLS 혹은 SSL)에 쓰기에는 보안상에 문제가 있습니다.
왜냐하면 루트인증기관 및 하위 인증기관의 보안성이 검증이 되지 안았습니다.
그래서 윈도우용 파이어폭스나 리눅스, 맥에서 웹브라우저로 접속할 경우 보안경고 웹페이지가 표시 됩니다. 물론 스마트폰, 태블릿에서도 보안경고 웹페이지 표시됩니다.

KISA가 파이어폭스에 11년간 인증서 탑재 요청을 하였으나 인증서 보안 심사에 충족을 하지 못해 지금까지도 탑재하지 못하고 있습니다.
1년전에 KISA가 웹트러스트 인증을 받았다고 해도 모질라의 인증서 심사 기준과 CA브라우저포럼(CAB forum) 기준을 준수하지 못하면 소용이 없습니다.
https://bugzilla.mozilla.org/show_bug.cgi?id=335197

이번 사건처럼 루트인증기관이 보안관리를 잘하더라도 하위인증기관이 서버인증서든 클라이언트 인증서든 인증서관리를 엉망으로하면 보안성 상실이 되기 때문입니다.

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.

No Image

게임 서버 솔루션으로 뭘 써야할지 모르겠네요

4~5명 정도 되는 팀에서 포트폴리오 정도의 게임을 만드는데 서버를 구현해서 게임과 연동시키는 목적을 가지고 있습니다. 혹시라도 이런 경험이 있으시다면 여러 도구들중 어떤것 쓰셨는지 좀 알수있을까요 SQL을 해야하는건지 스...

Date2017.04.04 질문 By노력 Reply7 Views871

Read More
자리를 잡아가는 윈도우 10

윈도우 7 시스템에서 윈도우 10으로 업데이트가 늘어나면서 윈도우 10의 점유율이 많이 올랐습니다. 유럽과 미국의 점유율을 보면 윈도우 7을 이미 넘어섰네요. 허나 윈도우 10이 아무리 날고 뛰어도 엣지의 점유율은..

Date2017.04.03 소식 By낄낄 Reply13 Views969

Read More
No Image

CodePlex 서비스가 종료될 예정입니다.

MS에서 제공하는 온라인 프로젝트 저장소인 CodePlex 서비스가 2017년 연말에 종료된다고 합니다. 최근 30일간 커밋이 발생한 활성 프로젝트 수가 350개 정도로 사용량이 저조하며 대부분의 오픈소스 프로젝트가 GitHub를 이용하는 상황...

Date2017.04.02 소식 ByKoasing Reply4 Views561

Read More
구글, 구글 지도와 팩맨 게임을 결합

https://www.google.co.kr/maps 구글 지도에 들어가면 왼쪽 아래에 동전 넣기라고 있습니다. 지도를 그대로 팩맨 게임 스테이지로 만들어 줍니다. 당연히 게임 플레이도 됩니다. 이정도면 만우절 고퀄이군요.

Date2017.04.01 소식 By낄낄 Reply7 Views884

Read More
낮의 사진을 가지고 밤의 이미지를 만들어내는 기술

어도비와 미국 코넬 대학이 딥 러닝을 이용해 이미지 스타일을 바꾸는 알고리즘을 개발했습니다. 특정 사진의 색조 변화를 가능하게 만드는 것이 목적으로, 여기에선 대낮에 찍은 사진을 가지고 밤에 찍은 것처럼 바꿔주는 예시를 보였네요.

Date2017.03.31 소식 By낄낄 Reply4 Views1465

Read More
윈도우 10 크리에이터스 업데이트. 4월 5일에 수동 공개

마이크로소프트는 윈도우 10 크리에이터스 업데이트를 4월 11일에 전면 공개합니다. 하지만 그보다 더 먼저 크리에이터스 업데이트를 적용할 방법이 있습니다. 4월 5일부터 수동 설치가 가능하다네요.

Date2017.03.31 소식 By낄낄 Reply3 Views867

Read More
No Image

익스플로러가 멈춰버려요

제목그대로 입니다 익스플로러로 웹서핑중 가끔 멈춰버립니다 좀지나면 응답이 없다하며 복구하겟냐고 하고 눌러야먄 다시 사용할수 있어요 오래전부터 고질병인데 포맷을 해도 다시 재발하네요 희안한건 다른 컴퓨터에선 못보고 오직 ...

Date2017.03.31 질문 By네모난지구 Reply8 Views358

Read More
No Image

파일 삭제시 탐색기가 멈춥니다

제가 사용하는 노트북이 탐색기엣 Shift + Delete 눌러서 파일을 지우면 파일을 삭제중입니다 라는 창이 뜨고(파일 복사할때 나오는 창과 비슷한것) 거기서 다운이 되버려요. 너무 오래걸려서 이거 이상한걸 하고 클릭해보면 작동이 중지...

Date2017.03.31 질문 ByPLAYER001 Reply2 Views319

Read More
구글 번역 워드렌즈 돌려봤어요

요 바로 아래에 있는 'google 번역 워드렌즈 한국어 지원 https://gigglehd.com/gg/892146 ' 보고 바로 깔아봤습니다. 모든 언어가 다 되는 건 아니고. 한국어는 영어로만 됩니다. 중국어랑 일본어 괜히 다운받았.... 결과는... ...

Date2017.03.31 일반 By낄낄 Reply5 Views4014

Read More
google 번역 워드렌즈 한국어 지원

구글 번역기능중에는 화면인식, OCR을 이용한 번역기능을 제공하고 있었습니다. 그러나 한국어는 제외된 상태였죠. 그러나 최근 해당 기능을 지원하기 시작했습니다. 물론 다른언어도요. 어떤식이냐 하면 바로 아래 GIF를 보시...

Date2017.03.31 소식 ByAKG-3 Reply4 Views1308

Read More
윈도우 10 크리에이터스 업데이트. 11일에 공개

마이크로소프트가 윈도우 10의 대형 업데이트인 크리에이터스 업데이트를 4월 11일에 배포한다고 예고했습니다. 게임 플레이에서 성능을 개선하는 게임 모드, 마이크로소프트 Beam을 사용한 게임 스트리밍, VR과 AR, 3D 처리 모델 기능이 ...

Date2017.03.30 소식 By낄낄 Reply0 Views535

Read More
No Image

네트워크 관련 조언을 부탁드립니다.

아는 지인의 이야기입니다. 특정 시간대에 트래픽이 과도하게 몰리는 서버에 남들보다 최대한 빨리 접속해야 하는 상황이라 합니다. 서버시간과 동기화도 해보고 인터넷 회선도 두어 차례 바꿔 봤지만 영 신통치 않았는데요, 이에 대한 대...

Date2017.03.30 질문 Bydwscat20 Reply4 Views287

Read More
엑셀, 여러 사람의 실시간 편집이 가능

마이크로소프트가 윈도우 버전의 엑셀에 여러 사람이 실시간으로 동시에 편집할 수 있는 기능을 넣었습니다. 이 기능의 테스트에 참가하고 싶으면 오피스 인사이더에 등록하고, 파일을 클라우드에 저장해서 편집해야 합니다.

Date2017.03.29 소식 By낄낄 Reply6 Views1263

Read More
No Image

윈도우 10 인사이더 프리뷰 빌드 15063 이미지

윈도우 10 인사이더 프리뷰 빌드 15063의 이미지 링크입니다. 64비트 https://software-download.microsoft.com/pr/Windows10_InsiderPreview_Client_x64_en-us_15063.iso?t=2e473d40-675a-4c40-8818-d5f0955a3fb0&e=1490740359&h...

Date2017.03.29 소식 By낄낄 Reply0 Views439

Read More
시만텍 CA에서 부정 인증서 대량 발견

2016년 ~ 2017년 사이에 시만텍 CA하에서 SSL 인증서가 대량으로 부정 발급된 사실이 드러났습니다. test.com 등 금지된 도메인으로 발급하거나 인증서 세부 내용을 허위로 채운 것들인데요, 이들 모두 시만텍 CA의 인증대행사인 한...

Date2017.03.29 소식 ByCentrair Reply23 Views2143

Read More