인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

소식

2017.03.29 19:57

시만텍 CA에서 부정 인증서 대량 발견

http://centrair.kr

조회 수 2143 댓글 23

Extra Form
참고/링크	https://bugzilla.mozilla.org/show_bug.cgi?id=1334377

2017-03-29 (5).png

2016년 ~ 2017년 사이에 시만텍 CA하에서 SSL 인증서가 대량으로 부정 발급된 사실이 드러났습니다.

test.com 등 금지된 도메인으로 발급하거나 인증서 세부 내용을 허위로 채운 것들인데요, 이들 모두 시만텍 CA의 인증대행사인 한국전자인증(CrossCert)에서 발급된 것으로 확인됩니다. 대부분은 상위기관 확인 즉시 Revoke(폐기) 되었으나, 일부 인증서는 30일 이상 유지되기도 했습니다.

이로 인해 각 오픈소스 브라우저 커뮤니티가 들끓고 있으며, 크로미움 진영에서는 당분간 시만텍 EV를 '안전하지 않음'으로 분류해야 한다는 주장이 나왔습니다.( https://groups.google.com/a/chromium.org/forum/m/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ ) - 초록색의 '안전함' 표기를 없앤다는 거죠. 크롬을 개발하는 구글은 동의 의사를 밝혔으나 타 브라우저와 발맞춰 움직이길 원한다고 합니다.( http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170326032010&type=det&re= )

위 참고 사진은 한국전자인증의 광고인데요, 사실 시만텍은 1위에서 밀려난지 꽤 됐습니다.

https://w3techs.com/technologies/history_overview/ssl_certificate

삭제 요청

목록 스크랩

위로 아래로 댓글로 가기

Comments '23'

노력 2017.03.29 20:12

시만텍 CA가 안전하지 않은데 브라우저에서 안전함으로 뜨는점이 문제지요 흠..
?
약장수마녀 Make Gigglehd Great Again!, Gigglehd First! d('∧')b AMD FX CPU Fake NEW... 2017.03.29 20:30

이 망할 시만텍이 이런건 잘 발급하면서 정작 자사 제품 엔드포인트 서버 SSL 접속 인증서는...
낄낄 2017.03.29 20:42

이쯤 되면 저거 완전 사기 아니에요? 제정신인가..
?
Cluster 2017.03.29 20:43

한국전자인증... 한국 보안이 국제적으로 사고를 쳤군요
白夜2ndT 원래 암드빠의 길은 외롭고 힘든거에요! 0ㅅ0)-3 / Twitter @2ndTurning 2017.03.29 22:41

결국 세계구급으로 망신당하게 생겼지 말임돠. 아예 이 참에 탈탈 털려버리라지 말임돠.
슬렌네터 Human is just the biological boot loader for A.I. 2017.03.30 00:15

에휴 절래절래= _=
?
RuBisCO 2017.03.30 01:16

저기를 믿다니 이 헬알못 시만텍...
동전삼춘 2017.03.30 01:34

=ㅅ=;; 한국전자인증이 사고쳐서 시만텍이 덩달아 욕먹는 듯한 느낌인데요.
ExyKnox An ordinary human connecting dots about every experience✨ 2017.03.30 01:38

일쳤네요.
Koasing PROBLEM? 2017.03.30 01:53

구글에서는 약 3만개 정도 부정 발급된 것으로 추정하고 있습니다만 시만텍은 이를 부정하고 있습니다.
CrossCert (한국전자인증) RA에서 발급된 127개는 부정 발급 사례로 인정하였구요.

당 사례에 대해 시만텍에서 발표한 보고서에 따르자면
CrossCert RA에서 발급된 127개는 내부 테스트 목적 및 관리시스템 소개 목적으로 발급되었다고 하며
자동 필터링 시스템에서 규정 위반으로 차단되었으나 CrossCert에서 강제로 이를 무시하고 발급했다고 합니다.
어쨌든 규정을 어긴 것이니 CrossCert는 책임을 피할 수 없겠고, 1월 당시 시점에 RA 업무권한이 즉시 정지되었다고 합니다.
시만텍 또한 자체 감시 시스템이 제대로 동작하지 않았음을 인정하고 이유를 찾고 있다고 합니다.

이어지는 시만텍 질의응답에 따르자면
CrossCert에서 발급된 모든 인증서는 시만텍에서 재감사를 수행하여 필요한 경우 revoke나 재발급 될 것이며
RA 프로그램은 종료되어 인증대행사를 이용한 발급은 중단, 모든 발급 신청은 시만텍 자체 인력으로 검증을 수행할 것이라고 합니다.
?
히로리아 2017.03.30 01:56

3만개라니 장난아니네요
Renfro. the last resort 2017.03.30 04:56

보안에서 한국회사를 믿다니(...) 이쪽은 무조건 믿고 걸러야 할 텐데...
아엠푸 5900X+96GB 2017.03.30 08:32

한국보안회사에 영업손실 소송걸어도 할말이 없겠는데요
TundraMC 자타공인 암드사랑/GET AMD, GET MAD. Dam/컴푸어 카푸어 그냥푸어/니얼굴사... 2017.03.30 09:10

헬알못...믿어도 될껄믿어야지...
?
Aeacus 2017.03.30 11:22

???: 국민 여러분 안심하십시오. 공인인증서는 안전합니다.
?
약장수마녀 Make Gigglehd Great Again!, Gigglehd First! d('∧')b AMD FX CPU Fake NEW... 2017.03.30 11:51

기사 내용을 잘보시면 이전부터 구글에서 시만텍에 인증서 건으로 문제를 많이 제기 했는데 이걸로 보아 시만텍도 관계가 있을 것으로 봐요

괴씸죄도 포함되었을 거에요
?
skymont 2017.03.30 12:54

이정도 인증서 발급이 허술하다면 국내의 SSL인증서인 GPKI RootCA와 KISA Root CA도 인증서 검증조차 제대로 되지 않아 있으니 인증서 서장소에서 삭제 되어야 합니다.
Touchless 2017.03.30 13:59

한국전자인증의 부정 인증서 발급에 시만텍이 발목을 잡혔네요;
아카츠키 . 2017.03.30 15:53

한국에 제대로 된 보안회사가 있었던가...
?
winner 2017.03.30 16:02

Symantec 은 Verisign 인증서 사업 인수해서 잘 말아먹네요.
한국전자인증도 큰 문제이지만 Symantec 인증서 발급에 대해서는 예전에도 종종 문제된 적이 있습니다. 괜히 browser 제작회사들이 인증서 발급 회사들을 문제삼는게 아니지요. Let's Encrypt 도 그래서 나왔고...
?
skymont 2017.03.31 19:02

참고로 CrossCert (한국전자인증)이 공인인증기관이기도하고, 공인인증서 발급 솔루션, 프로그램 업체 입니다.

--수정--
"공인인증기관이 아니라" 에서 "공인인증기관이기도하고" 로 정정합니다.

공인인증서 발급 솔루션(CrossCert)
http://www.crosscert.com/solution/03_1_07.jsp
Centrair http://centrair.kr 2017.03.31 20:52

KISA의 업무를 대행해 범용공인인증서를 발급하고 SSL 인증서를 발급하니 공인인증기관 맞지 않나요?
?
skymont 2017.04.01 00:43

공인인증기관 맞습니다
한국정보인증과 이름 비슷해서 한국전자인증이 아닐거라고 생각는데, 뒤늦게 알아보니 한국전자인증도 공인인증기관입니다.
지적 감사합니다.
정정할게요...;

전자서명법 제4조의 규정에 의하여 지정된 공인인증기관 중에 한 한곳인 한국전자인증이 맞습니다.
http://www.rootca.or.kr/kor/accredited/accredited01.jsp

정확히 말씀드리자면 KISA(한국인터넷진흥원)는 루트인증기관(최상위 인증기관)이구요.
그 밑에 있는 하위인증기관은 한국전자인증(주), 금융결제원, 한국정보인증(주), (주)코스콤, 금융결제원, 한국무역정보통신 입니다.

SSL인증서에 관해서 말씀드리자면
KISA 에서 발급하는 SSL인증서를 발급하는 기관이기도 합니다.
http://open.crosscert.com/sub_1_1.jsp
http://www.crosscert.com/symantec/02_1_03.jsp

하지만 KISA가 발급하는 서버용 인증서(TLS 혹은 SSL)에 쓰기에는 보안상에 문제가 있습니다.
왜냐하면 루트인증기관 및 하위 인증기관의 보안성이 검증이 되지 안았습니다.
그래서 윈도우용 파이어폭스나 리눅스, 맥에서 웹브라우저로 접속할 경우 보안경고 웹페이지가 표시 됩니다. 물론 스마트폰, 태블릿에서도 보안경고 웹페이지 표시됩니다.

KISA가 파이어폭스에 11년간 인증서 탑재 요청을 하였으나 인증서 보안 심사에 충족을 하지 못해 지금까지도 탑재하지 못하고 있습니다.
1년전에 KISA가 웹트러스트 인증을 받았다고 해도 모질라의 인증서 심사 기준과 CA브라우저포럼(CAB forum) 기준을 준수하지 못하면 소용이 없습니다.
https://bugzilla.mozilla.org/show_bug.cgi?id=335197

이번 사건처럼 루트인증기관이 보안관리를 잘하더라도 하위인증기관이 서버인증서든 클라이언트 인증서든 인증서관리를 엉망으로하면 보안성 상실이 되기 때문입니다.

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.

No Image

보안 SW 취약점 '쉿'… 정부, 즉시 공개 안했다

[언론 보도] "보안 패치를 개발하는 약 3개월 동안 개발기업, 금융·보안 당국 어디에서도 패치 개발 외 공지 등 추가 피해 방지를 위한 조처는 하지 않았다. 이 기간에 1000만대가 넘는 PC가 취약점이 있는 프로그램을 사용, 위험에 고...

Date2023.04.10 소식 By임시닉네임 Reply3 Views743

Read More
No Image

정부 접속차단 비웃는 누누티비…전용 앱 배포

[언론 보도] "(서울=연합뉴스) 조성미 이정현 기자 = 도미니카공화국에 서버를 둔 불법 스트리밍 사이트 '누누티비'가 전용 애플리케이션을 내놓으며 우리 정부의 일일 접속 차단을 무력화하고 나섰다. / 7일 업계에 따르면 누누티비는 ...

Date2023.04.10 소식 By임시닉네임 Reply13 Views3219

Read More
No Image

"월 65GB 공짜"… 알뜰폰, ‘리브엠’ 승인 임박에 제살깎기 경쟁 [‘치킨게임’ 내몰리는 알뜰폰시장]

[언론 보도] 리브엠 승인을 앞두고 중소 MVNO가 할인 경쟁에 들어갔다는 내용입니다. 4월 16일 전에 승인이 나야 하는데, 12일 승인이 유력하다더군요.

Date2023.04.10 소식 By임시닉네임 Reply5 Views1009

Read More
No Image

KT “딜라이브 인수 안한다”…4년 만에 확정 공시

[언론 보도] "KT가 케이블TV업체인 딜라이브를 인수하지 않겠다고 밝혔다. / KT는 지난 7일, 케이블방송사 딜라이브 인수를 추진하지 않기로 결정했다고 공시했다. 4년 만이다. KT는 “유료방송사업 경쟁력 강화를 위한 방안 중 하나로 ...

Date2023.04.10 소식 By임시닉네임 Reply0 Views652

Read More
No Image

트위터와 서브스택 사이의 분쟁

지난 며칠 동안 트위터에서 해외의 뉴스레터 서비스인 서브스택 링크를 공유하거나 트윗에 임베드할 수 없었다고 합니다. 서브스택의 트래픽 25%가 SNS에서 발생하며 트위터는 SNS 트래픽의 61%를 차지합니다. 상당히 큰 비중을 차지하지...

Date2023.04.09 소식 By낄낄 Reply0 Views404

Read More
No Image

SSG페이·스마일페이, 매물로 나왔다

[언론 보도] "9일 관련업계에 따르면 신세계그룹은 SSG페이·스마일페이의 매각이나 투자 유치, 지분 교환 등을 놓고 다양한 기업과 논의를 진행하고 있다." 신세계그룹이 이베이코리아 인수를... 했죠. 정리할 만 하네요.

Date2023.04.09 소식 By임시닉네임 Reply11 Views766

Read More
No Image

큐텐이 이제 인수를 시작한 게 10년 경업금지 때문이었군요

큐텐이 장사 시작한게 하루 이틀 된 것도 아닌데, 왜 요새 들어 갑자기 인수합병을 벌이나 궁금하게 생각하고 있었는데 이런 기사가 있군요. 이커머스업계에서 구 대표는 ‘레전드’로 통합니다. 인터파크 창립 멤버였던 구 대...

Date2023.04.09 소식 By낄낄 Reply10 Views1054

Read More
No Image

베일벗는 배민 '알뜰배달'…일반배달·단건배달이랑 뭐가 다를까

[언론 보도+사견] 관련 글 - [언론 보도+사견] 배민, 배달비용 부담 '확' 낮춘다 https://gigglehd.com/gg/soft/13936065 돌아오는 25일 서울특별시 관악구에서, 5월 3일에 대구광역시/인천광역시 연수구/경기도 군포시에서 서비스 오픈...

Date2023.04.09 소식 By임시닉네임 Reply6 Views949

Read More
No Image

AI를 사용한 암호 해독, 1분만에 다수의 암호를 해독 가능

GAN(Generative Adversarial Network) AI로 만든 암호 생성기인 PassGAN입니다. 2009년에 해킹됐던 3200만명 이상의 사용자 데이터에서 비밀번호를 수집해 가짜와 진짜 데이터를 식별하는 훈련 절차를 거쳤습니다. 그래서 이걸로 암호를 ...

Date2023.04.09 소식 By낄낄 Reply2 Views927

Read More
No Image

이통3사, 올해 합산 영업익 4.7조 전망…변수는 5G 가입자 '다운셀링'

[언론 보도] 제목이 내용을 충분히 요약하고 있습니다. MNO 3사 합산 영업이익이 약 4700000000000원으로 예상되고, NR 중간요금제로 ARPU가 떨어져 실적이 악화할 우려가 있다고 하더군요.

Date2023.04.08 소식 By임시닉네임 Reply4 Views371

Read More
No Image

에릭 슈밋 전 구글 CEO “AI 개발 6개월 중단? 중국에만 이득”

[언론 보도] 관련 글 - 머스크 등 전문가 1000명 'AI 개발 잠정 중단' 촉구 https://gigglehd.com/gg/soft/14000570 사람 생각은 다 비슷한 가 봅니다.

Date2023.04.08 소식 By임시닉네임 Reply7 Views883

Read More
이미지의 일부만으로 나머지를 생성하는 인공지능 이미징 기술

이 사진을 이용해서 이런식으로 만들 수 있습니다. 해당 사이트에서 베타서비스 중인 기술로 이미지를 불러와서 나머지 부분에 텍스트 프롬프트와 필터 등을 이용해서 원하는 스타일의 이미지를 만들어 낼 수 있습니다. 이미...

Date2023.04.08 소식 By아즈텍 Reply4 Views744

Read More
트위터, 로고를 파란 새로 다시 바꿈

트위터에 표시된 로고가 시바견으로 바뀌었다가, 다시 원래의 파란 새가 됐습니다. 그리고 도지코인의 시세는 많이 떨어졌습니다. 이쯤 되니 머스크가 미리 롱이나 숏 포지션을 잡고 거기에 맞춰서 떡밥을 뿌리는 게 아닌가 싶기도..

Date2023.04.08 소식 By낄낄 Reply5 Views765

Read More
메타, 깔끔하게 누끼를 따는 기술

메타가 이미지 안의 특정 오브젝트를 식별하는 이미지 세그멘테이션 AI 모델 Segment Anything Model(SAM), 대규모 데이터 세트 Segment Anything 1-Billion mask dataset(SA-1B)를 공개했습니다. 오브젝트가 무엇인지를 파악하는 개념을...

Date2023.04.08 소식 By낄낄 Reply5 Views844

Read More
모든 macOS에 비트코인 백서가 포함됨

프린터를 고치려고 macOS를 살펴보다가, 2018년 모하비 이후로 나왔던 모든 macOS에 비트코인 백서의 PDF 파일이 포함됐다는 사실이 발견됐습니다. 맥의 터미널을 열고 이 명령을 입력하면 백서를 볼 수 있습니다. open /System/Library/I...

Date2023.04.08 소식 By낄낄 Reply3 Views1663

Read More
Plask Generative AI - 3D 캐릭터의 포즈와 일치하는 2D 캐릭터 이미지를 생성하는 툴

https://www.youtube.com/watch?v=ZSCvmjkNkas AI 모션 캡처 회사인 Plask는 3D 캐릭터의 포즈와 일치하는 2D 캐릭터 이미지를 생성하는 새로운 온라인 서비스인 Plask Generative AI를 출시했습니다. 베타 버전으로 무료로 제공...

Date2023.04.08 소식 By아즈텍 Reply1 Views722

Read More
No Image

윈도우 11의 라이브 부팅 DVD 이미지를 개발 중

윈도우의 용량을 다이어트하는 Tiny11과 Tiny10 프로젝트에 참여한 사람이, 윈도우 11의 용량을 4GB까지 줄이는데 성공했습니다. 그래서 가상 머신에서 이 이미지를 불러 바로 부팅에 성공했다고 하네요. 이걸 잘 활용하면 4GB 용량의 DVD...

Date2023.04.08 소식 By낄낄 Reply2 Views785

Read More
유출 정보를 판매하던 사이트가 폐쇄됨

각종 사이트의 로그인 정보를 판매하던 제네시스 마켓이 폐쇄됐습니다. 영국, 미국, 네덜란드를 비롯한 여러 국가의 사법 기관이 참여해 208건의 압수 수색을 진행하고 119명의 용의자를 검거했습니다. 이곳에는 로그인 정보가 총 8천만 ...

Date2023.04.08 소식 By낄낄 Reply2 Views714

Read More
No Image

중계만 하고 책임은 지지 않는 공유 플랫폼 서비스

한 공유 숙박업소에 외국인 관광객이 다녀간 뒤에 수도와 가스요금이 수십만 원 나왔다는 제보가 왔습니다. 집주인은 물과 전기를 일부러 많이 쓴 것은 아닌지 의심하고 있는데, 그 관광객들은 이미 출국한 상태입니다. 예약 플랫폼인 에...

Date2023.04.08 소식 By낄낄 Reply5 Views665

Read More
크롬, WebGPU 그래픽 API를 지원

크롬의 최신 베타 버전에서 WebGPU 그래픽 API를 지원합니다. 웹에서 GPU에 직접 접근해 연산과 그래픽 작업을 수행할 수 있습니다.

Date2023.04.07 소식 By낄낄 Reply8 Views1212

Read More