Skip to content

기글하드웨어기글하드웨어

인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

profile
조회 수 2141 댓글 23
Extra Form
참고/링크 https://bugzilla.mozilla.org/show_bug.cgi?id=1334377

2017-03-29 (5).png

 

2016년 ~ 2017년 사이에 시만텍 CA하에서 SSL 인증서가 대량으로 부정 발급된 사실이 드러났습니다.

 

test.com 등 금지된 도메인으로 발급하거나 인증서 세부 내용을 허위로 채운 것들인데요, 이들 모두 시만텍 CA의 인증대행사인 한국전자인증(CrossCert)에서 발급된 것으로 확인됩니다. 대부분은 상위기관 확인 즉시 Revoke(폐기) 되었으나, 일부 인증서는 30일 이상 유지되기도 했습니다.

 

이로 인해 각 오픈소스 브라우저 커뮤니티가 들끓고 있으며, 크로미움 진영에서는 당분간 시만텍 EV를 '안전하지 않음'으로 분류해야 한다는 주장이 나왔습니다.( https://groups.google.com/a/chromium.org/forum/m/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ ) - 초록색의 '안전함' 표기를 없앤다는 거죠. 크롬을 개발하는 구글은 동의 의사를 밝혔으나 타 브라우저와 발맞춰 움직이길 원한다고 합니다.( http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170326032010&type=det&re= )

 


 

위 참고 사진은 한국전자인증의 광고인데요, 사실 시만텍은 1위에서 밀려난지 꽤 됐습니다.

https://w3techs.com/technologies/history_overview/ssl_certificate



  • profile
    노력 2017.03.29 20:12
    시만텍 CA가 안전하지 않은데 브라우저에서 안전함으로 뜨는점이 문제지요 흠..
  • ?
    약장수마녀      Make Gigglehd Great Again!, Gigglehd First! d('∧')b AMD FX CPU Fake NEW... 2017.03.29 20:30
    이 망할 시만텍이 이런건 잘 발급하면서 정작 자사 제품 엔드포인트 서버 SSL 접속 인증서는...
  • profile
    낄낄 2017.03.29 20:42
    이쯤 되면 저거 완전 사기 아니에요? 제정신인가..
  • ?
    Cluster 2017.03.29 20:43
    한국전자인증... 한국 보안이 국제적으로 사고를 쳤군요
  • profile
    白夜2ndT      원래 암드빠의 길은 외롭고 힘든거에요! 0ㅅ0)-3 / Twitter @2ndTurning 2017.03.29 22:41
    결국 세계구급으로 망신당하게 생겼지 말임돠. 아예 이 참에 탈탈 털려버리라지 말임돠.
  • profile
    슬렌네터      Human is just the biological boot loader for A.I. 2017.03.30 00:15
    에휴 절래절래= _=
  • ?
    RuBisCO 2017.03.30 01:16
    저기를 믿다니 이 헬알못 시만텍...
  • profile
    동전삼춘 2017.03.30 01:34
    =ㅅ=;; 한국전자인증이 사고쳐서 시만텍이 덩달아 욕먹는 듯한 느낌인데요.
  • profile
    ExyKnox      An ordinary human connecting dots about every experience✨ 2017.03.30 01:38
    일쳤네요.
  • profile
    Koasing      PROBLEM? 2017.03.30 01:53
    구글에서는 약 3만개 정도 부정 발급된 것으로 추정하고 있습니다만 시만텍은 이를 부정하고 있습니다.
    CrossCert (한국전자인증) RA에서 발급된 127개는 부정 발급 사례로 인정하였구요.

    당 사례에 대해 시만텍에서 발표한 보고서에 따르자면
    CrossCert RA에서 발급된 127개는 내부 테스트 목적 및 관리시스템 소개 목적으로 발급되었다고 하며
    자동 필터링 시스템에서 규정 위반으로 차단되었으나 CrossCert에서 강제로 이를 무시하고 발급했다고 합니다.
    어쨌든 규정을 어긴 것이니 CrossCert는 책임을 피할 수 없겠고, 1월 당시 시점에 RA 업무권한이 즉시 정지되었다고 합니다.
    시만텍 또한 자체 감시 시스템이 제대로 동작하지 않았음을 인정하고 이유를 찾고 있다고 합니다.

    이어지는 시만텍 질의응답에 따르자면
    CrossCert에서 발급된 모든 인증서는 시만텍에서 재감사를 수행하여 필요한 경우 revoke나 재발급 될 것이며
    RA 프로그램은 종료되어 인증대행사를 이용한 발급은 중단, 모든 발급 신청은 시만텍 자체 인력으로 검증을 수행할 것이라고 합니다.
  • ?
    히로리아 2017.03.30 01:56
    3만개라니 장난아니네요
  • profile
    Renfro.      the last resort 2017.03.30 04:56
    보안에서 한국회사를 믿다니(...) 이쪽은 무조건 믿고 걸러야 할 텐데...
  • profile
    아엠푸      5900X+96GB 2017.03.30 08:32
    한국보안회사에 영업손실 소송걸어도 할말이 없겠는데요
  • profile
    TundraMC      자타공인 암드사랑/GET AMD, GET MAD. Dam/컴푸어 카푸어 그냥푸어/니얼굴사... 2017.03.30 09:10
    헬알못...믿어도 될껄믿어야지...
  • ?
    Aeacus 2017.03.30 11:22
    ???: 국민 여러분 안심하십시오. 공인인증서는 안전합니다.
  • ?
    약장수마녀      Make Gigglehd Great Again!, Gigglehd First! d('∧')b AMD FX CPU Fake NEW... 2017.03.30 11:51
    기사 내용을 잘보시면 이전부터 구글에서 시만텍에 인증서 건으로 문제를 많이 제기 했는데 이걸로 보아 시만텍도 관계가 있을 것으로 봐요

    괴씸죄도 포함되었을 거에요
  • ?
    skymont 2017.03.30 12:54
    이정도 인증서 발급이 허술하다면 국내의 SSL인증서인 GPKI RootCA와 KISA Root CA도 인증서 검증조차 제대로 되지 않아 있으니 인증서 서장소에서 삭제 되어야 합니다.
  • profile
    Touchless 2017.03.30 13:59
    한국전자인증의 부정 인증서 발급에 시만텍이 발목을 잡혔네요;
  • profile
    title: 흑우아카츠키      . 2017.03.30 15:53
    한국에 제대로 된 보안회사가 있었던가...
  • ?
    winner 2017.03.30 16:02
    Symantec 은 Verisign 인증서 사업 인수해서 잘 말아먹네요.
    한국전자인증도 큰 문제이지만 Symantec 인증서 발급에 대해서는 예전에도 종종 문제된 적이 있습니다. 괜히 browser 제작회사들이 인증서 발급 회사들을 문제삼는게 아니지요. Let's Encrypt 도 그래서 나왔고...
  • ?
    skymont 2017.03.31 19:02
    참고로 CrossCert (한국전자인증)이 공인인증기관이기도하고, 공인인증서 발급 솔루션, 프로그램 업체 입니다.

    --수정--
    "공인인증기관이 아니라" 에서 "공인인증기관이기도하고" 로 정정합니다.

    공인인증서 발급 솔루션(CrossCert)
    http://www.crosscert.com/solution/03_1_07.jsp
  • profile
    title: 저사양Centrair      http://centrair.kr 2017.03.31 20:52
    KISA의 업무를 대행해 범용공인인증서를 발급하고 SSL 인증서를 발급하니 공인인증기관 맞지 않나요?
  • ?
    skymont 2017.04.01 00:43
    공인인증기관 맞습니다
    한국정보인증과 이름 비슷해서 한국전자인증이 아닐거라고 생각는데, 뒤늦게 알아보니 한국전자인증도 공인인증기관입니다.
    지적 감사합니다.
    정정할게요...;

    전자서명법 제4조의 규정에 의하여 지정된 공인인증기관 중에 한 한곳인 한국전자인증이 맞습니다.
    http://www.rootca.or.kr/kor/accredited/accredited01.jsp

    정확히 말씀드리자면 KISA(한국인터넷진흥원)는 루트인증기관(최상위 인증기관)이구요.
    그 밑에 있는 하위인증기관은 한국전자인증(주), 금융결제원, 한국정보인증(주), (주)코스콤, 금융결제원, 한국무역정보통신 입니다.

    SSL인증서에 관해서 말씀드리자면
    KISA 에서 발급하는 SSL인증서를 발급하는 기관이기도 합니다.
    http://open.crosscert.com/sub_1_1.jsp
    http://www.crosscert.com/symantec/02_1_03.jsp

    하지만 KISA가 발급하는 서버용 인증서(TLS 혹은 SSL)에 쓰기에는 보안상에 문제가 있습니다.
    왜냐하면 루트인증기관 및 하위 인증기관의 보안성이 검증이 되지 안았습니다.
    그래서 윈도우용 파이어폭스나 리눅스, 맥에서 웹브라우저로 접속할 경우 보안경고 웹페이지가 표시 됩니다. 물론 스마트폰, 태블릿에서도 보안경고 웹페이지 표시됩니다.

    KISA가 파이어폭스에 11년간 인증서 탑재 요청을 하였으나 인증서 보안 심사에 충족을 하지 못해 지금까지도 탑재하지 못하고 있습니다.
    1년전에 KISA가 웹트러스트 인증을 받았다고 해도 모질라의 인증서 심사 기준과 CA브라우저포럼(CAB forum) 기준을 준수하지 못하면 소용이 없습니다.
    https://bugzilla.mozilla.org/show_bug.cgi?id=335197

    이번 사건처럼 루트인증기관이 보안관리를 잘하더라도 하위인증기관이 서버인증서든 클라이언트 인증서든 인증서관리를 엉망으로하면 보안성 상실이 되기 때문입니다.

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.


  1. 용량을 부풀린 USB 드라이브를 감지하는 유틸리티 ValiDrive

    용량을 부풀린 USB 드라이브를 감지하는 유틸리티인 ValiDrive입니다. 알리익스프레스에서 말도 안 되는 대용량 USB 메모리를 판매하는데 실제로는 턱없이 부족한 경우가 많은데요. 이 프로그램을 쓰면 간단히 알아낼 수 있습니다.
    Date2023.10.09 소식 By낄낄 Reply17 Views1396 file
    Read More
  2. 고양이, 재향군인회 병원 데이터를 날리다

    사진은 다른 쪽입니다.   미국에서 재향군인회 병원 서버 클러스터 구성을 짜다다가 우다닥 와서 키보드에서 놀아 데이터가 삭제되었다고 공식 발표가 되었습니다.   역시 고양이는...
    Date2023.10.08 소식 By책읽는달팽 Reply3 Views1251 file
    Read More
  3. No Image

    사파리, 개인정보 보호 모드에서 덕덕고를 고려했었음

    애플은 2018년에 개인 브라우징 모드의 기본 엔진으로 덕덕고를 쓰기 위해 협상했지만 결국 결렬됐고 구글을 유지했다고 합니다. 덕덕고의 CEO는 2018년과 2019년에 사파리의 수장을 포함한 애플 경영진과 20번의 회의나 전화 통화를 했으...
    Date2023.10.07 소식 By낄낄 Reply5 Views986
    Read More
  4. No Image

    “16만원 가방 알고보니 9만원짜리” 너도나도 믿고 클릭했다가…당했다

    최근 논란이 된 제품 중 하나. 펀딩플랫폼 와디즈에서 15만~16만원에 판매 중인 여행용 가방이다. 문제는 해당 가방이 중국 쇼핑몰 알리익스프레스에선 9만4000원대에 팔리고 있다는 점. 펀딩플랫폼 와디즈를 향한 여론이 악화되고 있다. ...
    Date2023.10.06 소식 By낄낄 Reply5 Views1816
    Read More
  5. No Image

    구글 "韓매출 3400억" 세금 169억 내더니…사실은 10.5조 벌었다?

    강 교수는 "구글코리아의 2022년 매출액은 3449억원이라는 감사보고서 수치의 최대 30배인 10조5000억원에 이르는 것으로 추정된다"며 "한국 정부에 납부해야 할 법인세 역시 최대 4420억원으로 추정돼 실제 납부한 169억원의 26배에 이른...
    Date2023.10.06 소식 By낄낄 Reply5 Views1036
    Read More
  6. LG U+ 유선인터넷망에 IPv6 도입했나봐요

    LG 인터넷망을 잠시 잡아서 쓸 일이 있었는데 IPv6이 붙네요..?   공유기 관리 페이지 접근은 불가해서 어떻게 돌아가는지 상세하게는 확인하지 못했는데, 이제 유선망에도 차차 보급해 나갈 계획이기는 하나 봅니다.   + 찾아보니 대략 ...
    Date2023.10.06 일반 By우리동네오타쿠 Reply11 Views2234 file
    Read More
  7. No Image

    윈도우 10, 여전히 윈도우 11보다 점유율이 높음

    윈도우 11이 나온지도 2년이 됐지만 그 점유율은 여전히 윈도우 10보다 낮습니다. 스타카운터의 집계에 따르면 윈도우 10의 전세계 시장 점유율은 71.64%, 윈도우 11은 23.61%입니다. 윈도우 7은 3.34%, 윈도우 8.1은 0.61%, 윈도우 8은 0...
    Date2023.10.06 소식 By낄낄 Reply10 Views939
    Read More
  8. 손상된 rtf 파일의 복구방법이 있을까요?

    업무적 이유로 아주 오래전 서버에서 rtf파일하나를 겨우 찾아내었습니다.   근데 파일을 여니, 손상된 파일이라고 뜨네요.   파일 사이즈는 50여 MB로 큰편인데, 일부가 깨진게 아니라     라며 파일이 아예 열리지 않는 상황입니다. 이 ...
    Date2023.10.06 질문 Bytitle: 가난한AKG-3 Reply4 Views737 file
    Read More
  9. No Image

    넷플릭스, 광고 없는 구독 요금의 가격 인상?

    넷플릭스가 광고 없는 구독 요금의 가격을 인상할 거라고 합니다. 미국과 캐나다부터 인상하는데 얼마일지는 아직 모릅니다. 넷플릭스는 미국에서 기본 요금제 9.99달러, 표준 요금제 15.49달러, 프리미엄 요금제 19.99달러를 부과 중입니...
    Date2023.10.06 소식 By낄낄 Reply4 Views528
    Read More
  10. No Image

    유튜브, 일본에서 수익 조건 완화

    유튜브가 일본에서 수익 조건을 완화했습니다. 구독자 수 5백명 이상, 최근 90일 간 3건 이상의 영상 업로드, 12개월 간 영상 재생 3천 시간이거나 쇼츠 영상 재생 3백만번 이상입니다. https://youtube-jp.googleblog.com/2023/10/impact...
    Date2023.10.05 소식 By낄낄 Reply0 Views747
    Read More
  11. 윈도우 11에 RGB LED 제어 기능이 추가

    윈도우 11의 최신 업데이트에서 RGB LED 제어 기능이 추가됐습니다. 아래 스크린샷은 독일어라서 알아보기가 좀 어렵긴 한데, 제어판에 LED 관련 항목이 추가된 걸 확인할 수 있습니다.
    Date2023.10.05 소식 By낄낄 Reply5 Views813 file
    Read More
  12. No Image

    지메일, 대량 메일 발송의 스팸 방지 가이드라인

    지메일이 하루 5천통 이상의 메일을 보내는 계정에 몇 가지 가이드라인을 지정했습니다. 여기에 해당되는 계정은 SPF나 DKIM 같은 메일 인증 기술을 도입하고, 불필요한 메일이나 스팸 메일 송신을 하지 말아야 하며, 수신자가 메일 구독...
    Date2023.10.05 소식 By낄낄 Reply1 Views476
    Read More
  13. WSL을 사용할 때 탐색기에서 리눅스 파일에 접근 불가능한 문제

    윈도우 11 22H2, WSL 우분투 22.04.2를 사용하고 있습니다.   탐색기에 Linux 라는 부분이 생겼습니다.     이렇게요.   그런데 저 Linux를 윈도우 10에서는 일반 윈도우 폴더마냥 사용할 수 있었단 말이죠?   그런데 지금은     이렇게 ...
    Date2023.10.05 질문 Bytitle: AIExpBox Reply15 Views711 file
    Read More
  14. No Image

    최신 윈도우 11 업데이트가 AMD 그래픽 드라이버 설정을 리셋함

    윈도우 11 KB5030310 업데이트에서 copilot AI가 추가됐습니다. 그리고 AMD 아드레날린 드라이버의 설정을 초기화시키는 버그도 함께 생겼습니다. KB5030310 업데이트의 copilot 기능을 끄거나 업데이트를 지우면 설정이 날라가지 않는다...
    Date2023.10.05 소식 By낄낄 Reply2 Views751
    Read More
  15. No Image

    PC에서 구글 포토 동기화 기능을 끌 수 있나요?

    저희 사장님께서 한 달짜리 해외 여행을 가셔서, 귀국일까지 이제 보름 정도 남았습니다.   그런데, 출발 며칠 전에 폰을 기변하시면서, 이것 저것 만지시면서 아무래도 구글 포토를 동기화 시켜 놓고 가신 것 같아요. (아니면, 어쩌면 샘...
    Date2023.10.04 질문 By랩탑 Reply9 Views607
    Read More
목록
Board Pagination Prev 1 ... 43 44 45 46 47 48 49 50 51 52 ... 572 Next
/ 572

최근 코멘트 30개

MSI 코리아
더함
AMD
한미마이크로닉스

공지사항        사이트 약관        개인정보취급방침       신고와 건의


기글하드웨어는 2006년 6월 28일에 개설된 컴퓨터, 하드웨어, 모바일, 스마트폰, 게임, 소프트웨어, 디지털 카메라 관련 뉴스와 정보, 사용기를 공유하는 커뮤니티 사이트입니다.
개인 정보 보호, 개인 및 단체의 권리 침해, 사이트 운영, 관리, 제휴와 광고 관련 문의는 이메일로 보내주세요. 관리자 이메일

sketchbook5, 스케치북5

sketchbook5, 스케치북5

나눔글꼴 설치 안내


이 PC에는 나눔글꼴이 설치되어 있지 않습니다.

이 사이트를 나눔글꼴로 보기 위해서는
나눔글꼴을 설치해야 합니다.

설치 취소