인터넷 / 소프트웨어 : 윈도우즈, 리눅스, 기타 운영체제, 각종 어플리케이션, 프로그램, 소프트웨어, 인터넷, 인터넷 서비스에 대한 이야기, 소식, 테스트, 정보를 올리는 게시판입니다.

소식

2017.03.29 19:57

시만텍 CA에서 부정 인증서 대량 발견

http://centrair.kr

조회 수 2141 댓글 23

Extra Form
참고/링크	https://bugzilla.mozilla.org/show_bug.cgi?id=1334377

2017-03-29 (5).png

2016년 ~ 2017년 사이에 시만텍 CA하에서 SSL 인증서가 대량으로 부정 발급된 사실이 드러났습니다.

test.com 등 금지된 도메인으로 발급하거나 인증서 세부 내용을 허위로 채운 것들인데요, 이들 모두 시만텍 CA의 인증대행사인 한국전자인증(CrossCert)에서 발급된 것으로 확인됩니다. 대부분은 상위기관 확인 즉시 Revoke(폐기) 되었으나, 일부 인증서는 30일 이상 유지되기도 했습니다.

이로 인해 각 오픈소스 브라우저 커뮤니티가 들끓고 있으며, 크로미움 진영에서는 당분간 시만텍 EV를 '안전하지 않음'으로 분류해야 한다는 주장이 나왔습니다.( https://groups.google.com/a/chromium.org/forum/m/#!msg/blink-dev/eUAKwjihhBs/rpxMXjZHCQAJ ) - 초록색의 '안전함' 표기를 없앤다는 거죠. 크롬을 개발하는 구글은 동의 의사를 밝혔으나 타 브라우저와 발맞춰 움직이길 원한다고 합니다.( http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170326032010&type=det&re= )

위 참고 사진은 한국전자인증의 광고인데요, 사실 시만텍은 1위에서 밀려난지 꽤 됐습니다.

https://w3techs.com/technologies/history_overview/ssl_certificate

삭제 요청

목록 스크랩

위로 아래로 댓글로 가기

Comments '23'

노력 2017.03.29 20:12

시만텍 CA가 안전하지 않은데 브라우저에서 안전함으로 뜨는점이 문제지요 흠..
?
약장수마녀 Make Gigglehd Great Again!, Gigglehd First! d('∧')b AMD FX CPU Fake NEW... 2017.03.29 20:30

이 망할 시만텍이 이런건 잘 발급하면서 정작 자사 제품 엔드포인트 서버 SSL 접속 인증서는...
낄낄 2017.03.29 20:42

이쯤 되면 저거 완전 사기 아니에요? 제정신인가..
?
Cluster 2017.03.29 20:43

한국전자인증... 한국 보안이 국제적으로 사고를 쳤군요
白夜2ndT 원래 암드빠의 길은 외롭고 힘든거에요! 0ㅅ0)-3 / Twitter @2ndTurning 2017.03.29 22:41

결국 세계구급으로 망신당하게 생겼지 말임돠. 아예 이 참에 탈탈 털려버리라지 말임돠.
슬렌네터 Human is just the biological boot loader for A.I. 2017.03.30 00:15

에휴 절래절래= _=
?
RuBisCO 2017.03.30 01:16

저기를 믿다니 이 헬알못 시만텍...
동전삼춘 2017.03.30 01:34

=ㅅ=;; 한국전자인증이 사고쳐서 시만텍이 덩달아 욕먹는 듯한 느낌인데요.
ExyKnox An ordinary human connecting dots about every experience✨ 2017.03.30 01:38

일쳤네요.
Koasing PROBLEM? 2017.03.30 01:53

구글에서는 약 3만개 정도 부정 발급된 것으로 추정하고 있습니다만 시만텍은 이를 부정하고 있습니다.
CrossCert (한국전자인증) RA에서 발급된 127개는 부정 발급 사례로 인정하였구요.

당 사례에 대해 시만텍에서 발표한 보고서에 따르자면
CrossCert RA에서 발급된 127개는 내부 테스트 목적 및 관리시스템 소개 목적으로 발급되었다고 하며
자동 필터링 시스템에서 규정 위반으로 차단되었으나 CrossCert에서 강제로 이를 무시하고 발급했다고 합니다.
어쨌든 규정을 어긴 것이니 CrossCert는 책임을 피할 수 없겠고, 1월 당시 시점에 RA 업무권한이 즉시 정지되었다고 합니다.
시만텍 또한 자체 감시 시스템이 제대로 동작하지 않았음을 인정하고 이유를 찾고 있다고 합니다.

이어지는 시만텍 질의응답에 따르자면
CrossCert에서 발급된 모든 인증서는 시만텍에서 재감사를 수행하여 필요한 경우 revoke나 재발급 될 것이며
RA 프로그램은 종료되어 인증대행사를 이용한 발급은 중단, 모든 발급 신청은 시만텍 자체 인력으로 검증을 수행할 것이라고 합니다.
?
히로리아 2017.03.30 01:56

3만개라니 장난아니네요
Renfro. the last resort 2017.03.30 04:56

보안에서 한국회사를 믿다니(...) 이쪽은 무조건 믿고 걸러야 할 텐데...
아엠푸 5900X+96GB 2017.03.30 08:32

한국보안회사에 영업손실 소송걸어도 할말이 없겠는데요
TundraMC 자타공인 암드사랑/GET AMD, GET MAD. Dam/컴푸어 카푸어 그냥푸어/니얼굴사... 2017.03.30 09:10

헬알못...믿어도 될껄믿어야지...
?
Aeacus 2017.03.30 11:22

???: 국민 여러분 안심하십시오. 공인인증서는 안전합니다.
?
약장수마녀 Make Gigglehd Great Again!, Gigglehd First! d('∧')b AMD FX CPU Fake NEW... 2017.03.30 11:51

기사 내용을 잘보시면 이전부터 구글에서 시만텍에 인증서 건으로 문제를 많이 제기 했는데 이걸로 보아 시만텍도 관계가 있을 것으로 봐요

괴씸죄도 포함되었을 거에요
?
skymont 2017.03.30 12:54

이정도 인증서 발급이 허술하다면 국내의 SSL인증서인 GPKI RootCA와 KISA Root CA도 인증서 검증조차 제대로 되지 않아 있으니 인증서 서장소에서 삭제 되어야 합니다.
Touchless 2017.03.30 13:59

한국전자인증의 부정 인증서 발급에 시만텍이 발목을 잡혔네요;
아카츠키 . 2017.03.30 15:53

한국에 제대로 된 보안회사가 있었던가...
?
winner 2017.03.30 16:02

Symantec 은 Verisign 인증서 사업 인수해서 잘 말아먹네요.
한국전자인증도 큰 문제이지만 Symantec 인증서 발급에 대해서는 예전에도 종종 문제된 적이 있습니다. 괜히 browser 제작회사들이 인증서 발급 회사들을 문제삼는게 아니지요. Let's Encrypt 도 그래서 나왔고...
?
skymont 2017.03.31 19:02

참고로 CrossCert (한국전자인증)이 공인인증기관이기도하고, 공인인증서 발급 솔루션, 프로그램 업체 입니다.

--수정--
"공인인증기관이 아니라" 에서 "공인인증기관이기도하고" 로 정정합니다.

공인인증서 발급 솔루션(CrossCert)
http://www.crosscert.com/solution/03_1_07.jsp
Centrair http://centrair.kr 2017.03.31 20:52

KISA의 업무를 대행해 범용공인인증서를 발급하고 SSL 인증서를 발급하니 공인인증기관 맞지 않나요?
?
skymont 2017.04.01 00:43

공인인증기관 맞습니다
한국정보인증과 이름 비슷해서 한국전자인증이 아닐거라고 생각는데, 뒤늦게 알아보니 한국전자인증도 공인인증기관입니다.
지적 감사합니다.
정정할게요...;

전자서명법 제4조의 규정에 의하여 지정된 공인인증기관 중에 한 한곳인 한국전자인증이 맞습니다.
http://www.rootca.or.kr/kor/accredited/accredited01.jsp

정확히 말씀드리자면 KISA(한국인터넷진흥원)는 루트인증기관(최상위 인증기관)이구요.
그 밑에 있는 하위인증기관은 한국전자인증(주), 금융결제원, 한국정보인증(주), (주)코스콤, 금융결제원, 한국무역정보통신 입니다.

SSL인증서에 관해서 말씀드리자면
KISA 에서 발급하는 SSL인증서를 발급하는 기관이기도 합니다.
http://open.crosscert.com/sub_1_1.jsp
http://www.crosscert.com/symantec/02_1_03.jsp

하지만 KISA가 발급하는 서버용 인증서(TLS 혹은 SSL)에 쓰기에는 보안상에 문제가 있습니다.
왜냐하면 루트인증기관 및 하위 인증기관의 보안성이 검증이 되지 안았습니다.
그래서 윈도우용 파이어폭스나 리눅스, 맥에서 웹브라우저로 접속할 경우 보안경고 웹페이지가 표시 됩니다. 물론 스마트폰, 태블릿에서도 보안경고 웹페이지 표시됩니다.

KISA가 파이어폭스에 11년간 인증서 탑재 요청을 하였으나 인증서 보안 심사에 충족을 하지 못해 지금까지도 탑재하지 못하고 있습니다.
1년전에 KISA가 웹트러스트 인증을 받았다고 해도 모질라의 인증서 심사 기준과 CA브라우저포럼(CAB forum) 기준을 준수하지 못하면 소용이 없습니다.
https://bugzilla.mozilla.org/show_bug.cgi?id=335197

이번 사건처럼 루트인증기관이 보안관리를 잘하더라도 하위인증기관이 서버인증서든 클라이언트 인증서든 인증서관리를 엉망으로하면 보안성 상실이 되기 때문입니다.

작성된지 4주일이 지난 글에는 새 코멘트를 달 수 없습니다.

No Image

역시 클라우드는 국내가 짱인가봐요..

모 대형 커뮤니티가 터지고, 대체 커뮤니티를 직접 구축한 커뮤니티가 있는데, 그 커뮤니티가 GCP를 사용중에 있는데, 과도한 트래픽이 갑자기 발현되서 DDoS공격으로 간주되, 72시간 안에 소명하라고 하는군요... 근데 이거 하려고...

Date2024.03.29 일반 By뚜찌`zXie Reply6 Views806

Read More
윈도우 언어설정?? 질문드립니다.

안녕하세요 회사 컴퓨터르 바꾸면서 언어추가가 이상하게 되었는지 아래 사진처럼 중국어로 표기가 되는 현상이 있는데 혹시 비슷한 증상을 경험해 보신분이 계실까요?

Date2024.03.28 질문 By염마 Reply1 Views399

Read More
No Image

구글, 스냅드래곤+윈도우에 최적화된 크롬을 출시

구글이 스냅드래곤 X 엘리트 프로세서에서 실행하는 Arm 버전 윈도우에 최적화된 크롬 브라우저를 출시합니다. x86 에뮬레이트 버전보다 성능이 크게 향상됐다고 합니다.

Date2024.03.28 소식 By낄낄 Reply22 Views878

Read More
No Image

T우주 유튜브 프리미엄 요금 인상

6월 1일부터 T우주 구독 서비스에서 유튜브 프리미엄을 이용할 경우 요금이 인상됩니다 T우주에서 유튜브 프리미엄을 이용할 수 있는 구독은 총 3종 - 우주패스 all - 우주패스 life - 우주패스 with YouTube Premium 이 중 all의 경...

Date2024.03.28 소식 By메이드아리스 Reply6 Views820

Read More
No Image

AI 워크로드에 대한 최초의 대규모 공격

https://www.ray.io/ AI 워크로드와 더불어 자격 증명을 저장하는 수천대의 서버가 Ray 프레임워크에 대한 대규모 공격에 털렸습니다. 정확하겐 CVE-2023-48022라는 Ray 프레임워크의 취약점으로 이를 뚫어뻥 했는데요... 최소 7개월...

Date2024.03.28 소식 By책읽는달팽 Reply6 Views617

Read More
No Image

구글 드라이브를 너무 믿으면 안되겠어요

테스트용 컴퓨터 3대, 작업실의 메인 시스템, 집에 있는 서브 컴퓨터를 오가면서 파일 동기화하는 용도로 구글 드라이브를 매우 잘 쓰고 있습니다. 요새는 날이 추워서 작업할 게 있을 때만 작업실을 쓰고, 어지간하면 메인 시스템에서 다...

Date2024.03.28 일반 By낄낄 Reply4 Views915

Read More
NVIDIA, 문장을 3D 모델로 만드는 생성 AI 공개

NVIDIA가 문장을 제시하면 그걸로 3D 모델을 만드는 AI 모델 기술인 LATT3D를 공개했습니다. 1초만에 완전한 3D 모델을 만들어 준다고 합니다. 지오메트리와 텍스처를 따로 만들어 사실적인 모델을 생성하고, 문장을 모델로 만드는 시간...

Date2024.03.26 소식 By낄낄 Reply1 Views820

Read More
No Image

F1 레이싱 팀의 자재 관리를 엑셀에서 전용 시스템으로 교체

James Vowles는 메르세데스 F1 팀에서 윌리엄스 F1 팀의 최고 기술 책임자로 이직했습니다. 그리고 이 팀이 부품 관리에 엑셀을 사용한다는 사실을 발견했습니다. F1 레이싱 카의 기술은 매년 업그레이드되어 맞춤 부품의 사용량이 갈수...

Date2024.03.26 소식 By낄낄 Reply1 Views722

Read More
No Image

MS, 러시아 기업용 클라우드 서비스 폐쇄

마이크로소프트는 작년 12월에 EU 규제 부서에서 발표한 러시아 제재에 다라, 3월 말에 러시아 기업에 제공하던 50개 이상의 클라우드 서비스를 폐쇄합니다. 원래 24년 3월 20일에 실행될 예정이었으나 대체제를 찾는데 필요한 시간을 주...

Date2024.03.26 소식 By낄낄 Reply0 Views404

Read More
[GDC 2024]다이렉트X - 'State of The Union''(다이렉트 슈퍼 해상도)' 기술 소개 내용

▶ 마이크로소프트, 'GDC 2024' 컨퍼런스'에서 발표된 '다이렉트X 기술' 발표[Direct Super Resolution(다이렉트 슈퍼 해상도) ☞ 기술 발표 설명자 ① 마이크로소프트 : Shawn Hargreaves(다이렉트3D 개발 매니저), Austin Kinross(PIX...

Date2024.03.24 소식 By블레이더영혼 Reply2 Views590

Read More
Procyon에 AI 이미지 생성 벤치마크 추가

UL 솔루션이 Procyon 벤치마크에 AI 이미지 생성 측정 기능인 AI Image Generation Benchmark을 추가해 25일에 출시합니다. 인텔 OpenVINO, NVIDIA의 TensorRT, ONNX Runtime with DirectML을 지원하며 GPU를 사용하는 걸 염두에 둔 테스...

Date2024.03.24 소식 By낄낄 Reply3 Views400

Read More
No Image

에픽 게임즈, iOS에서 윈도우와 똑같은 수수료를 매김

에픽 게임즈가 애플 앱스토어 대신 iOS의 자체 앱스토어를 통해 판매하는 앱에서 12%의 수수료를 부과합니다. 윈도우/맥 버전과 똑같이 처음 6개월 동안은 수수료가 없고 이후부터 12%를 징수합니다. 다른 세부 규칙도 대충 같습니다. htt...

Date2024.03.24 소식 By낄낄 Reply0 Views591

Read More
VR 화면에 가짜 레이어를 추가하는 공격 수법

VR을 대상으로 한 공격 수법입니다. 일반적으로 VR 홈 스크린에서 VR 앱을 실행하는데, 그 위에 인셉션 레이어라는 가짜 홈스크린을 띄우고 거기에서 VR 앱을 실행하면서 얻는 모든 상호 작용을 탈취하는 수법입니다. 인셉션 레이어를 띄...

Date2024.03.24 소식 By낄낄 Reply3 Views650

Read More
메모장, 맞춤법 검사 기능 추가

윈도우 11의 인사이더 프리뷰 버전에서 메모장에 맞춤법 검사 기능이 추가됩니다. 메모장이 등장한지 41년만의 일입니다. 시프트+F10을 누르거나 단어를 클릭/탭하면 권장 단어를 보여줍니다. 다만 기본적으로는 이 기능이 꺼져 있으며, ...

Date2024.03.23 소식 By낄낄 Reply5 Views861

Read More
No Image

코인베이스, 도지코인의 선물 거래를 미국에 신청

가상화폐 거래소인 코인베이스가 도지코인, 라이트코인, 비트코인 캐시의 미국 정부 규제 선물 거래를 미국 삼품선물거래위원회 CFTC에 신청했습니다. 신청일은 3월 7일이며 CFTC가 거부하지 않는 한 선물 거래는 4월 1일부터 시작됩니다.

Date2024.03.23 소식 By낄낄 Reply1 Views481

Read More