닷네임코리아, 저가형 인증서 취약점 이용한 피싱 사이트 급증

[CCTV뉴스=이승윤 기자] 닷네임코리아가 저가형 인증서인 DV SSL(Domain-Validated Secure Sockets Layer)의 취약점을 이용한 피싱 사이트 피해가 구글(Google)에서 '안전함' 표기 이후 오히려 더 증가하고 있어 주의가 필요하다고 밝혔다. 

넷크래프트(Netcraft)에 따르면, 전세계적으로 DV SSL의 수요는 지난 해 대비 무려 335%가 증가했다. 이런 전세계적인 증가폭은 DV SSL을 무료로 제공하는 렛츠 인크립트(Let’s Encrypt)의 영향이 크다는 분석이 나오고 있다. 렛츠 인크립트가 무상으로 DV SSL을 공급하면서 수요 증가를 견인하고 있다고 설명했다. SSL 인증서는 인증 방법에 따라 크게 DV(Domain-Validated), OV(Organization-Validated), EV(Extended-Validation) 세 가지 유형으로 나누어 진다. 이 중 DV SSL은 OV SSL, EV SSL과 비교해 저렴한 가격과 별도의 기업심사 없이 발급된다는 특징이 있어 많은 글로벌 인증서 제공 기업들이 편의성을 강점으로 내세우며 인증시장에서 점유율을 확보해 왔다.

DV SSL의 성장세와 맞물려 구글은 크롬(Chrome) 55 버전부터 인증서를 적용하는 웹사이트에 대해서 브라우저 상에 '안전함'을 표기하는 정책을 시행했다. 크롬  상에서 인증서만 적용되어 있으면 사이트 접속 시 '안전함'으로 표기되기 때문에 일반 사용자의 입장에서는 인증서가 정상 설치된 사이트에 대해서 직관적으로 ‘안전하다’고 인식하게 된다고 설명했다.

문제는 피싱 사이트에서 이 점을 악용해 손쉽게 발급되는 DV SSL인증서를 발급 받아 불법 웹사이트의 안전성을 확보하고 있다는 것이다. 넷크래프트에 따르면, 구글 크롬의 '안전함' 표기 정책 시행 이후, 피싱 사이트들이 렛츠 인크립트와 같은 무료 인증서를 사이트에 적용한 후, '안전함' 표기를 미끼로 피싱에 성공한 사례가 급속하게 증가하고 있다.

브라우저 기술표준 협의체(CAB Forum)는 이같은 SSL에 대한 크롬 표기 정책을 문제 삼고, 사용자에게 막연한 정보를 제공하는 것이 아니라 인증서 유형별로 명확하게 정의된 보안 정보를 제공해 혼란을 막아야 하며, 사용자에게 인증서의 유형 별 차이점과 각 브라우저 별 표기 방식에 대한 교육이 필요함을 강조했다.

닷네임코리아 강희승 대표는 “안전함이라는 표기 대신 사용자가 좀더 신중하고 객관적으로 판단할 수 있게 하는 보안접속 등 전문적인 명칭을 사용하자는 의견이 전문가들 사이에서 많이 제안되고 있다”며 "DV, OV, EV 각각의 인증서 유형에 따라 브라우저 별로 표기되는 방식이 다른방식으로 이 같이 피싱의 위협이 증가하고 있다면 DV SSL을 사용하는 것보다는 웹사이트의 실체성과 회사명을 브라우저 상에 명확히 표기해주는 EV SSL을 사용해 DV SSL의 단점을 보완하는 것이 바람직한 방향”이라고 전했다.