2024-03-29 17:15 (금)
[G-PRIVACY 2020] 나정주 디지서트 지사장 “국내 공공분야, 신뢰할 수 있는 EV인증서 도입 확대해야”
상태바
[G-PRIVACY 2020] 나정주 디지서트 지사장 “국내 공공분야, 신뢰할 수 있는 EV인증서 도입 확대해야”
  • 길민권 기자
  • 승인 2020.06.01 17:06
이 기사를 공유합니다

“코로나19 시대, 피싱사이트 기승…EV인증서 도입으로 사용자 정보 보호해야”
“디지서트, TLS/SSL 인증서와 IoT 보안 선도…양자컴퓨팅 시대 보안위협 대비”
G-PRIVACY 2020. 디지서트 나정주 지사장. ‘비대면 시대의 웹 사이트 보안과 안전한 재택 근무 방안’을 주제로 키노트 발표 진행.
G-PRIVACY 2020. 디지서트 나정주 지사장. ‘비대면 시대의 웹 사이트 보안과 안전한 재택 근무 방안’을 주제로 키노트 발표 진행.

상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020이 5월 28일 더케이호텔서울 가야금홀에서 성황리에 개최됐다.

이 자리에서 디지서트 나정주 지사장은 ‘비대면 시대의 웹 사이트 보안과 안전한 재택 근무 방안’을 주제로 키노트 발표를 진행해 1천여 참관객들의 큰 관심을 끌었다.

나정주 지사장은 “2018년부터 SSL인증서 사용이 급증했다. 크롬, 사파리, 파이어폭스 등 브라우저들이 인증서를 사용하지 않은 사이트들에 접속시 경고 메시지를 보내기 시작했기 때문이다. 이를 기점으로 사이트의 안전성 확보를 위해 모든 국가의 공공기관과 기업들의 디지서트 SSL인증서 EV레벨 사용이 급증했다. 현재 디지서트는 EV 인증서 시장의 90% 이상 시장 점유율을 갖고 있는 기업이다”라며 SSL인증서 최고 보안레벨인 EV인증서 도입의 중요성을 강조했다.

SSL인증서는 웹사이트 서버와 사용자간 커뮤니케이션 내용을 암호화하고 사용자가 접속하는 사이트가 신뢰할 수 있는 사이트인지 확인할 수 있는 국제공인인증서다.

인터넷 사용자의 정보를 보호하고 피싱사이트로 유인해 사용자들의 정보를 빼내가는 사이버공격자들로부터 사용자를 보호할 수 있는 최선의 솔루션이 바로 TLS/SSL인증서라고 할 수 있다.

나 지사장은 “SSL인증서는 웹사이트 서버와 사용자간 통신 암호화와 해당 사이트의 오너가 정확한지 인증을 해주는 역할을 한다. SSL인증서가 적용된 사이트는 주소창에 https로 표기된다”고 밝히고 SSL인증서에도 보안수준별로 3단계 레벨이 존재한다고 전했다.

바로 보안수준이 낮은 ‘DV(Domain Validation)인증서’와 다음단계 ‘OV(Organizational Validation)인증서’, 그리고 가장 신뢰할 수 있는 레벨의 ‘EV(Extended Validation)인증서’가 있다.

DV인증서는 저가형 인증서로 기본적인 암호화만 제공하기 때문에 피싱사이트에 활용될 수 있어 주의해야 한다. 피싱 공격자들이 주로 사용하고 있는 인증서 레벨이다. DV인증서 사용시 사이트 소유주를 확인하지 않기 때문에 피싱에 무방비로 노출될 수 있다.

반면 OV인증서부터는 암호화 적용은 물론이고 해당 사이트가 어떤 회사 소속인지 신뢰할 수 있는 조직인지 아이덴티티에 대한 확인후 발급된다.

최고 레벨의 EV인증서는 암호화 적용 뿐만 아니라 해당 사이트의 소속과 조직에 대해 가장 철저한 검증기간을 거쳐 발급되기 때문에 가장 신뢰할 수 있는 SSL인증서 레벨이다. 주소창이 녹색으로 표시되며 주소창 열쇠를 클릭하면 해당 사이트의 아이덴티티를 확인할 수 있다.

이어 나 지사장은 한국 공공기관 사이트 사례를 들며 EV인증서 사용이 확대되길 희망한다고 전했다.

나정주 디지서트 지사장 G-PRIVACY 2020 강연시간.
나정주 디지서트 지사장 G-PRIVACY 2020 강연시간.

그는 “한국 공공기관 사이트는 지난해 4월 전까지만해도 국내용 SSL인증서를 사용했기 때문에 크롬 등 글로벌 브라우저에서 안전하지 못하다는 경고메시지가 뜨는 사태가 지속적으로 발생해 왔다. 이를 개선하기 위해 지난해 4월부터 국제공인 SSL인증서를 사용하고 있다”며 “하지만 문제는 예산문제 등으로 가장 낮은 신뢰도 등급의 DV인증서를 적용하고 있다. 공공기관이 피싱사이트에 악용되면 사용자 개인정보 등 유출사고로 이어질 수 있다. 실제로 이런 범죄가 만연하고 있기 때문에 보다 안전한 EV인증서 적용이 이루어져야 한다. 글로벌 대부분 정부·공공기관 웹사이트가 EV인증서를 도입해 적용하고 있는 이유가 바로 그것이다. 한국 공공기관도 이 문제를 심각하게 받아들이고 EV SSL인증서 도입이 조속히 이루어져야 한다”고 강조했다.

더불어 나정주 지사장은 코로나19 시대 재택근무가 활성화되는 상황에 사이버공격으로부터 안전할 수 있는 방안에 대해서도 언급했다.

그는 “우선 웹사이트 접속시 OV나 EV 레벨의 SSL인증서 유무를 확인하는 것이 무엇보다 중요하다. 주소창이 https라도 DV인증서는 피싱사이트로 악용될 수 있기 때문에 각별히 주의해야 한다. 또 불분명한 이메일 발송자의 첨부파일은 열어보지 말아야 하는 것은 기본이다. 또 브라우저 버전을 최신으로 유지하는 것도 중요한 사안이다”라며 “코로나19 시대, 이를 악용한 피싱사이트들이 기승을 부리고 있다. 정부와 기업들은 EV인증서 도입을 통해 국민들의 개인정보가 안전하게 보호될 수 있도록 SSL인증서에 보다 적극적으로 투자해야 한다”고 권고했다.

이어 코로나19 시대 원격근무시 기술적인 사이버공격 예방법도 소개했다.

S/MIME(Secure/Multipurpose Internet Mail Extensions. S마임)은 이메일 인증서다. 이메일이 누구로부터 왔고 서버간 암호화가 돼 있는지 명확히 알 수 있어 안전하게 이메일 교환이 가능할 수 있다. 또 Work towards DMARC certification(디마크)는 도메인 인증 기술로 신뢰할 수 있는 도메인에서 온 메일인지 확인할 수 있고 이를 이메일에 마크로 표시할 수 있도록 한 디지서트 인증기술이 BIMI(Brand Indicators for Message Identification)이다. 이 인증서는 지난해 10월 CNN에 도입돼 이메일 공격들을 예방하는데 활용되고 있다고 소개했다.

나정주 지사장은 “특히 이메일 공격으로 최근 사이버공격의 첫 시작이 이루어지고 있기 때문에 이메일 인증에 대한 기업들의 수요가 늘고 있다. 이메일 보안에 대한 기업들의 강화된 정책과 직원 교육이 반드시 필요하다”고 강조했다.

디지서트 나정주 지사장의 G-PRIVACY 2020 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

디지서트는 1995년 설립된 TLS/SSL 인증분야 1위 기업이며 프로스트앤설리반 2020년 글로벌 TLS 인증기업 어워드를 수상한 바 있다. 포춘 500대 기업 89%와 글로벌 100대 은행 97%가 디지서트 EV인증서를 사용하고 있으며 SSL, PKI, IoT 솔루션을 전세계 180여 개국에 제공하고 있다. 또 지난 2018년부터 양자컴퓨팅 시대에 대비해 TLS/SSL 인증서와 IoT 보안 선도 기업 디지서트(DigiCert)는 양자 보안 솔루션 기업 ‘ISARA’, 데이터 보호 솔루션 기업 ‘젬알토(Gemalto)’와 파트너십을 체결하고 기술개발에 앞장서고 있다.

또한 디지서트는 세계 최초로 코리아란 이름으로 출시한 EV인증서인 ‘KOREA ICA’를 런칭한 바 있으며, SSL인증서 관리를 자동화 할 수 있는 솔루션 ‘CertCentral Enterprise’를 출시해 인증서 관리에 어려움을 겪고 있는 보안담당자들의 고충을 해소해 주고 있다.

◇써트코리아, 디지서트의 국내 유일 플래티넘 파트너

G-PRIVACY 2020. 디지서트 플래티넘 파트너사 '써트코리아' 전시부스.
G-PRIVACY 2020. 디지서트 플래티넘 파트너사 '써트코리아' 전시부스.

한편 이번 G-PRIVACY 2020에 참가한 디지서트의 국내 유일 플래티넘 파트너 ‘써트코리아’도 함께 참여했다.

파인앤서비스(대표 김형후)의 인증사업부 ‘써트코리아’는 국내에서 SSL인증 시장이 활성화 되기 전인 2001년부터 국내에 인증 서비스를 제공하기 시작해 20년 간 국내 대기업, 금융권, 공공기관, 교육기관 등의 유수기업에 4만여개 이상의 SSL인증서를 제공하며 업계의 선두주자로서 자리 매김 했으며 관련 기술노하우 및 전문인력을 보유하고 있다. 또한 최상위 인증기관(Root CA)인 디지서트(DigiCert)의 국내 유일 플래티넘 파트너로서, 디지서트로부터 하이퀄리티의 마케팅 및 기술지원을 제공 받고 있다.

써트코리아 측은 “SSL인증서는 웹사이트 방문자와 웹 서버 간의 통신을 암호화 된 방식으로 주고 받는 통신규약이며, HTTP의 보안기능이 강화된 버전(HTTPS)으로 제 3자가 중간에서 데이터를 가로채는 스니핑 범죄를 예방한다”며 “특히, 2018년 10월부로 크롬 70버전부터 SSL인증서가 적용되지 않은 사이트의 주소창에는 ‘주의 요함(Not Secure)’이라는 경고 메시지가 표시되어, 사이트 이용자들의 개인정보를 취급하는 웹사이트는 SSL인증서 적용이 필수적이다”라고 설명했다.

써트코리아는 그간 쌓아온 4만개 이상의 SSL인증서 발급 경험을 통해 써트코리아의 최대 강점인 안정성과 기술노하우, 신뢰를 바탕으로 공공기관과 교육기관에 영역을 확장하고, 소규모 기업의 취약점 진단 및 기술 지원으로 수요를 흡수해 주요 고객사를 확충할 전망이다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★