[컴][웹] 정부의 https 접속문제 원인

왜 정부사이트는 https 가 안되나 / 보안접속이 안되는 이유 / 정부사이트의 문제 / 정부사이트가 욕을 먹는 이유/ 정부 사이트에서 https 가 안되는 이유


정부의 https 접속문제 원인


현재 정부 사이트들을 https 로 접속하면 문제가 있다. 이것은 보통 브라우저가 신뢰할 만한 기관이라고 인정하는 녀석들의 리스트를 가지고 있는데, 그 리스트에 한국정부가 들어가지 못해서이다.


처음에 나는 이것이 단순히 인지를 못해서 추가를 못한 수준인줄 알았다. 하지만 기사가 더 자세한 내용을 알려줬다. 기사를 차라리 몰랐으면 할 정도로 정부의 IT 인식 수준(특히 보안)이 참담했다. 여기서는 그 기사의 내용을 좀 더 정리해 보도록 하겠다.



문제점

인증받지 못한 행정안전부가 발급하는 'G-SSL 인증서'

인증서는 누구나 발행할 수 있다. 하지만, 누가발행했느냐를 보고, 브라우저는 이 인증서가 믿을만한 인증서인지 아닌지 여부를 판단한다. 브라우저는 믿을만한 발행 업체에 대한 리스트를 가지고 있다.

즉, 많은 브라우저 업체(구글, 모질라, 애플)들이 한국 정부의 CA (Certificate authority)자격을  인정하지 않는다는 뜻이다.

하지만 그래도 되는 브라우저들이 있다. 이것은 브라우저가 자신의 CA 리스트를 사용하는 대신 OS가 가지고 있는 CA list 를 사용하기 때문이다.


모질라의 CA 인증서 프로그램에서 탈락

2015년 11월


  • 2015년말부터 행정안전부(당시 '행정자치부') 가 CA 자격을 얻기 위해 노력.
  • --> 그 일환으로 모질라의 CA인증서프로그램(CA Certificate Root Program, 이하 '프로그램')을 신청(관련자료)
  • --> 이 검증이 대체로 아무문제가 없다면 2년이 소요된다고 한다.

모질라의 검증


  • 검증 작업: 2016년 초부터 2018년 초까지 약 2년간 진행
  • 행정안전부 산하기관인 "한국지역정보개발원(KLID)"의 담당자가 실무를 맡음
  • KLID가 실질적인 G-SSL 인증서 발급 및 관리체계 운영 조직

모질라의 최종판단


  • 한국 정부의 G-SSL 인증서 발급 및 관리 체계가 프로그램 검증을 위해 내걸고 있는 '루트저장소정책(Root Store Policy)' 등 준칙의 기준에 맞지 않는다고 판단


왜 탈락했는가?

ref. 1 에 따르면, 모질라의 최종판단은 아래 3개의 사건에 근거한다고 한다. 아래는 대략적인 정리이다. 조금 더 자세한 사건 내용은 ref. 1 을 참고하자.

  • 사건1: 2016년 2월 모든 GPKI 인증기관 인증서 검증 신청 기각
    • 처음에는 행정자치부를 Root CA 로 해서 행정자치부만 검증을 받으려 함.
    • 행정자치부는 GPKI 기반의 인증서 / 교육부는 EPKI라는 인증체계 기반의 인증서를 발급
    • 모질라는 수퍼 CA 하나만이 아니라 실질적인 Root CA 역할을 하는 모든 기관이 개별적으로 검증을 받던지, GPKI 를 재설계 해야 한다고 지적.
    • 결국 행자부와 교육부는 개별적으로 인증서 검증을 받기로 함.
    • 또한 행자부 밑에 sub CA 로 있던  대법원, 대검찰청, 병무청도 빠짐. 이들은 원래 검증기관에 CP 및 CPS 문서를 제출하지 않고, 외부기관 감사도 받지 않는 것을 전제로 sub CA 에 들어있었는데, 모질라가 인증서를 발급하는 주체는 모두 검증대상이라고 했기 때문이다.
  • 사건2: 2018년 3월 행정안전부·교육부 인증서 부실관리 실태 노출
    • 2018년 4월초 행정안전부와 교육부, 두 정부부처의 인증서 발급이 이상했다.
      • 구글 포럼 제보
      • 1. 행정안전부 행정전자서명인증센터 사이트 인증서 :  유효한 '온라인인증서상태프로토콜(OCSP)' response을 제공하지 않는다
      • 2. 교육부 행정전자서명인증센터 사이트 인증서 : HTTP 인증서해지목록(CRL) endpoint 및 OCSP HTTP endpoint 정보가 없다.
    • 모질라 측은 4월 중순 한국 정부에 해명을 요구
    • 결국 8월 검증 절차를 중단
  • 사건3: 2018년 4월 인증서 부정발급 실태 노출
    • 2018년 4월초 모질라의 온라인 포럼인 '버그질라'에는 또다른 두 가지 인증서 관련 문제가 추가로 제보(1451235 - Distrust the WebTrust Audit of Deloitte Anjin South Korea)
      • 1. 행정안전부와 교육부가 도메인검증을 하지 않은 인증서를 발급
      • 2. 교육부가 교육기관용으로 각 기관별 도메인이 아닌 최상위도메인(TLD) 범주를 지정한 '와일드카드' 인증서를 발급. 
        • 교육부가 웹트러스트 인증을 받은 시점에 발생
        • 교육부는 웹트러스트 인증을 위해 '딜로이트안진'에게 외부감사를 받았었다. 교육부가 외부감사를 통과했는데, 문제가 발생해서 '딜로이트안진'의 감사 신뢰성이 무너졌다.
        • 행정안전부의 감사도 '딜로이트안진' 이 맡았었기에, 행정안전부의 감사결과도 신뢰를 잃게 되었다.
    • 당시 문제가 된 인증서들은 곧 폐기



사건3 이 문제가 되는 이유는 우리가 https 를 사용하기 위해 인증서를 신청하고, 발급받는 과정을 생각해 보면 이해가 간다.




References


  1. 정부, 공공사이트 HTTPS '보안경고' 못 없앴다 - 지디넷코리아




댓글 없음:

댓글 쓰기