파이어폭스 브라우저 개발사로 알려진 모질라가 최근 '루트 저장소 정책(Root Store Policy)'을 개정했다. 인터넷 암호화통신에 필요한 SSL/TLS 인증서 발급자(CA) 대상 신뢰 절차를 강화한 조치다.
모질라의 웨인 타이어(Wayne Thayer) CA 프로그램 매니저는 지난 2일 모질라 시큐리티 블로그를 통해 "메일링 리스트를 통한 수개월간의 토의 후 모질라 제품에서 신뢰받는 CA를 관할하는 루트 저장소 정책이 개정됐다"고 밝혔다. [☞시큐리티 블로그 원문보기]
루트 저장소 정책은 CA 요청에 따라 모질라 소프트웨어(SW) 인증서 저장소에 탑재할 디지털인증서의 효력과 CA의 자격 검증 절차를 규정한 문서다. 파이어폭스 브라우저, 썬더버드 메일 클라이언트, 기타 모질라 SW제품에서 신뢰받는(trusted) CA를 규율하는 법처럼 작동한다.
최신 정책은 2.6 버전이다. 전문은 2018년 6월 29일 발행됐고 그 조문 효력은 2018년 7월 1일부터 적용되기 시작했다. 직전 정책은 2.5 버전으로 지난 2017년 7월 23일 발행, 이날부터 발효됐다. 약 1년만의 개정이다. [☞최신 루트 저장소 정책 원문보기]
최신 정책은 종전 대비 CA에 요구하는 신뢰절차를 강화한 성격을 띤다. 모질라 루트 저장소에 새 신뢰받는 CA로 인정받기는 좀 더 까다로워졌고, 이미 신뢰받던 CA라도 자칫하면 루트 저장소에서 퇴출될 여지가 커졌다.
모질라 루트 저장소에 신뢰받는 CA로 포함되지 않을 경우, 해당 CA가 발급한 인증서를 쓰는 웹사이트 운영자의 암호화통신이나 소프트웨어 개발자의 코드 및 패키지 배포에 불리하게 작용한다. 모질라 제품 사용자들에게 보안 경고를 띄우기 때문이다.
모질라의 정책은 인터넷 생태계 안에서 타사 CA 신뢰 방침에도 영향력을 지닌다. 과거 중국 '워사인'과 '스타트콤' 인증서가 발급 절차 문제를 지적당하며 파이어폭스에서 차단된 뒤 애플, 구글, 마이크로소프트가 그에 동조한 바 있다. [☞관련기사1] [☞관련기사2]
모질라는 이 정책에 따라 신뢰받는 CA가 되려는 조직이 밟는 절차를 'CA인증서프로그램'이라 부르는데, 새 버전은 프로그램상 제시해야 하는 인증서정책(CP) 및 인증업무준칙(CPS) 문건과 감사보고서 관련 규정이 추가됐다. 이전과 달라진 정책 주요 내용을 아래에 정리했다.
모질라는 섹션2.2 '검증활동(Validation Practices)' 규정에 따라 CA 측에 이메일 주소 검증 수단을 CP/CPS에 명시토록 요구한다. 특정 상황에서 CA가 정의한 수단으로 IP주소를 검증하는 것을 금지한다. CA는 IP주소 검증에 쓸 수단도 CP/CPS에 명시해야 한다.
섹션3.1 '감사(Audits)' 규정은 최하 웹트러스트(WebTrust) EV 버전을 1.6.0으로 높였다. 유럽통신표준기구(ETSI)의 유럽표준(EN) 전자서명인프라 요건을 기술한 'EN 319 411'에 맞춰 수용할 수 있는 감사체계(audit schemes) 목록에서 'ETSI TS 102 042' 및 '101 456' 항목을 뺐다.
이미 신뢰받은 CA는 계속 루트 저장소에 남아 있기 위해 그 루트 및 중간(intermediate) 인증서 감사를 주기적으로 받아야 한다. 이제 모질라는 섹션3.1.4 '공개감사정보(Public Audit Information)' 규정을 통해 이런 CA를 감사한 감사원에게 영문 감사보고서를 공식 요구한다.
모질라는 기존 외부 SSL인증서 CA 키쌍 생성시 금지 행위를 최신 정책의 섹션5.2 '금지 및 필요 활동(Forbidden and Required Practices)' 규정에 가져왔다.
섹션5.3 '중간 인증서'의 5.3.2 '공개적으로 발표 및 감사된(Publicly Disclosed and Audited)' 규정은 모질라가 새로 발급된 중간인증서를 CA의 다음 정기 감사보고서 대상에 포함되는 걸로 간주한다는 점을 명시하고 있다. CA는 이미 정기 감사를 받고 있는 한 새 중간인증서 발급 시점에 별도의 추가 감사를 받지 않아도 된다는 뜻이다. 이는 CA 브라우저포럼 기준요건(Baseline Requirements) 섹션8.1 내용과 상응한다.
섹션7 '루트저장소 변경'의 섹션7.1 '포함(Inclusions)' 규정은 모질라 프로그램에 포함될 루트인증서가 이 정책의 제정 시점에 명시한 요건을 따르도록 요구한다. 예를 들어 2014년도 이전부터 존재했으나 2013년 이래로 기준요건 감사를 받지 않은 루트인증서는 모질라 프로그램에 포함될 수 없다. 문서화된 기준요건을 위반한 루트인증서 또한 이 규정에 따라 모질라 루트저장소에서 배제된다.
섹션8 'CA 운영 변경(CA Operational Changes)' 규정은 이제 중간CA 인증서가 제3자에게 전송될 때 통지를 요구한다.
최신 정책에는 2019년 1월 1일 이후로 발효가 유예된 규정도 포함돼 있다. 이날부터 CA는 중간인증서 발급시 HTTPS용 인증서와 보안 이메일 암호화 프로토콜인 S/MIME용 인증서를 별도 생성해야 한다. 다만 2019년 이전에 발급된 중간인증서는 이 요건의 제약을 받지 않고 새 최종 엔터티 인증서 발급에 계속 사용될 수 있다.
관련기사
- 디지서트, 한국지사 설립…SSL인증서 1위 굳히기2018.07.05
- 디지서트, 시만텍 SSL인증서 고객사에 무료 교체발급2018.07.05
- 구글 크롬, 7월 모든 HTTP에 보안경고 표시2018.07.05
- 구글의 '시만텍 불신' 빌미 된 한국 파트너2018.07.05
IT미디어 시큐리티위크는 앞서 언급한 중국 CA 워사인 및 스타트콤의 인증서 퇴출 사건과 시만텍의 SSL인증서 사업조직을 디지서트가 인수하게 만든 인증서 부정발급 사건을 인용하며 "모질라는 매우 신중하게 인증서를 관리하고 있다"고 평했다. [☞원문보기]
시만텍은 지난해까지 세계 SSL인증서 시장 점유율 3위 업체였으나 구글과 모질라가 2년전 제기한 인증서 부정발급 문제제기 후 그 사업을 디지서트에 팔았다. [☞관련기사3] 디지서트는 시만텍의 인증서사업조직을 인수한 뒤 세계 점유율 1위 업체가 됐다. [☞관련기사4]
