테크레시피

러시아, 자체 TLS 인증기관 만들었다

우크라이나 침공을 계속하는 러시아에 대해 각국 정부나 민간 기업이 수많은 제재 조치를 발표하고 있으며 러시아에서 점유율 1∼2위 인터넷 제공자가 잇따라 서비스 중단을 발표하는 등 인터넷 환경에도 영향이 나오기 시작했다. 제재 영향으로 러시아에선 디지털 증명서가 갱신 불능이 되는 사태가 발생하고 있어 이 문제를 해결하기 위해 러시아 독자 TLS 인증국이 개설됐다. 이미 독자 인증국에 의한 인증이 끝난 웹사이트가 복수 등장하고 있어 러시아에 의한 통신 도청이 우려되고 있다.

현대 인터넷에선 수많은 웹사이트가 SSL이나 TLS 같은 암호화 방식을 이용해 통신을 암호화하고 있으며 웹사이트 운영자는 암호화 통신을 가능하게 하기 위해 인증국으로부터 디지털 증명서 발행을 받고 있다. 이 디지털 인증서는 정기적으로 업데이트를 해야 하지만 러시아는 인터넷 관련 제재를 많이 받고 있으며 수많은 웹사이트에서 디지털 인증서를 업데이트할 수 없는 사태에 빠져 있다.

마이크로소프트 엣지, 구글 크롬, 파이어폭스 같은 요즘 브라우저에서 디지털 인증서가 제대로 업데이트되지 않은 웹사이트에 액세스하면 보안 문제 경고 화면이 표시된다. 이런 문제를 해결하기 위해 러시아 공공 서비스 플랫폼(Gosuslugi)이 자체 인증기관 개설을 발표했다. 보도에 따르면 러시아 독자 증명서는 2022년 3월 10일 기준 러시아 저축은행, VTB, 러시아연방중앙은행 등 웹사이트에서 실제로 사용되고 있다고 한다.

보통 새로운 인증 기관이 신뢰를 얻으려면 오랜 시간이 필요하다. 하지만 이미 얀덱스 등 러시아 기업 제품이나 서비스는 러시아 독자 인증국을 신뢰할 수 있는 인증국으로 취급하고 있다. 보도에선 러시아가 독자 발행한 디지털 인증서를 악용해 암호화된 통신 가로채기, 중간자 공격을 수행할 가능성이 있다고 지적하고 있다. 한편 현시점에서 러시아는 전혀 신뢰되지 않기 때문에 주요 브라우저가 러시아 독점 인증기관 인증서를 허용 목록에 추가할 가능성은 낮다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.

정용환 기자

대기업을 다니다 기술에 눈을 떠 글쟁이로 전향한 빵덕후. 새로운 기술과 스타트업을 만나는 즐거움을 독자들과 함께 나누고 싶습니다.

뉴스레터 구독