EU 전역에 대한 전자서명법 확대를 목적으로 도입한 eIDAS 규정(Electronic Identification and Trust Services Regulation) 개정안인 eIDAS 2.0 거의 최종판이 지난 10월 협상 담당자간 합의됐다. 2023년 중에는 의회에 제출되는 이 최종판에 포함된 조문이 EU 회원국 정부에 의한 중간자 공격을 가능하게 하고 암호화된 트래픽이 가로챌 위험성이 있다며 전자프론티어재단과 모질라 등이 비난하고 있다.
eIDAS는 EU 권내 전자 서명이나 여기에 관련한 법적 규제, 타임스탬프, 웹사이트 증명서, 새롭게 정의된 인증 서비스 범위 등을 정하고 있다. 이 개정안인 eIDAS 2.0 제45조에는 브라우저가 정부에 의해 임명된 공개키 증명서 인증국을 신뢰해 유럽 전기 통신 전반에 관계되는 표준화 조직 유럽전기통신표준화 기구 ETSI가 승인한 범위를 넘어 해당 인증국에 대해 보안 요건을 강제하는 걸 금지한다고 정해져 있다. 이는 브라우저가 인증기관에 요구하는 보안 기준 상한을 낮추고 브라우저가 사용자 보안을 향상시키는 능력과 경쟁을 제한한다는 걸 의미한다.
인증기관 역할은 루트 인증서를 발급해 웹사이트와 사용자간 암호화 통신을 보호하는 것이다. 따라서 정부는 자신이 관리하는 인증기관에 루트 인증서 사본을 요청하고 중간자 공격을 수행할 수 있다. 실제로 과거 1당 독재로 알려진 카자흐스탄에서 정부 인증 루트 증명서 설치가 국민에게 의무화되어 암호화된 HTTPS 통신이 정부에 가로채질 가능성이 지적된 바 있다. 이에 대해 모질라와 구글은 카자흐스탄 정부 루트 증명서를 차단했다.
하지만 정부가 임명한 인증국에 대한 보안 기준이 낮아지면 비록 암호화된 트래픽을 가로채는 의심이 있어도 브라우저 측이 인증국을 배제하는 대책을 마련할 수 없게 되어 버린다.
브라우저인 파이어폭스 개발사인 모질라는 성명에서 이를 통해 EU 회원국 정부는 가로채기와 모니터링을 위해 웹사이트 인증서를 발행할 수 있다며 이는 발행한 회원국에 거주하는 모든 EU 시민에 대해 사용하지 못하거나 회원국에 관계없는 EU 시민이라도 마찬가지라고 지적했다. 구글 크롬 보안팀도 eIDAS 제45조는 브라우저가 인증서에 특정 보안 요구 사항을 적용할 수 없는 능력을 방해하고 있으며 수십 년간 웹 보안 진보를 방해할 수 있다며 보안에 미치는 영향에 심각한 우려를 갖고 있다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.