2024-03-19 15:05 (화)
한국전자인증 “구글의 HTTPS 강조, 무료 SSL인증서로는 피싱 위험 커…EV SSL 설치가 해답”
상태바
한국전자인증 “구글의 HTTPS 강조, 무료 SSL인증서로는 피싱 위험 커…EV SSL 설치가 해답”
  • 길민권 기자
  • 승인 2018.06.30 16:35
이 기사를 공유합니다

https-3344700_640.jpg
한국전자인증(대표 신홍식)에서는 최신 피싱 동향 소식과 진화하고 있는 Chrome에서 HTTPS 사용에 대한 강조가 반드시 필요하다 전했다.

SSL인증서 설치를 한 사이트가 보편화 되고 있지만 설치를 못하고 있는 사이트들은 여전히 많다.

2015년 무료 인증서를 제공하는 렛츠 인크립트(Let's Encrypt)의 등장으로 매년 무료 인증서 발급이 증가하고 코모도(Comodo)의 호스팅 회사들을 통해 무료인증서 발급이 늘어났다.

하지만 이는 유효기간이 90일로 제한적이며, 이에 따라 90일마다 SSL을 교체해 주어야 하는 불편함이 있다. 중요한 것은 회사에 대한 어떤 검증도 하지 않기 때문에 피싱 사이트가 만들어 질 수 있는 위험요소가 크고, 실제 아래 표를 보면 피싱 사이트에는 렛츠 인크립트와 코모도 인증서 인 DV(도메인 권한승인) 인증서가 적용되어 있다. 이 때문에 중요한 서비스에 DV 인증서를 적용하는 것을 권장하지 않는다.

SSL인증서에는 인증서 발급에 따른 심사가 필요하고 DV(도메인 권한승인), OV(기업조직 심사), EV(심화된 기업심사) SSL인증서로 나뉜다.

신뢰도를 가장 높게 주려면 보다 심화된 기업인증이 필요하고 인증된 기업이라는 보여주는 방법으로 주소창에 그린 바(Green Bar)를 제공하고 기업조직 명을 주소 창에 표기해주는 EV(Extended Validation) SSL인증서를 사용하는 것이 가장 안전하다.

그리고 가장 주목할 점은 크롬(Chrome) 68에서는(2018년 7월 출시 예정) HTTPS로 적용되지 않은 모든 사이트는 ‘안전하지 않음’이라고 표시된다는 것이다. 이에 따라 많은 웹사이트들이 SSL을 적용해 모든 웹 페이지 접속을 HTTPS로 접속할 수 있게 준비할 것으로 예상된다.

아래 그림은 HTTP로만 적용된 웹 페이지와 모바일에 보여지는 크롬의 버전 별 변화의 모습이다. 이미 구글은 추후 HTTP로만 적용했을 때는 ‘안전하지 않음’ 문구와 표식을 보다 강력한 경고로 보여줄 것이라 밝혔다.

한국전자인증 측은 “SSL PKI 사업을 국내 최초 시작으로 19년간의 사업을 지속해오고 있으며 최상의 기술력과 운영노하우를 통해 서비스를 제공하고 있다”며 “또한 SSL 인증서에 대해 이벤트를 실시 하고 있다. 이번 이벤트는 참여하는 기업들에게는 EV SSL로 업그레이드를 지원하고 있다, 평소 EV SSL 설치를 고민하고 있던 기업들에게 좋은 기회가 될 것”이라고 설명했다.

EV(Extended Validation) SSL 인증서는 녹색주소 창을 통해 온라인 사이트의 진위여부와 보안 수준을 확인할 수 있는 가장 강력한 신뢰 수준의 인증서이다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★