나정주 디지서트 이사

"DV인증서, 피싱에 무방비...신뢰할 수 있는 EV인증서 확대 필요"
GPKI, CA 브라우저 포럼서 인증 못받아 접속시 문제 발생...
EV인증서로 문제 제거해야

데일리시큐 주최 상반기 최대 개인정보보호&정보보안 컨퍼런스 'G-Privacy 이 지난 4월 10일 서울 양재동 더케이호텔서울
가야금홀에서 정보보안 실무자 1,000여 명이 참석한 가운데 성황리에 개최됐다.

이 자리에서 디지서트(digicert) 나정주 이사는 '2018 웹사이트 시큐리티 동향'을 주제로 발표를 진행했다.나정주 이사는  

"인증서는 2가지 요건을 갖춰야 인증서라고 할 수 있다. 바로 암호화와 신뢰성이다.  특히 SSL 인증서는 국민연금과 같다.  

꼭 들어야 하는 것이다. SSL은 보안에서 가장 필수항목이다.  이를 제외하고 보안은 힘들다"며 "사용자와 웹서버 간의 데이터를  

암호화해 중간자가 공격을 해서 데이터를 보더라도  내용을 알 수 없도록 하는 것이 SSL 인증서다"라고 설명했다.  

이어 인증서 종류에 대해 설명했다. 그는 "인증서는 3가지로 나뉠 수 있다. 바로 DV, OV, EV 세가지다.  모두 주소창에 HTTPS로 표기된다.  

우선 DV는 도메인에 대한 권한심사 수준이다.  OV는 조직(기업)에 대한 인증을 해 줄 수 있다. 인증서에 기업정보도 표기된다.  조직의 유효성  

검사가 핵심이다. 1~2일 내 발급된다"라며 마지막으로 "EV는 가장 하이레벨의 인증서다. 미국 정부도 EV를 사용한다.  통상 DV나 OV는 정부

기관에서 사용하지 않는다. 특히 EV는 주소창이 그린바로 표시되며 또 기업 조직명까지 주소창에 표기되는 등 가장 강력한 신뢰(Trust)를 제공

하는 인증서라고 할 수 있다. 확장 유효성 검사 수준의 인증서다"라고 밝혔다.그는 인증서 종류에 대해 참관객들에게 명쾌한 설명으로 집중도를
높여갔다.  

다음은 CA/B(Certificate Authority & Browser) 포럼과 브라우저 시장 동향, SSL 시장 동향 등에 대한 발표로 이어갔다.CA/B 포럼은 인터넷  

브라우저 소프트웨어 공급업체, 운영체제 및 기타 PKI 지원 응용 프로그램과 관련된 업계의 자발적  컨소시엄이다. 나 이사는 "전세계 브라우저  

점유율 1등은 크롬이다. 50% 이상을 점유하고 있다. 2등은 사파리다.  하지만 국내는 다르다.  국내도 1위는 크롬이지만 2위는 IE(인터넷 익스

플로러)다"라며 "지난해 브라우저에 큰 변화들이 있었다.  

바로 HTTPS 즉  인증서가 첨부 안되면 경고메시지가 뜬다. 정부기관 대부분이 HTTPS로 전환했고 브라우저 주요 기능들이 인증서가  있는 것만  

구현 가능하도록 바뀌고 있다. 즉 인증서가 없으면 상거래 등이 불가능하다. 그래서 사용자들이 사용을 기피할 수 있다.  75% 이상이 HTTPS로  

크롬 접속을 하고 있고 50% 이상이 HTTPS로 안드로이드에 접속하고 있을 정도다"라고 말했다.2017년 5월 기준 주요 100대 사이트에서 HTTPS

를  기본(디폴트)으로 구현하는 비율이 56%까지 늘고 있는 상황이다.  이제 브라우저에서 'HTTPS'는 옵션이 아니라 필수요건이 됐다.

인증서 시장 동향으로 넘어 가보자.

전세계 DV, OV, EV 인증서 시장에서 시만텍이 33%를 차지한 것으로 조사됐다. 디지서트는 18% 정도 차지했다.  하지만 디지서트는 지난해 10월말

까지 미국과 유럽에서만 주로 사용됐다. 그럼에도 18%를 차지하고 있었다.  한편 시만텍은 전세계를 상대로 인증서 비즈니스를 하고 있었기 때문에  

당연히 점유율이 높을 수밖에 없다.반면 올해 점유율은 어떨까. 디지서트가 전세계 55%를 차지하고 있다. 이유는 디지서트가 시만텍 인증서를 인수했기
때문이다. 디지서트가 시만텍의 웹사이트 시큐리티 인증서를 인수한 것이다.