2020.08.31

글로벌 칼럼 | EV 인증서로 바꿔야 하는 이유

Zeus Kerravala | CSO
합법적인 기업처럼 보이는 사이트에 클릭 유도하는 피싱 공격은 전혀 새로운 것이 아니다. 하지만 많은 사람이 식료품을 온라인으로 주문하거나 드라이브 스루 구매(curbside pickup)를 통한 제품 구매 등 일상에서 인터넷을 사용하게 되면서 이런 활동이 증가했다. 하지만 사용자는 그 어느 때보다도 똑똑해졌으며 자신이 이용하고 있는 기업이 합법적인지 알고 싶어한다. 

기업이 스스로의 온라인 ID를 증명할 수 있는 방법은 TLS/SSL 인증서를 사용하는 것이다. 웹 트래픽이 존재할 때부터 보안 책임자는 인증서에 의존해 기업이 합법적인지 증명할 수 있도록 도왔지만 모든 인증서가 똑같지는 않다. TLS 인증서는 웹 사이트의 ID를 인증하고 웹 사이트와 사이트를 방문하는 사람 사이의 트래픽을 암호화한다. 유효한 TLS 인증서가 있는 웹 사이트는 브라우저의 URL 옆에 회색/검은색 또는 속이 빈 자물쇠를 표시해 웹 연결이 안전하다는 것을 나타낸다.

30년 동안의 업계 표준 인증서는 OV(Organization Validated) TLS 인증서였다. 던 앤 브래드스트리트(Dunn and Bradstreet)과 같은 인증서 발행 업체는 일종의 공식 기록이 있는 도메인을 검증해 인증서를 획득하려는 기업이 진짜인지 조사, 검증한다. OV 인증서가 나온 이후로 일부 인증서 기관들은 인증 수준이 훨씬 가벼운 DV(Domain Validated) 인증서를 발행하기 시작했다. DV 인증서를 통해서는 해당 도메인을 구매한 기업이 실제로 이를 소유하고 있는지에 대한 인터넷 기록만으로 검증한다. 이 방식의 장점은 인증서를 매우 신속하게 발행할 수 있고 심지어 자동화가 가능하면서 비용이 상대적으로 낮거나 무료라는 점이다. 단점은 누구든 회사를 만들어 도메인명을 구매할 수 있다는 점이다.

인증서의 유효성을 확인하고 싶은 사용자가 URL 옆의 자물쇠를 클릭하면 확인이 완료되었음을 검증하고 해당 기업이 합법적인지 검증해야 한다는 정보가 제공된다. 하지만 DV 인증서의 경우, 검증 수준이 낮기 때문에 위협 공격자가 도메인명을 쉽게 구매해 합법적인 것처럼 보이게 꾸밀 수 있다.
 
가장 안전한 수준의 인증서는 DV와 DV 인증을 모두 수행하고 더 높은 수준의 조사를 추가하는 EV(Extended Validation) 인증서이다. EV 인증서에는 회사 이름, 조직 단위(IT, 운영, 마케팅 등), 위치, 주, 국가, 조직의 종류 등 방문하는 웹 사이트를 소유한 기업의 세부적인 정보가 포함되어 있다.

EV는 웹 사이트 식별에 중요할 뿐 아니라 기업의 보안을 강화하는 데 도움이 된다. 예를 들어, EV 인증서만 사용하는 기업은 다른 종류의 인증서를 사용하고 있는 사기꾼을 더 쉽게 찾아낼 수 있을 것이다. 또한 기업은 발행 인증서 기관이 개인의 고용 상태 및 권한을 확인하도록 지정함으로써 도메인에 대한 인증서를 주문하는 사람을 더욱 잘 통제할 수 있다. 그리고 최소한 주요 최상위 레벨 도메인에 대해 EV를 지정함으로써 기업은 스스로 현존하는 가장 강력한 웹 ID 확인을 통해 사용자 보호 절차를 무시하지 않는다고 입증함으로써 브랜드를 더욱 잘 보호할 수 있다.

기업용 디지털 인증서 발행업체 가운데 하나인 디지서트(DigiCert)는 최근 EV 조사 프로세스에 LEI(Legal Entity Identifier)를 포함시키고 해당 정보를 웹 브라우저의 EV 인증서 표시에 표시함으로써 최근 EV 표준을 향상시켰다. 이런 고유 확인 번호를 사용자가 온라인으로 방문하는 기업의 ID 부인방지(non-repudiation)를 위해 EV 인증서에 추가할 수 있으며 법적 실체는 여러 플랫폼에서 단일 ID를 가질 수 있다.

스위스에 위치한 GLEIF(Global Legal Entity Identifier Foundation) CEO 스테판 울프는 “LEI를 디지털 인증서에 통합하면 누구든 법인과 관련된 모든 기록을 손쉽게 연계시키고 무엇이 최신인지 판단하며 변화를 정리할 수 있다. 또한 비즈니스 사용자가 누가 누구를 소유하고 있는지에 대한 정보에 쉽게 접근할 수 있게 될 것이며, 이것은 위험 완화에 중요하다. 디지털 인증서 사이의 공통적인 연결 고리가 됨으로써 LEI는 ID에 대한 확신과 온라인 상호작용에 대한 신뢰를 제공해 모두가 글로벌 디지털 시장에 더 안전하게 참여할 수 있도록 할 것이다”라고 말했다.

코로나19 팬데믹으로 우리의 업무, 삶, 학습 방식이 바뀌었으며, 사람들은 삶의 거의 모든 것을 인터넷에 의존할 수밖에 없다. 이런 추세는 팬데믹이 끝난 후에도 지속될 것이다. 웹 사이트 보안을 최우선으로 하는 기업은 고객들에게 최고 수준의 진정성을 제공하기 위해 EV 인증서를 고려해야 한다. editor@itworld.co.kr


2020.08.31

글로벌 칼럼 | EV 인증서로 바꿔야 하는 이유

Zeus Kerravala | CSO
합법적인 기업처럼 보이는 사이트에 클릭 유도하는 피싱 공격은 전혀 새로운 것이 아니다. 하지만 많은 사람이 식료품을 온라인으로 주문하거나 드라이브 스루 구매(curbside pickup)를 통한 제품 구매 등 일상에서 인터넷을 사용하게 되면서 이런 활동이 증가했다. 하지만 사용자는 그 어느 때보다도 똑똑해졌으며 자신이 이용하고 있는 기업이 합법적인지 알고 싶어한다. 

기업이 스스로의 온라인 ID를 증명할 수 있는 방법은 TLS/SSL 인증서를 사용하는 것이다. 웹 트래픽이 존재할 때부터 보안 책임자는 인증서에 의존해 기업이 합법적인지 증명할 수 있도록 도왔지만 모든 인증서가 똑같지는 않다. TLS 인증서는 웹 사이트의 ID를 인증하고 웹 사이트와 사이트를 방문하는 사람 사이의 트래픽을 암호화한다. 유효한 TLS 인증서가 있는 웹 사이트는 브라우저의 URL 옆에 회색/검은색 또는 속이 빈 자물쇠를 표시해 웹 연결이 안전하다는 것을 나타낸다.

30년 동안의 업계 표준 인증서는 OV(Organization Validated) TLS 인증서였다. 던 앤 브래드스트리트(Dunn and Bradstreet)과 같은 인증서 발행 업체는 일종의 공식 기록이 있는 도메인을 검증해 인증서를 획득하려는 기업이 진짜인지 조사, 검증한다. OV 인증서가 나온 이후로 일부 인증서 기관들은 인증 수준이 훨씬 가벼운 DV(Domain Validated) 인증서를 발행하기 시작했다. DV 인증서를 통해서는 해당 도메인을 구매한 기업이 실제로 이를 소유하고 있는지에 대한 인터넷 기록만으로 검증한다. 이 방식의 장점은 인증서를 매우 신속하게 발행할 수 있고 심지어 자동화가 가능하면서 비용이 상대적으로 낮거나 무료라는 점이다. 단점은 누구든 회사를 만들어 도메인명을 구매할 수 있다는 점이다.

인증서의 유효성을 확인하고 싶은 사용자가 URL 옆의 자물쇠를 클릭하면 확인이 완료되었음을 검증하고 해당 기업이 합법적인지 검증해야 한다는 정보가 제공된다. 하지만 DV 인증서의 경우, 검증 수준이 낮기 때문에 위협 공격자가 도메인명을 쉽게 구매해 합법적인 것처럼 보이게 꾸밀 수 있다.
 
가장 안전한 수준의 인증서는 DV와 DV 인증을 모두 수행하고 더 높은 수준의 조사를 추가하는 EV(Extended Validation) 인증서이다. EV 인증서에는 회사 이름, 조직 단위(IT, 운영, 마케팅 등), 위치, 주, 국가, 조직의 종류 등 방문하는 웹 사이트를 소유한 기업의 세부적인 정보가 포함되어 있다.

EV는 웹 사이트 식별에 중요할 뿐 아니라 기업의 보안을 강화하는 데 도움이 된다. 예를 들어, EV 인증서만 사용하는 기업은 다른 종류의 인증서를 사용하고 있는 사기꾼을 더 쉽게 찾아낼 수 있을 것이다. 또한 기업은 발행 인증서 기관이 개인의 고용 상태 및 권한을 확인하도록 지정함으로써 도메인에 대한 인증서를 주문하는 사람을 더욱 잘 통제할 수 있다. 그리고 최소한 주요 최상위 레벨 도메인에 대해 EV를 지정함으로써 기업은 스스로 현존하는 가장 강력한 웹 ID 확인을 통해 사용자 보호 절차를 무시하지 않는다고 입증함으로써 브랜드를 더욱 잘 보호할 수 있다.

기업용 디지털 인증서 발행업체 가운데 하나인 디지서트(DigiCert)는 최근 EV 조사 프로세스에 LEI(Legal Entity Identifier)를 포함시키고 해당 정보를 웹 브라우저의 EV 인증서 표시에 표시함으로써 최근 EV 표준을 향상시켰다. 이런 고유 확인 번호를 사용자가 온라인으로 방문하는 기업의 ID 부인방지(non-repudiation)를 위해 EV 인증서에 추가할 수 있으며 법적 실체는 여러 플랫폼에서 단일 ID를 가질 수 있다.

스위스에 위치한 GLEIF(Global Legal Entity Identifier Foundation) CEO 스테판 울프는 “LEI를 디지털 인증서에 통합하면 누구든 법인과 관련된 모든 기록을 손쉽게 연계시키고 무엇이 최신인지 판단하며 변화를 정리할 수 있다. 또한 비즈니스 사용자가 누가 누구를 소유하고 있는지에 대한 정보에 쉽게 접근할 수 있게 될 것이며, 이것은 위험 완화에 중요하다. 디지털 인증서 사이의 공통적인 연결 고리가 됨으로써 LEI는 ID에 대한 확신과 온라인 상호작용에 대한 신뢰를 제공해 모두가 글로벌 디지털 시장에 더 안전하게 참여할 수 있도록 할 것이다”라고 말했다.

코로나19 팬데믹으로 우리의 업무, 삶, 학습 방식이 바뀌었으며, 사람들은 삶의 거의 모든 것을 인터넷에 의존할 수밖에 없다. 이런 추세는 팬데믹이 끝난 후에도 지속될 것이다. 웹 사이트 보안을 최우선으로 하는 기업은 고객들에게 최고 수준의 진정성을 제공하기 위해 EV 인증서를 고려해야 한다. editor@itworld.co.kr


X