뉴스로 돌아가기
연구치명적

Chrome 루트 프로그램, HTTPS 인증서에 대한 안전하지 않은 도메인 검증 단계적 폐지

3분 읽기출처: Google Security Blog

Chrome 루트 프로그램과 CA/브라우저 포럼이 HTTPS 인증서의 레거시 도메인 검증 방법 11종을 2028년까지 단계적으로 폐지합니다. 더 안전한 자동화된 검증 방식으로 전환하세요.

Chrome 루트 프로그램, 레거시 도메인 검증 방법 단계적 폐지로 HTTPS 보안 강화

마운틴뷰, CA – Chrome 루트 프로그램과 CA/브라우저 포럼은 현대 웹의 보안을 강화하기 위해 HTTPS 인증서에 사용되는 11종의 레거시 도메인 제어 검증(Domain Control Validation, DCV) 방법을 단계적으로 폐지하는 새로운 요구사항을 도입한다고 발표했습니다. CA/브라우저 포럼의 최근 투표(SC-080, SC-090, SC-091)를 통해 추진된 이 변경은 이메일, 전화, 우편 기반 검증과 같은 취약한 검증 방식을 자동화되고 암호학적으로 검증 가능한 대안으로 대체하는 것을 목표로 합니다. 전체 전환은 2028년 3월까지 완료될 예정이며, 웹사이트 운영자에게 적응할 시간을 제공합니다.

도메인 제어 검증(DCV)의 중요성

도메인 제어 검증은 TLS 인증서가 합법적인 도메인 운영자에게만 발급되도록 보장하는 핵심 보안 프로세스입니다. 견고한 DCV가 없다면 공격자가 자신이 제어하지 않는 도메인에 대한 인증서를 부정하게 획득하여 위장 공격이나 트래픽 가로채기를 수행할 수 있습니다. 과거 인증 기관(CA)은 WHOIS 조회나 이메일 기반 검증과 같은 간접 검증 방식에 의존했으나, 이러한 방식은 악용에 취약한 것으로 입증되었습니다(예: WatchTowr의 RCE-to-domain-takeover 공격).

현대적인 DCV 방식은 챌린지-응답 메커니즘을 활용합니다. 예를 들어, DNS TXT 레코드에 무작위 값을 배치하거나 Automated Certificate Management Environment(ACME) 프로토콜(RFC 8555)을 사용하는 방식입니다. 이러한 접근 방식은 도메인 소유권을 더 강력하고 감사 가능한 방식으로 보장하면서 인증서 수명 주기 관리를 자동화할 수 있도록 지원합니다.

폐지되는 검증 방법

새로운 요구사항에 따라 다음 레거시 DCV 방법들이 단계적으로 폐지됩니다:

이메일 기반 검증(폐지 예정)

  • 도메인 연락처로 이메일, 팩스, SMS 또는 우편 발송
  • IP 주소 연락처로 이메일, 팩스, SMS 또는 우편 발송
  • 도메인 연락처로 구성된 이메일 발송
  • DNS CAA 연락처로 이메일 발송
  • DNS TXT 연락처로 이메일 발송

전화 기반 검증(폐지 예정)

  • 도메인 연락처와의 전화 통화
  • DNS TXT 레코드 전화 연락처와의 전화 통화
  • DNS CAA 전화 연락처와의 전화 통화
  • IP 주소 연락처와의 전화 통화

역방향 조회 검증(폐지 예정)

  • IP 주소 검증
  • 역방향 주소 조회

영향 및 산업 변화

이러한 변경은 최종 사용자에게는 투명하게 진행되지만, 오래되거나 간접적인 검증 신호(예: 오래된 WHOIS 데이터나 상속된 인프라)에 대한 의존도를 낮춰 공격 표면을 크게 줄입니다. 이 변화는 2022년에 발표된 Google의 "Moving Forward, Together" 로드맵과 일치하며, ACME와 같은 자동화 및 표준화된 프로토콜을 통해 보안 인프라를 현대화하는 데 중점을 두고 있습니다.

웹사이트 운영자에게는 더 강력한 DCV 방법으로 전환할 수 있는 수년의 전환 기간이 제공됩니다. 조직은 다음을 권장합니다:

  • ACME 기반 인증서 발급(예: Let’s Encrypt)으로 자동화되고 암호학적으로 안전한 검증을 도입하세요.
  • 기존 인증서 발급 워크플로우를 감사하여 폐지되는 DCV 방법을 식별하고 대체하세요.
  • DNS 기반 챌린지(예: DNS TXT 레코드)를 활용하여 더 탄력적인 도메인 검증을 구현하세요.

광범위한 보안 영향

이번 조치는 HTTPS 인증서의 보안 기준을 높이는 산업 전반의 노력의 일환입니다. 취약한 검증 방법을 폐지함으로써 CA/브라우저 포럼과 Chrome 루트 프로그램은 사기성 인증서 발급으로 인한 중간자 공격(man-in-the-middle, MITM)이나 도메인 스푸핑의 위험을 줄이고 있습니다. 또한, 이러한 변화는 인증서 관리의 민첩성과 회복력을 높여 신흥 위협에 더 빠르게 대응할 수 있도록 지원합니다.

웹이 발전함에 따라 이러한 업데이트는 신뢰 메커니즘이 현대 보안 과제에 발맞춰 나갈 수 있도록 보장하며, 모든 사용자에게 혜택을 제공합니다.

추가 자료:

공유

TwitterLinkedIn