러시아의 우크라이나 침공이 계속되는 가운데, 전 세계 국가와 업계에서 러시아를 경제적 및 사이버 공간에서 고립시키는 모습들이 발견되고 있다. 사이버보안 업계에서도 예외는 아니다. 러시아의 전쟁이 진행되는 동안 TLS/SSL 인증서가 만료되는 러시아의 사이트들에 국제 인증기관의 갱신을 허용하지 않는 것으로 러시아를 압박하고 있다.

TLS(Transport Layer Security)/SSL(Secure Sockets Layer) 인증서는 도메인에 적용되어 사용자와 서버 간의 암호화 정보 교환을 통해 보안을 강화하는 수단으로 사용된다. TLS/SSL 인증서가 만료된 사이트는 유저가 Google Chrome, Microsoft Edge, Mozilla Firefox, Safari 등 대중적인 웹 브라우저를 통해 해당 사이트에 접속 시, 안전하지 않은 사이트라는 경고 메시지가 표시되어 유저의 유입이 감소할 수 있다. 검증된 TLS/SSL 인증서를 사용하지 않으면, 웹 기반의 비즈니스를 운영하는 금융, IT, 이커머스를 비롯한 모든 기업들의 비즈니스 운영에 차질이 생기며, 매출 타격까지도 이어질 수 있는 문제이다.

자체 인증기관에서 제한된 인증서를 발급하는 러시아

국제 인증기관이 인증서 갱신을 허용해 주지 않자, 러시아 당국은 자국 TLS 인증기관(CA)을 생성해, TLS 인증서를 인정해주고 있다. 해당 CA 홈페이지에 접속하면 해외 보안 인증서가 취소되거나 만료되는 경우에는 이를 대체한다는 메시지가 표시되어 있고, 요청 시 5일 이내에 법인 및 사이트 소유자에게 제공된다는 안내사항도 함께 공지되어 있다.

러시아 인증기관 CA 홈페이지 (https://www.gosuslugi.ru/tls)

러시아는 현재 200개에 가까운 도메인에 국내 TLS 인증서를 사용하라는 통지를 전달했지만, 의무사항은 아니라고 전해진다. 홈페이지에서는 러시아의 인증서를 발급받은 도메인 목록을 공개하고 있는데, 현재 300개 이상의 도메인 목록이 공개되어 있으며, 해당 목록에는 러시아의 은행, 대학 등의 주요 사이트가 포함되어 있다.

 

러시아의 인증서를 발급받은 도메인 목록 일부 (출처: gosuslugi.ru/tls)

Criminal IP로 분석한 러시아 사이트의 인증서 만료 현황

Criminal IP에서 수집한 데이터를 활용한 결과, 러시아의 인증서 갱신이 제재를 받고 있다는 소식이 알려진 10일부터 16일까지의 러시아 도메인코드(ru)를 사용하는 사이트 통계를 보면, 인증서가 만료된 도메인은 10일부터 순차적으로 115,554개, 94,072개, 120,751개, 121,820개 70,287개, 6,980개, 4,012개로 일주일 간 인증서가 만료된 도메인은 총 533,476개에 이른다. 이 가운데 크롬으로 접속이 어려운 사이트들은 러시아의 여행 사이트 https://russian-tour.com/, 러시아 쇼핑몰 사이트 www.santehnikavdom.ru 를 비롯해 다수의 사이트가 포함되어 있는 것을 확인할 수 있었다.

.ru를 사용하는 도메인 개수가 총 25,311,304개인 것으로 보아 현재까지 약 0.5%의 러시아 사이트에서 인증서 경고 메시지가 표시된다. 침공 20일이 지난 현재, 러시아의 우크라이나 침공이 앞으로 일주일 더 지속될 경우에는 총 1,318,388개의 사이트가 안전하지 않은 사이트로 분류될 것이고, 3월 말까지 계속된다면 총 2,185,199개의 사이트 즉, 약 2%의 사이트가 운영이 어려워질 것으로 예상된다. 전쟁이 지속되면 지속될수록 그 수는 비약적으로 증가할 것으로 보인다.

3월 인증서 만료 러시아 사이트 개수

국제적 제재를 해결하기에 부족한 러시아의 CA

더욱이 러시아의 대응은 국제 브라우저의 신뢰를 얻지 못해 큰 효과를 누리기에는 역부족이다. 새롭게 생성된 인증기관(CA)은 각 브라우저의 검증이 필요하며, 현재까지 러시아 기업의 브라우저인 Yandex와 Atom에서만 러시아 인증서를 신뢰하고 있다. 그러나 러시아 브라우저마저도 웹사이트 접속이 불가한 경우가 있어, 사실상 인증서가 만료된 사이트로 유저의 접속이 불가하다고 볼 수 있다. Chrome이나 Edge를 이용하고 싶은 유저는 직접 수동으로 러시아어 루트 인증서를 추가해 접속할 수도 있지만, 이는 러시아의 HTTPS 트래픽 가로채기 공격이 발생할 가능성이 있어 선뜻 이용하기 어려운 상황이다. 즉, 러시아의 인증서를 새로 발급받더라도 고객 이탈을 막기위해서는 안전한 사이트임을 증명하고, 러시아 브라우저를 통해 접속하도록 추가적인 안내와 조치를 취해야 하는 상황이다. 아래는 러시아 여행 사이트 도메인, https://russian-tour.com/에 Chrome과 Yandex로 접속했을 때 나타나는 경고 메시지이다.

 

Chrome으로 russian-tour.com 접속 시 나타나는 경고 페이지

Yandex로 russian-tour.com 접속 시 나타나는 경고 페이지

지속되는 글로벌 기업들의 러시아 때리기

한편, SSL/TLS 이슈는 인증기관의 대응 외에 우크라이나 측에서 직접 공격적으로 나서는 행보도 있었다. 최근 우크라이나는 국제인터넷기구인 아이칸(ICANN)에게 러시아 웹사이트들을 공공 인터넷으로부터 단절시켜달라는 요청을 전달하기도 하였다. 해당 요청에는 TLS/SSL 인증서를 만료시키고, DNS 루트 서버를 폐쇄하며 특정 국가코드와 도메인을 취소해달라는 내용이 포함되어 있다. 이에 대해 아이칸은 가능한 영역 밖이라는 이유로 이를 거절했지만, 마이크로소프트를 포함한 사기업에서는 아이칸과 같은 국제기구의 반응과는 달리, 러시아 고객들을 직접 차단하고 러시아와 관련된 영업 행위까지 중단하는 등 러시아 막기에 앞서고 있다.

이를 두고, 러시아 디지털 기술부는 “해외에서 러시아 사이트에 대한 사이버공격이 끊이지 않는다”며 표현하였고, 러시아에서도 최근 주요 소셜네트워크서비스(SNS)인 인스타그램, 페이스북 등의 접속을 차단한 바, 러시아 내에서의 VPN(Virtual Private Networks) 애플리케이션 다운로드 횟수가 급증하는 상황이 발생하기도 했다.

이렇듯 국제기관과 글로벌 기업들의 러시아 차단은 전쟁국가에 대한 국제적인 제재와 반대의지 표명이 사이버 공간에서 인터넷 단절이라는 형태로 이루어질 수 있다는 것을 시사한다. 국제적인 반대와 자국민의 불만을 뒤로하고 정당화되지 않은 우크라이나 침공을 계속하는 러시아의 행보에 당분간 국제기관 및 기업의 러시아 때리기는 지속될 것으로 예상된다.

해당 게시글은 Criminal IP의 데이터를 바탕으로 작성되었습니다. Criminal IP의 구체적인 서비스 내용 및 베타테스터 모집에 관해 더 궁금하시다면 현재 오픈되어 있는 랜딩페이지를 바로 방문해주세요!