SSL이란 서버와 브라우저가 주고 받는 데이터를 암호화하여 안전하게 전송하는 역할을 해주는 프로토콜이다. 이런 프로토콜을 가능하게 하는 전자 파일을 SSL인증서라고 하며, SSL인증서를 서버에 설치함으로써 SSL 프로토콜을 이용한 보안 통신이 가능하게 함과 동시에, 인증서 내부에 있는 업체명을 통해 업체를 식별할 수도 있다.

SSL인증서는 2020년 9월 이후로 최대 1년까지만 발급이 가능하고 자동으로 갱신되지 않기 때문에, 매년 갱신 날짜에 맞춰 인증서 재발급과 설치가 꼭 필요하다. 

갱신 기간을 놓쳐 만료되는 경우, 브라우저에서 입력하는 정보가 노출되어 피해를 입을 수 있다. 무엇보다도 웹사이트의 보안 설정이 취약하다는 점과 서비스가 제대로 운영되지 않는 상황이 노출되므로, 웹사이트와 서비스 제공자에 대한 유저의 신뢰도와 이미지가 하락하는 치명적인 피해가 발생된다.

그 예시로, 얼마 전 세계 최대 음원 스트리밍 사이트인 Spotify가 인증서 갱신 기간을 놓치면서 정상적으로 서비스가 제공되지 못하였고, 이로 인해 유저들로부터 큰 비난을 받은 사건이 발생했다. 

Criminal IP (https://www.criminalip.io)의 Asset Search에서 ssl_expired 필터를 이용하면, 인터넷 페이지의 SSL인증서 만료 여부를 확인할 수 있다.

[Criminal IP Youtube – OSINT 툴로 만료된 SSL 인증서 웹사이트 찾는 방법]

Search Keyword: “ssl_expired: true” 

ssl_expired: true로 검색한 SSL인증서가 만료된 웹 페이지. 전체 11,000,000건이 넘게 검색된다.

ssl_expired: true로 검색한 SSL인증서가 만료된 웹 페이지. 전체 11,000,000건이 넘게 검색된다.

 

SSL인증서가 만료된 웹사이트의 화면. 웹사이트의 신뢰도를 떨어뜨린다

SSL인증서가 만료된 웹사이트의 화면. 웹사이트의 신뢰도를 떨어뜨린다

 

AS Name, HTML 필터 추가 활용한 SSL인증서 만료 여부 확인

위의 필터 검색 결과에, 여기에 as_name 필터를 추가하면 SSL인증서가 만료된 웹페이지를 특정 기업별로 좁혀서 볼 수 있다.

Search Keyword: “as_name: Spotify ssl_expired: true”

Spotify가 운영하는 웹 브라우저 중 SSL인증서가 만료된 페이지가 7건으로 확인된다.

Spotify가 운영하는 웹 브라우저 중 SSL인증서가 만료된 페이지가 7건으로 확인된다.

 

또 다른 대기업인 IKEA에서 운영하는 웹 페이지 중 만료된 SSL인증서를 가진 웹 페이지도 살펴 보았고, 그 중에는 VPN 서비스를 제공하는 사이트도 발견이 되었다.

Search Keyword: “as_name: IKEA IT AB ssl_expired: true”

as_name: ikea IT AB ssl_expired: true을 검색하여 찾은 IKEA가 보유한 VPN 접속 사이트

as_name: ikea IT AB ssl_expired: true을 검색하여 찾은 IKEA가 보유한 VPN 접속 사이트

 

더욱이, 로그인 기능을 통해 유저의 정보를 수집하는 웹 브라우저가 인증서 만료가 되어 있는 상태라면 이를 이용한 해킹 공격에 의해 유저들의 개인정보가 유출이 될 가능성도 발생한다. 이는 서비스 운영 기업과 유저 모두에게 최악의 피해를 입히는 상황이 발생될 수 있으므로 웹 페이지 운영자의 각별한 주의가 필요하다.

html_meta_title 필터를 추가로 이용하여, SSL인증서가 만료된 로그인 페이지들을 찾아볼 수 있다.

Search Keyword: “html_meta_title: login, ssl_expired: true”

html_meta_title: login, ssl_expired: true을 검색하여 찾은 SSL인증서가 만료된 로그인 페이지, 200건이 넘게 검색된다

html_meta_title: login, ssl_expired: true을 검색하여 찾은 SSL인증서가 만료된 로그인 페이지, 200건이 넘게 검색된다

 

SSL인증서가 만료된 로그인 페이지. 주소창 상단에 '안전하지 않음'으로 표시되어 있다

SSL인증서가 만료된 로그인 페이지. 주소창 상단에 ‘안전하지 않음’으로 표시되어 있다

 


데이터 출처 : Criminal IP (https://www.criminalip.io)