한국전자인증 뉴스

[뉴스]  한국전자인증, 코드사인 인증서 유출 사고 방지를 위한 EV코드사인 캠페인 실시
한국전자인증 2019-08-08 14:14
조회수 : 5
글로벌인증기관 한국전자인증(대표 신홍식, 코스닥:041460)은 코드사인(Codesign) 인증서 유출사고 방지를 위한 EV코드사인 인증서 도입 캠페인을 실시한다.

코드사인 인증서는 소프트웨어 개발회사가 최종 사용자가 수신한 코드가 제 3 자에 의해 변경되거나 손상되지 않았음을 확인시켜주는 방법으로서, 응용프로그램, 드라이버 및 소프트웨어 프로그램에 디지털 서명하는데 사용된다. 여기에는 서명, 회사명 및 원하는 경우 타임 스탬프가 포함되며 사용자는 디지털 서명된 프로그램을 신뢰하고 다운받게 된다.

최근 한 보안기업의 ‘코드사인 인증서’를 악용한 악성코드가 발견됨에 따라 한국인터넷진흥원(KISA)이 조사에 착수한 것과 관련, 코드사인 인증서를 사용하는 기업들의 불안감이 높아지고 있다. 만약 코드사인인증서가 유출되어 악성코드에 서명한 뒤 정상 프로그램인 것처럼 배포하면, 이용자는 이를 모르고 악성코드가 포함된 프로그램을 다운받을 수 있어 문제가 될 수 있다.

이에 한국전자인증은 프로그램의 신뢰성과 검증을 제공하는 코드사인 인증서의 이상적인 보안을 위해서는 반드시 ‘EV코드사인 인증서’를 이용할 것을 권장하고 있다. EV코드사인 인증서는 철저한 검증과정을 거쳐 FIPS 140 레벨2로 보호되는 HSM 보안토큰에 발급되며, HSM 내 PC와는 별도의 물리적으로 분리된 안전한 실행환경을 통해 코드사이닝을 수행하기 때문에 해킹이나 유출의 위험이 전혀 없다. 특히 마이크로소프트(MS)사에서 윈도우 호환성을 검증하여 부여하는 WHQL인증용으로 사용하는 등 안전성이 입증된 인증서라고 볼 수 있다. 또한 EV 코드사인 인증서로 서명할 경우, 스마트스크린(smartscreen)필터 경고를 즉시 해제 가능하여 응용프로그램 배포에 따른 신뢰평판 구축 기간을 크게 단축할 수 있다.

한국전자인증은 코드사인 인증서 관리체계 강화 방안도 제시했다. 글로벌 수준의 SoD(Segregation of Duty) 관리 체계를 수립하고 코드사인 인증서를 발급 후에는 반드시 관리와 사용을 엄격히 구분하여 통제함으로써 외부 리스크를 최소화 해야 한다고 강조하며, SoD 체계하에 인증서 관리자와 사용자를 권한 분리하고, 매체분리 및 관리대장을 통한 이력관리로 내부 통제를 강화하고 있다고 밝혔다. 아울러 한국인터넷진흥원이 배포하는 ‘코드서명 인증서 보안가이드’에서는 인증서 관리, 시스템 분리, 매체 분리, 사고대응체계 등 관리 통제를 위한 항목을 자세히 설명하고 있으므로 이를 참고하는 방법도 있다고 관계자는 밝혔다.

한국전자인증 홍종하 글로벌인증 본부장은 “코드사인 인증서는 보안 담당자가 철저한 보안관리 의식을 가지고 관리 감독을 해야 한다.’고 강조하며 ‘ 최고 등급의 코드서명 인증서인 EV코드사인 인증서 도입하면 인증서 유출방지는 물론 고객의 신뢰도를 높일 수 있다”고 말했다.

한편 한국전자인증은 프리미엄 SSL 인증서 분야 세계 1위인 디지서트(Digicert) 파트너 중 전세계 TOP 16에게만 주어지는 플레티넘 엘리트(Platinum Elite) 파트너로서 2019년 디지서트에서 콜라보레이션 파트너 어워드(Collaboration Partner Award) 및 밀리언 달러 클럽 어워드(Million Dollar Club Award)를 5년 연속 수상하였으며, EV코드사인 인증서를 비롯, 웹사이트가 신뢰할 수 있는 사이트인지 확인하고 웹사이트와 사용자 간에 전송 되는 정보를 암호화하는 SSL인증서를 제공하는 프리미엄 SSL 인증서 분야 국내 점유율 1위 글로벌인증기관이다.