울지않는벌새 : Security, Movie & Society

인터넷 사이트의 엉터리 인증서를 조심하자!

벌새::Security
인터넷 사이트에 접속하다보면 상업적 사이트의 경우 맨 하단에 다음과 같은 마크를 달고 있는 곳이 많습니다.


예시를 든 사이트는 온라인 플래시 게임 관련 사이트임에도 불구하고 무슨 국가 유공자처럼 각종 정부 관련 사이트 마크를 달고 있으며, 우측 하단에는 TrustBiz 마크를 통해 해당 사이트가 신뢰할 수 있는 사이트임을 인증받은 것처럼 구성하고 있습니다.

해당 마크의 정상적인 기본 원리는 단순히 마크 이미지로 유효한 것이 아니라 실제 해당 마크를 클릭하였을 경우 인증 사이트 도메인 상에서 인증이 유효하다는 것을 표시하는 것으로 알고 있습니다.


그런데 실제 해당 마크를 클릭해보면 위와 같이 [요청하신 인증서 정보가 일치하지 않습니다.]라는 메시지를 통해 허위로 만들어진 마크인지 여부를 확인할 수 있습니다.(사실 인터넷에 떠도는 플래시 게임을 모아둔 사이트가 경찰청 마크를 달고 있다는 사실만으로도 소비자를 속이기 위한 것임을 알 수 있습니다.)

그렇다면 신뢰를 바탕으로 해야 하는 국내 개인정보 유출 확인 서비스 사이트에서는 과연 얼마나 잘 지키고 있는지 확인을 해 보았습니다.

현재 국내에서는 개인적으로 파악한 개인정보(명의도용) 확인 서비스(현재 23개 서비스 운영 중)가 우후죽순 생겨나면서 엉터리 서비스를 통해 돈벌이에 치중하는 곳도 있으며, 별 다른 기술없이 운영되는 곳도 있는 것으로 알고 있습니다.


모 개인정보 유출 확인 서비스 사이트에서는 그림과 같이 KISIA(한국정보보호산업협회) 마크가 달려있는데, 마크를 클릭하면 [유효하지 않은 인증마크입니다.]라는 메시지를 출력하고 있는 것을 확인할 수 있습니다.


또 다른 업체의 경우 랭키닷컴에서 선정한 보안/암호화 부문 1위 마크를 달고 있습니다.


하지만 해당 인증마크의 경우 이미 6개월 전에 인증이 만료된 것으로 유효하지 않은 마크를 달고 있는 것을 확인할 수 있습니다.


심지어 모 업체의 경우에는 2개의 마크를 달고 있지만, 단순히 이미지 파일로 구성되어 있어 마크를 클릭하여도 유효한 마크인지 확인이 되지 않는 경우도 있습니다.

렇다면 최악의 마크는 무엇인지 살펴보겠습니다.


마크를 클릭하면 정상적으로 한국전자인증서가 유효하다는 메시지를 제시하는 경우가 있습니다. 하지만 해당 인증서의 유효기간은 이미 2008년 11월에 만료가 되었는데도 인증서 상태는 유효하다고 표시되고 있습니다. 더욱 악질적인 것은 인증서를 발급한 CrossCert 도메인이 아닌 자신의 사이트 도메인에 그림 파일로 연결을 하고 있다는 사실입니다.

이처럼 일반 개인들이 자신의 소중한 개인정보를 보호하기 위해 돈을 들여서 서비스를 받는 일부 명의도용 확인 서비스 업체가 거짓된 정보를 가지고 정상적인 것처럼 눈속임을 하는 경우가 있으므로 상업적 사이트를 방문시 만약 사이트 하단에 마크가 있다면 반드시 클릭을 해서 인증서가 유효한지 여부를 판단하여 이용하는 습관이 있어야겠습니다.