의심하지 않는 사용자의 데이터에 액세스하기 위해 中 공산당은 안전하다고 생각되는 보편적인 인증 프로세스를 악용할 수 있지만 실제로는 또 그렇지 않을 수 있다고 사이버 보안 전문가들은 경고했다.

암호화는 디지털 데이터를 보호하고 컴퓨터를 보호하는 데 선호되는 방법이지만 경우에 따라 인터넷 인증에 사용되는 디지털 인증서로 인해 中 정부가 다양한 컴퓨터 네트워크에 침투하여 혼란을 야기시키고 있다고 언급했다.

최근 사이버 보안업체 CIP(Cybersec Innovation Partners)의 CEO인 Andrew Jenkinson은 인증기관(CA)의 디지털 인증서는 여권이나 운전면허증에 비유할 수 있다고 언급하며 에포크타임즈와의 인터뷰를 통해 디지털 인증서가 없으면 사람이나 장치가 산업 표준을 따를 수 없으며 중요한 데이터 암호화를 우회하여 암호화된 것으로 간주되는 내용이 일반 텍스트 형식으로 남게될 수 있다고 언급했다.

암호화를 통해 디지털 인증서는 데이터 가로채기, 도용 등 해킹을 방지하는 내부 및 외부 통신을 암호화하는 데 사용된다. 그러나 유효하지 않은 또는 “불법 인증서”는 전체 암호화 프로세스를 조작할 수 있으며 결과적으로 수백만 명의 사용자가 잘못된 보안 의식을 갖게될 수 있다고 언급했다.

이 밖에 사이버 보안업체인 Global Cyber Risk LLC의 수석 부회장인 Michael Duren은 디지털 인증서는 일반적으로 신뢰할 수 있는 인증기관에서 발급하고 동일한 수준의 신뢰가 중간 공급자에게 전달된다고 언급하면서도 공산주의 단체, 악의적인 행위자 또는 다른 신뢰할 수 없는 단체가 신뢰할 수 있는 것처럼 보이지만 실제로는 그렇지 않은 다른 사람들에게 인증서를 발급할 기회가 주어진다고 밝혔다.

이에 덧붙여 Duren은 이러한 이유로 중국 인증기관을 절대 신뢰하지 않을 것이라고 언급하면서 중국 인증기관이 모든  인증기관의 매우 작은 부분을 차지하고 있지만 이들이 발급하는 인증서는 일반적으로 중국 법인 및 제품에만 국한된다고 밝혔다.

에포크 타임즈 사진

한 편 2015년에는 中  도메인 이름 등록을 감독하는 국영기관인 CNNIC(중국 인터넷 네트워크 정보센터)에서 발급한 인증서에 의문이 제기된 바 있는데 당시 구글과 모질라는 여러 도메인에 연결된 무단 디지털 인증서를 식별한 후 中 CNNIC 인증서를 금지했다. Jenkinson은 당시 CNNIC에서 발급한 인증서에 백도어가 있어서 금지되었다고 주장했다.

[출처 : 에포크타임즈 / 10.17.]