구글이 중국의 보안인증서를 신뢰할 수 없다고 나서면서 구글과 중국 정부와의 갈등이 깊어지고 있다.
구글은 2일 공식 보안 블로그를 통해 중국인터넷정보센터(CNNIC)가 발급하는 보안인증을 거부하기로 했다고 밝혔다.
중국인터넷정보센터는 중국의 IP주소와 인터넷도메인주소를 배분하거나 인증하는 중국 공업정보화부의 관련 기관으로, 사이트 보안인증서 발급 역할도 하고 있다.
구글이 이 기관의 보안인증서를 거부하기로 결정한 것은, 이 기관과 계약을 맺고 보안인증서 발급을 대행하는 카이로 소재 MCS홀딩스에서 무허가 인증서가 대량 발행됐기 때문이다.
구글은 이 무허가 인증서가 통신 내용을 도청하는 이른바 중간자공격(man-in-the-middle attack)에 쓰일 수 있다고 보고 있다.
이렇게 되면 가짜 사이트가 진짜 사이트인 것처럼 행세하는 것도 가능하다.
구글이 CNNIC의 보안인증서를 거부하면 세계에서 가장 많이 쓰이는 웹브라우저인 크롬을 이용해 이 기관이 인증한 사이트에 접속할 때 경고장이 뜨게 된다.
다만 구글은 CNNIC와 협력해 관련 문제를 해결할 계획이라고 설명했다.
CNNIC는 홈페이지를 통해 즉각 반발 성명을 냈다.
이 기관은 "구글의 결정은 용납할 수 없고 이해하기 힘든 것"이라며 "구글에 이용자의 권리와 이익을 철저히 고려하기를 진심으로 촉구한다"고 말했다.
이어 자신들의 인증서를 시용하고 있는 이용자들에게는 "여러분의 법적 권리와 이익에 영향이 없을 것을 보장한다"고 단언했다.
일각에서는 미국 코딩 웹사이트 기트허브(GitHub)를 디도스(DDos, 분산서비스거부) 공격한 배후로 중국이 지목된 것과 구글의 이번 조치가 관련이 있는 것으로 보기도 했다.
당시 월스트리트저널 등 미국 언론은 전문가들을 인용해 중국 인터넷 검열 당국이 공격의 배후로 보인다고 전한 바 있다.
(연합뉴스)