(씨넷코리아=권봉석 기자) (사진은 델 인스피런 5000 노트북)
2월 레노버가 일으킨 수퍼피시 비주얼 디스커버리 문제는 이 프로그램이 잘못된 인증서를 설치하면서 일어났다. 이번에는 델도 비슷한 문제에 말려들었다. 델 인스피런 5000 노트북과 XPS 15 노트북 등 일부 제품에 델이 설치해 둔 인증서가 말썽을 일으킨 것이다.
이 문제를 처음 발견한 것은 미국의 프로그래머인 조 노드다. 그는 블로그를 통해 “10월에 구입한 델 인스피런 5000 노트북을 설정하던 중 ‘eDellRoot’라는 인증서를 발견했는데 왜 델이 이 인증서를 설치해 놓았는지 이유를 알 수 없었다”고 설명했다. 이 인증서는 2039년에 만료되며 모든 목적으로 이용할 수 있다. 뿐만 아니라 이 인증서와 맞는 개인 키도 컴퓨터 안에 저장되어 있다.
(Screenshot Courtesy of Joe Nord)
문제는 모든 제품에 같은 개인 키와 인증서가 설치되어 있어서 이를 얼마든지 악용할 수 있다는 것이다. 이 인증서에 포함된 암호화 키를 뽑아내 가짜 웹사이트를 만들면 중요한 정보를 얼마든지 빼낼 수 있다. 피싱을 위해 가짜 인터넷 뱅킹 사이트, 가짜 쇼핑몰 사이트를 만드는 데도 이런 수법을 악용할 수 있다.
실제로 보안 전문가인 켄 화이트가 델 인증서를 적용해 암호화한 웹사이트에 접속할 경우, 해당 인증서가 설치되지 않은 컴퓨터에서는 인증서가 올바르지 않다는 경고 메시지를 띄운다. 하지만 델 컴퓨터에서는 아무런 경고 없이 바로 접속된다.
델은 CSO 온라인과 엔가젯 등에 성명을 내고 “해당 인증서는 온라인 고객지원 사이트에 접속할 경우 PC 정보를 보다 정확하게 파악하기 위한 것이며 델은 어떠한 개인정보도 이용자의 동의 없이 수집하거나 공유하지 않았다. 해당 인증서를 제거하는 방법을 이메일이나 고객지원센터를 통해 안내할 것이며 앞으로 출시하는 제품에는 문제가 있는 인증서를 탑재하지 않을 것이다”라고 밝혔다.