CNET Korea뉴스엔터프라이즈

델 컴퓨터, 잘못된 인증서 설치했다 말썽

“은행이나 쇼핑몰로 위장한 웹사이트 못 걸러낸다”

델 인스피런 5000 노트북과 XPS 15 노트북 등 일부 제품에 델이 설치해 둔 인증서가 문제를 일으켰다.

(씨넷코리아=권봉석 기자) (사진은 델 인스피런 5000 노트북)

2월 레노버가 일으킨 수퍼피시 비주얼 디스커버리 문제는 이 프로그램이 잘못된 인증서를 설치하면서 일어났다. 이번에는 델도 비슷한 문제에 말려들었다. 델 인스피런 5000 노트북과 XPS 15 노트북 등 일부 제품에 델이 설치해 둔 인증서가 말썽을 일으킨 것이다.

이 문제를 처음 발견한 것은 미국의 프로그래머인 조 노드다. 그는 블로그를 통해 “10월에 구입한 델 인스피런 5000 노트북을 설정하던 중 ‘eDellRoot’라는 인증서를 발견했는데 왜 델이 이 인증서를 설치해 놓았는지 이유를 알 수 없었다”고 설명했다. 이 인증서는 2039년에 만료되며 모든 목적으로 이용할 수 있다. 뿐만 아니라 이 인증서와 맞는 개인 키도 컴퓨터 안에 저장되어 있다.

델이 설치한 인증서 eDellRoot. 2039년에 만료되며 모든 목적으로 이용할 수 있다.

(Screenshot Courtesy of Joe Nord)

문제는 모든 제품에 같은 개인 키와 인증서가 설치되어 있어서 이를 얼마든지 악용할 수 있다는 것이다. 이 인증서에 포함된 암호화 키를 뽑아내 가짜 웹사이트를 만들면 중요한 정보를 얼마든지 빼낼 수 있다. 피싱을 위해 가짜 인터넷 뱅킹 사이트, 가짜 쇼핑몰 사이트를 만드는 데도 이런 수법을 악용할 수 있다.

실제로 보안 전문가인 켄 화이트가 델 인증서를 적용해 암호화한 웹사이트에 접속할 경우, 해당 인증서가 설치되지 않은 컴퓨터에서는 인증서가 올바르지 않다는 경고 메시지를 띄운다. 하지만 델 컴퓨터에서는 아무런 경고 없이 바로 접속된다.

문제의 인증서가 설치된 델 컴퓨터로 이 웹사이트에 접속하면 아무런 경고가 뜨지 않는다.

델은 CSO 온라인엔가젯 등에 성명을 내고 “해당 인증서는 온라인 고객지원 사이트에 접속할 경우 PC 정보를 보다 정확하게 파악하기 위한 것이며 델은 어떠한 개인정보도 이용자의 동의 없이 수집하거나 공유하지 않았다. 해당 인증서를 제거하는 방법을 이메일이나 고객지원센터를 통해 안내할 것이며 앞으로 출시하는 제품에는 문제가 있는 인증서를 탑재하지 않을 것이다”라고 밝혔다.

권봉석 기자bskwon@cnet.co.kr

소비자들이 꼭 알아야만 손해를 안 볼 정보가 무엇인지 항상 고민합니다. 숫자만 잔뜩 등장하는 알맹이 없는 이야기는 빼고, 고민하는 시간을 줄일 수 있는 정보를 보다 쉽게 전달하기 위해 노력하겠습니다.