시만텍, 구글과 마찰 빚은 웹사이트 인증서 사업 매각

시만텍이 웹사이트 인증서 발급 사업을 접는다.

시만텍은 2일(현지시간) 웹사이트 보안과 공개키기반구조(PKI) 솔루션 사업을 디지서트(DigiCert)에 매각하기로 했다고 밝혔다. 디지서트는 신원 인증·암호화 솔루션 공급업체다. 사모펀드 회사인 토마 브라보(Thoma Bravo)가 디지서트의 주요 투자사다.

두 회사 간 인수거래가 최종 성사되면 시만텍은 디지서트로부터 9억5000만달러의 현금과 지분 30%를 받게 된다.

이번에 매각하는 시만텍의 웹사이트 보안 사업에는 SSL/TLS 인증서와 코드서명(code signing) 등이 포함된다. 시만텍은  지난 2010년 12억8000만달러에 베리사인(Verisign)을 인수한 것을 비롯해 써트(Thawte), 에퀴팍스(Equifax)같은 인증기관(CA) 등도 사들이며 전세계 인증서 시장에서 독보적인 입지를 점유해 왔다.

symantec-logo
베리사인 인수 이후 시만텍은 베리사인의 체크마크를 기업 CI(Corporate Identity)와 브랜드 로고에 포함시킨 바 있다. 웹사이트 보안 사업을 매각하면서 이 CI와 로고는 유지될 수 있을지? 또 하나의 관심사다.

업계에서는 이번 매각이, 시만텍이 발급하는 SSL(Secure Sockets Layer)/TLS(Transport Layer Security) 인증서 신뢰성 문제를 구글이 제기하면서 빚어진 마찰에서 비롯된 것으로 보고 있다.

구글은 올해 초 시만텍이 인증서 발급 감독과 검증절차가 미비해 발견된 문제에 대한 개선조치도 시행하지 않아 사용자들이 위험에 노출됐다고 주장하면서 크롬 브라우저에서 단계적으로 시만텍 인증서를 신뢰하지 않겠다고 밝힌 바 있다.

<관련기사> 구글은 왜 시만텍 인증서 ‘신뢰성’에 문제를 제기했나

시만텍은 자사 인증서는 안전하고 구글의 주장이 과장돼 있다면서 구글의 입장을 반박하기도 했다. 하지만 자체 조사를 진행하고 파트너 등록기관(Registration Authority, RA) 프로그램을 폐지하는 등 대응조치를 취하기도 했다.

일단 시만텍은 이번 디지서트와의 인수 합의 발표에서는 관련된 공식 언급 없이 블루코트 인수 후 힘을 모으고 있는 통합 사이버보안(Cyber Defense)에 주력하겠다는 점을 강조했다.

그렉 클라크(Greg Clark) 시만텍 최고경영자(CEO)는 “웹사이트 보안과 관련 PKI 솔루션을 디지서트로 보내게 되면서 시만텍은 통합 사이버보안 플랫폼을 통해 클라우드 세대를 위한 보안을 제공하는데 주력할 수 있게 됐다”라면서 “최근 발표한 파이어글래스, 스카이큐어 인수합병 계약 등으로 혁신적인 행보를 가속화할 것”이라고 말했다.

존 메릴(John Merrill) 디지서트 CEO는 “업계 최고의 팀을 구성해 보다 나은 보안 솔루션과 서비스를 고객에게 제공 할 수 있게 됐다”라며 “디지서트는 SSL과 PKI 커뮤니티에서 혁신적인 제품, 최고 수준의 신뢰, 경험 있는 리더십을 시장에 제공하기 위해 힘을 기울이고 있다. 시만텍 웹사이트 보안 사업 고객과 직원들을 원활하게 전환할 수 있도록 하겠다”고 밝혔다.

한편 이번 매각 발표는 최근 구글이 시만텍이 제공하는 모든 SSL 인증서(GeoTrust,Thawte, Rapid SSL 등)를 신뢰하지 않기로 최근 공식화했고, 시만텍도 이에 합의해 CA 사업 매각을 고려하고 있다는 소식이 알려진 것에 뒤이어 나왔다.

국내에서는 이스트시큐리티가 자사 공식 블로그에 한 외신 보도를 인용해 “7월 28일, 구글은 시만텍이 동의한 제안에 따라, 올해 10월 예정돼 있었던 계획을 내년 4월(Chrome66)으로 연장했고, 단계적으로 시만텍 SSL 인증서를 완전히 신뢰하지 않기로 결정했다”는 글을 포스팅하면서 널리 알려졌다.

이 내용에 따르면, 구글은 웹브라우저인 크롬에서 단계적으로 시만텍 SSL 인증서를 신뢰하지 않을 예정이고, 오는 2018년 10월(크롬70)부터는 시만텍이 발급한 모든 인증서가 해당되게 된다. 이는 시만텍이 발급한 인증서를 사용하는 웹사이트에서는 다른 SSL 인증서로 교체해야 한다는 의미다.

하지만 시만텍측은 “구글의 최근 제안은 공식적으로 채택되지 않은 상황이며, 현재 광범위한 커뮤니티에서 검토 중이다”라며 “주목할 점은 구글이 제시한 원래 8월 일정은 미뤄졌다는 것”이라고 말해 확정된 사안은 아니라고 설명했다.

시만텍은 “일정을 연장한 것은 양사가 고객의 혼란을 최소화하고, 전체 인터넷 커뮤니티의 최선의 이익을 도모하는 해결 방안을 찾고자 하는 의지를 반영한 것”이라며 “잠재적 변화가 가져올 광범위한 영향을 감안해 구글의 최근 제안을 신중하게 검토하고 있다”고 전했다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다