구글이 중국인터넷정보센터(CNNIC)가 발급하는 보안인증을 거부한다고 2일 공식 블로그에 밝혔다. 중국 정부가 공식적으로 발급하는 보안인증을 신뢰할 수 없다고 나서며 중국과의 갈등이 깊어지는 모양새다.
CNNIC는 중국 IP주소와 인터넷도메인 주소를 배분하거나 인증하는 중국 공업정보화부 관련 기관이다. 사이버 보안인증서도 발급한다.
구글은 CNNIC와 계약을 맺고 보안인증서를 발급 대행하는 MSC홀딩스에서 무허가 인증서가 대량 발행돼 해당 기관의 보안인증서를 거부하기로 결정했다. 회사는 허가받지 않은 인증서가 통신 내용을 도청하는 ‘중간자공격(man-in-the-middle attack)’에 쓰일 수 있다는 입장이다. 가짜 사이트가 진짜 사이트인냥 행세하는 것도 가능하다.
구글은 웹브라우저 크롬을 이용해 해당 기관이 인증한 사이트에 접속할 때 경고창을 띄울 방침이다. CNNIC와 협력해 관련 문제를 해결할 계획이라고도 전했다.
CNNIC는 즉각 반발 성명을 냈다. 기관은 “구글의 결정을 용납할 수 없고 이해하기 힘들다”며 “구글이 이용자 권리와 이익을 깊이 고려하기를 촉구한다”고 전했다. 또 CNNIC 인증서를 사용하고 있는 이들에게 “여러분의 법적 권리와 이익에 영향이 없을 것을 보장한다”고 덧붙였다.
일각에서는 미국 웹사이트 기트허브를 디도스 공격한 배후로 중국이 지목된 것과 이번 조치가 연관있는 것 아니냐는 의견도 나오고 있다. 당시 전문가들은 중국 인터넷 검열 당국이 공격 배후로 보인다고 전한 바 있다.
김창욱기자 monocle@etnews.com