간혹 인터넷 서핑을 하다가 ‘이 웹 사이트의 보안 인증서에 문제가 있습니다’라는 메시지가 뜨면서 해당 사이트의 접속이 제대로 되지 않는 경우가 있다. 관리가 제대로 되고 있지 않은 사이트를 접속하고자 할 때 주로 일어나는 현상이다. 이는 해당 웹사이트에 적용된 SSL(Secure Sockets Layer) 인증서에 문제가 있다는 뜻이다. SSL 인증서는 사이트의 보안성을 담보하는 프로토콜(통신규약)의 일종이다. 웹사이트에 적용된 SSL 인증서를 신뢰할 수 없거나 인증서의 유효기간이 만료되었을 가능성이 있다. 이런 사이트는 해킹이나 정보 탈취 등의 보안 위협으로부터 안전하지 않다.
SSL 인증서에 문제가 있는 사이트 접속 시 뜨는 경고 메시지(출처=IT동아)
SSL 인증서를 발급하는 기업이나 기관을 CA(Certificate Authority)라고 하며, 이들은 웹사이트 운영자들에게 인증서를 발급하면서 일정액의 수수료를 받는다. 경우에 따라 무료 인증서를 제공하는 기관도 있긴 하지만 본격적인 상업용 사이트의 경우는 기능이 더 우수한 유료 SSL 인증서를 이용하는 경우가 대부분이다.
그런데 최근 SSL 인증서의 유효기간 단축 문제가 이슈다. SSL 인증서의 유효기간은 인증서 발급기관 및 웹브라우저 공급 업체의 컨소시엄인 ‘CA/B 포럼’을 통해 정해진다. 지금까지 SSL 인증서의 최대 유효기간은 2년(825일) 이었다. 그런데 최근 웹브라우저 업체들은 SSL 인증서의 유효기간 단축을, 반면 CA측에선 현행 유효기간의 유지를 주장하고 있었다.
웹브라우저 공급 업체들은 최근 갈수록 고도화되는 보안 위협으로부터 웹사이트를 더욱 안전하게 지키기 위해서는 웹사이트의 인증서를 더 짧은 주기로 갱신하도록 해야 한다고 주장하고 있다. 인증서 교체가 자주 이루어질 경우, 해킹 방지용 암호화/복호화를 위해 사용되는 암호키(Key)를 더 자주 교체하게 되어 보안성을 높일 수 있기 때문이다.
반면, CA측에서는 인증서의 유효기간 단축으로 인한 보안성 향상 효과는 인정하면서도 갑작스러운 정책 변경으로 인한 시장 혼란을 우려하고 있었다. 보안서 갱신 주기가 짧아지면 이에 대응하기 위해 기업 및 CA측은 비용이나 인력이 더 필요해질 수도 있기 때문이다. 실제로 작년에 열린 2019년 CA/B 포럼에서 구글은 SSL 인증서 최대 유효기간을 기존 2년에서 1년으로 축소할 것을 제안했지만 CA측의 반대로 유효기간 단축은 이루어지지 않았다. 하지만 올해 2월에 개최된 CA/B 포럼에서 애플은 돌연 올해 9월 1일부터 발급 후 398일을 초과하는 인증서는 신뢰하지 않겠다고 전격 발표했다. 그리고 이러한 애플의 발표에 구글도 동조했다.
구글의 크롬은 PC 및 안드로이드 스마트폰용 웹브라우저 시장에서, 그리고 애플의 사파리는 맥OS 기반 컴퓨터 및 iOS 기반 스마트 기기용 웹브라우저 시장에서 압도적인 점유율을 보유하고 있다. 이런 구글과 애플이 정책을 밀어붙인다면 막을 방법이 없다. 이 때문에 오는 9월 1일부터 SSL 인증서 최대 유효기간이 2년에서 1년으로 단축되는 건 사실상 기정사실이 되었다.
웹사이트를 운영하는 사업자의 경우, 앞으로는 유효기간 최대 1년의 SSL 인증서만 발급받을 수 있다. 하지만 8월 31일 이전에 인증서를 발급받았다면 최대 2년의 유효기간이 유지된다. 다만 유효기간 2년의 인증서를 발급받은 상태라도 서버 교체나 비밀번호 분실 등의 이유로 다시 인증서를 발급받는 경우에 유효기간이 1년으로 줄어들게 되므로 주의를 요한다.
이러한 시장의 혼란 우려와 관련, 관련업계는 대책 마련에 분주하다. SSL 보안서버 인증서 발급 및 설치 대행을 하는 가비아의 플랫폼팀 이태석 팀장은 취재진과의 인터뷰를 통해 “가비아는 2년형 인증서가 재발급으로 인해 만기일이 축소되더라도 남은 잔여일까지 인증서를 추가로 발급해 기존 서비스 이용 기간까지 무상으로 이용할 수 있도록 하는 등의 대책을 세울 것”이라고 밝혔다.
동아닷컴 IT전문 김영우 기자 pengo@donga.com