(08/28) [기획] SSL 인증서 유효기간 1년 단축...짧아진 주기로 소비자 혼란 일으킬까

◇ SSL 인증서 수명, 2년 → 1년 단축에 우려의 목소리
2020년 9월 1일부터 SSL 인증서의 최대 유효기간이 기존 2년(825일)에서 최대 1년(398일)으로 단축된다. 이에 따라 개인정보를 취급하는 웹사이트 관리자/소유자는 9월 1일 이후 매해 인증서를 갱신하고 또 새로 적용해야만 한다.

짧아진 인증서 수명 탓에 인증서 발급 대행업체와 엔드유저(End-user, 최종 사용자)가 겪을 혼란을 우려하는 목소리가 나온다.

기존 정책을 재정비하고, 잦은 갱신 주기를 관리하기 위해 발급 업체가 적지 않은 인적/물적 비용을 지불해야 하고, 자칫 잘못해 인증서 갱신일을 지나쳐 고객의 사이트 운영에 지장을 입는 등 예상되는 사회적 비용이 적지 않다는 이유에서다. 

이번 정책 변경으로 CA(인증서 발급 기관, Certificate Authority)를 비롯한 인증서 발급 대행업체들은 짧아진 주기로 인한 인증서 엔드유저의 불편함을 최소화하기 위한 정책 재정비에 바빠진 모양새다.

 

◇ 짧은 인증서 유효기간, 정말 더 안전할까?
브라우저 공급 업체가 주도한 유효기간 단축의 궁극적인 이유에는 보안상의 이슈가 자리한다. 웹사이트의 인증서를 더 짧은 주기로 갱신하도록 만들면 암호화/복호화를 위해 사용되는 암호키(Key)를 더 자주 교체하게 되므로, 갈수록 고도화되는 해킹 수법이나 정보 탈취로부터 웹사이트를 더욱 안전하게 지킬 수 있기 때문이다.

실제로 보안 전문가들은 “SSL 인증서와 같은 디지털 인증서 생태계는 빠른 속도로 변화하는 탓에 짧은 주기로 갱신하는 것이 사실상 가장 유리하다”라고 입을 모은다. 더 짧은 유효 기간을 통해 CA와 웹사이트 관리자는 유효기간 도중에 발생할 수 있는 예상치 못한 인증서 재발급을 최소화할 수 있기 때문이다.

 

◇ 최대 유효기간 1년...애플의 일방적인 발표
짧은 SSL 인증서 발급 주기는 곧 CA의 잦은 인증서 발급을 의미하므로 CA에게 유리한 정책이라고 생각할 수 있지만, 실제로 SSL 인증서 유효기간 단축을 주도하는 건 브라우저 공급 업체다.

과거 이뤄졌던 인증서 유효기간 단축은 CA/B 포럼(인증서 발급기관 및 웹브라우저 공급 업체의 자발적인 컨소시엄)의 투표를 통해 공식적으로 결정되어왔다. 하지만 이번 단축의 경우는 조금 다르다. 제일 먼저 최대 유효기간을 1년으로 단축해야 한다고 주장한 곳은 브라우저 공급 업체인 구글(Google)이었다.

구글은 2019년 CA/B 포럼에서 SSL 인증서 최대 유효기간을 기존 2년(825일)에서 1년(398일)으로 축소할 것을 공식적으로 제안했다. 당시 투표에 참여한 전체 브라우저 업체가 이를 찬성했지만, CA의 경우 단 35%만 찬성표를 던져 유효기간 단축이 무산되는 듯했다.

하지만 올해 2월에 개최된 CA/B 포럼에서 애플(Apple)은 돌연 9월 1일을 기점으로 발급 후 398일을 초과하는 인증서를 신뢰하지 않겠다는 일방적인 발표를 내놨다. 뒤이어 구글도 애플의 결정에 동참하기로 하면서, 사실상 SSL 인증서의 최대 유효기간이 2년에서 1년으로 줄어들게 됐다. 애플의 사파리(Safari)와 구글의 크롬(Chrome) 브라우저 점유율이 2020년 7월 기준으로 전체의 70%를 넘기기 때문이다.(출처: Browser & Platform Market Share, W3Counter, July 2020)

 

◇ 유효기간 단축으로 달라지는 것은?
만약 8월 31일 이전에 인증서를 발급받은 경우라면 기존 2년 형 인증서의 유효기간은 그대로 유지된다. 하지만 9월 1일부터 2년 형 인증서를 발급받을 수 없기 때문에, 만기일이 돌아오면 1년 형 인증서를 새로 신청해야 한다. SSL 인증서를 새로 신청해야 하는 신규 신청자는 9월 1일부터 최대 1년 형 인증서만을 발급받아 사용할 수 있다.

갱신 가능 시점도 달라진다. 기존에는 만기일 90일 전부터 인증서를 갱신할 수 있었지만, 9월 1일 이후부터는 만기일 33일 전부터 인증서를 갱신할 수 있다. 

이번 정책 변경은 기존 인증서의 유효기간은 그대로 유지되고, 9월 1일을 기점으로 최대 유효기간만 변경되는 것이므로 언뜻 보기에는 혼란이 발생할 여지가 없어 보인다. 하지만 서버 재설치나 비밀번호 분실 등의 사유로 SSL 인증서를 재발급받아야 한다면 상황은 달라진다. SSL 인증서를 재발급받는 시점으로부터 398일을 초과하는 유효기간을 인정받을 수 없기 때문이다. 이는 다시 말해 재발급 시점에 인증서의 남은 유효기간이 398일을 초과하더라도 그 인증서의 유효기간은 398일로 축소됨을 의미한다.

만약 A라는 웹사이트가 2020년 8월 10일에 2년 형 인증서를 발급받은 후, 2020년 9월 30일에 서버 업그레이드로 인해 인증서 재발급을 신청한다면, 만기일(2022년 8월 10일)까지 406일이 남아있음에도 불구하고 재발급으로 인해 인증서의 유효기간이 398일로 축소되는 것이다.

 

◇ 인증서 발급 업체, 최종 사용자의 불편을 최소화하는 정책 필요
SSL 보안서버 인증서 발급 및 설치를 대행하는 가비아는 2년 형 인증서의 재발급으로 인해 만기일이 축소된 경우, 남은 잔여일 까지 인증서를 추가로 발급해 기존 서비스 이용 기간까지 무상으로 이용할 수 있도록 해 엔드유저가 입을 수 있는 손해를 최소화했다. 

가비아 플랫폼팀 이태석 팀장은 인터뷰를 통해 “CA로부터 인증서 발급 및 설치를 위임받은 업체들은 엔드유저가 인증서 갱신 시점을 놓치지 않도록 변경된 정책을 고지하고, 갱신 및 재발급을 대행하는 등 웹사이트 관리자가 겪을 수 있는 불편함을 최소화할 방안을 강구할 필요가 있다”고 전했다.