KoreaV_oops
인증 기관(Certificate Authority, CA)이란 SSL 보안 인증서를 발급하는 기관들을 말합니다.
인증 기관에 대해 알아보기 전에 먼저 SSL 그리고 보안 인증서에 대해서 간략히 알아보겠습니다.
SSL (보안 소켓 계층)이란?
SSL 은 Secure Sockets Layer의 약자로, 일반적으로 서버의 웹사이트와 클라이언트의 브라우저 간의 통신 시에 데이터를 암호화 해주는 프로토콜을 말합니다.
때문에 해킹 등으로 인해 데이터가 도중에 유출되더라도 내용을 보호할 수가 있게 됩니다.
https://www.koreav.kr
SSL 통신을 하게 되면 브라우저의 주소 창에 위와 같이 http 가 아닌 https 로 표시가 됩니다.
그리고 웹 브라우저에서는 아래와 같이 경고 창이 표시되기도 합니다.
HTTP (Hyper Text Transfer Protocol) HTTPS (Hyper Text Transfer Protocol Secure)
SSL 은 개인정보를 포함하고 있는 사이트라면 반드시 적용이 되어야 합니다.
개인정보 보호법 시행령
제30조(개인정보의 안전성 확보 조치)
① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.
3. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
SSL 이 적용되지 않았거나 인증 기간이 만료되는 등 보안 인증서 정보가 정확하지 않은 웹사이트에 접속을 할 경우, 대부분의 브라우저에서는 위와 같이 안전하지 않은 사이트라는 경고 창을 표시하기 때문에 SSL 적용은 필수 요건이 되고 있습니다.
-
그럼, TLS는 무엇일까요?
SSL의 버전이 올라가면서 명칭이 TLS로 변경되었지만 기존의 SSL이라는 명칭을 계속 사용하고 있습니다.
통상적으로 SSL 과 TLS 는 같은 표현이라고 생각하면 되겠습니다.
참고로 현재 대부분의 브라우저에서는 TLS 1.1 이하의 버전의 취약점이 노출되어 TLS 1.2 이상의 버전을 사용할 것을 권고하고 있습니다.
SSL 보안 인증서란?
보안 인증서는 기본적으로 개인 키와 공개 키로 이루어져 있습니다.
개인 키는 비공개 키로 암호화 또는 복호화 하는데 사용이 됩니다.
공개 키는 누구나 볼 수 있는 정보지만 해당 키는 신뢰할 수 있어야 하며, 이것을 증명해주고 발급 해주는 기관이 인증 기관, CA(Certificate Authority)라고 합니다.
공개 키 중 CA 정보를 가지고 있는 인증서들이 있으며 루트 인증서, 중간 인증서라고 합니다.
인증서 체인
보안 인증서는 계층으로 연결되어 있어 이를 인증서 체인이라고 합니다.
그리고 가운데서 연결 고리 역할을 하는 중간 인증서를 체인 인증서라고 부르기도 합니다.
루트 및 중간 인증서는 브라우저 및 OS 등의 저장소에 저장이 되어 있습니다.
저장소에 등록되어 있는 CA 인증서
이렇게 저장소에 등록되어있는 인증서로 웹사이트에 접속을 했을 때 검증을 하게 됩니다.
인증 기관(Certificate Authority, CA) 이란?
SSL 인증서를 발급 해주는 인증 기관은 여러 곳이 있습니다.
대표적으로는 Sectigo(comodo), Digicert, GlobalSign, Let’s Encrypt 등이 있습니다.
-
Sectigo : 백신과 방화벽 프로그램 등으로 유명한 보안 기업으로 본사는 미국에 위치하고 있으며, 인증서 발급 점유율은 가장 높습니다. 인증서 브랜드는 기존에 Comodo CA 였으나 2018년에 브랜드 명칭을 Sectigo로 변경하였습니다.
-
Digicert : 예전에 업계 1위였던 Symantec 에 이슈가 있어 하위 기관인 Thawte 와 GeoTrust 까지 인수하면서 점차 점유율이 높아진 기관입니다. 기본적으로 고가정책을 고수하고 있으며, 본사는 미국에 위치하고 있습니다.
-
GlobalSign : 벨기에에서 설립되었으나 2006년에 일본의 GMO Internet에 인수되어 현재 본사는 일본에 있습니다. 유럽 및 일본에서 점유율이 높으며, SSL 인증서뿐 아니라 PKI 등 보안 솔루션을 제공하는 업체입니다.
-
Let’s Encrypt : 2016년부터 발행을 시작하였으며, 무료 인증서를 제공하는 기관으로 이 점 때문에 점유율이 가파르게 상승하고 있습니다
동일한 등급에 같은 유형의 인증서라면 서명 알고리즘 및 암호화 강도 등은 대부분 동일하며,
앞에 설명한 것과 같이 대부분의 브라우저와 OS에 CA 인증서들이 저장되어 있어 호환성에서도 큰 차이는 없습니다.
다만, 오래된 버전의 OS를 사용하거나 인증 기관과 통신이 되지 않는 폐쇄망 환경에서 인증서를 갱신하게 될 경우 루트 및 중간 인증서가 업데이트 되었다면, 클라이언트 측의 저장소의 루트 및 중간 인증서는 업데이트가 되지 않아 신뢰를 하지 않을 수 있기 때문에 문제가 될 수 있습니다.
Let’s Encrypt 인증 기관은?
인증 기관 중 Let’s Encrypt는 타 CA 인증 기관과 다소 차이점이 있습니다.
보안 인증서 발급 비용은 무료이지만 인증 기간이 3 개월로 타 인증 기관의 기간(1 년)보다 짧습니다.
하지만 스크립트를 이용하여 자동 갱신이 가능합니다.
그리고 Sectigo나 Digicert 인증서는 상품에 따라 금액에 차이가 있지만 암호화 된 SSL 통신 중 데이터가 유출되어 손해가 발생했다면 이에 대한 배상을 해주는 시스템이 있습니다.
하지만 Let’s Encrypt 는 비영리 기관으로 배상에 대한 책임을 가지지 않습니다.
이 외에도 GoDaddy, Entrust, Certum 등 여러 CA 기관들이 있으며, 우리가 잘 알고 있는 아마존이나 구글도 별도로 인증서를 발급하지는 않지만 자체 CA 를 운영하고 있습니다.
기타 참고 사이트