SSL 인증서란? SSL 인증서의 정의 및 중요성

인터넷 초창기에는 모든 웹사이트 요청과 응답이 "평문"으로 전송되었습니다. 즉, 디지털 도청자가 잠재적으로 내용을 볼 수 있었기에 로그인 자격 증명, 신용카드 번호 및 기타 민감한 개인 정보를 전송하는 것은 위험했습니다.

1990년대 중반, Netscape는 웹 콘텐츠를 전달하고 전송할 때 기밀 정보를 암호화하는 보안 프로토콜을 개발했습니다. 이 프로토콜은 SSL(Secure Sockets Layer)이라고 불렸으며, 나중에 TLS(Transport Layer Security)라는 또 다른 프로토콜로 발전했습니다.

SSL과 TLS는 기능과 아키텍처 측면에서 차이가 있지만, 둘 다 SSL 인증서라는 디지털 기술을 사용하여 보안성을 제공합니다.

SSL 인증서란 무엇인가요?

SSL 인증서는 웹사이트의 신원을 인증하고 웹사이트와 브라우저 간에 암호화된 연결을 생성하는 디지털 인증서입니다.

SSL 인증서는 SSL/TLS 인증서, 디지털 인증서, 또는 간단히 인증서라고도 불리며, 연결 대상의 신원을 보호하고 온라인 상호작용을 안전하게 유지하는 역할을 합니다. 이 인증서를 통해 보호된 연결에서는, 데이터를 주고받는 당사자를 제외한 누구도 해당 내용을 읽거나 변경할 수 없습니다.

SSL 인증서는 웹사이트 운영자의 신원을 확인해 주는 일종의 여권 같은 역할을 하는 동시에, 강력한 암호화를 통해 사용자 데이터를 안전하게 지키는 열쇠와 같은 역할도 합니다.

SSL 인증 기관(CA)이란 무엇인가요?

SSL 인증서는 인증 기관(CA, Certificate Authority)이라는 기관에서 발급합니다. CA는 웹사이트의 신원을 보증하는 신뢰할 수 있는 제3자 기관입니다. 이들 기관을 신뢰할 수 있는 이유는 수가 제한적이고 인지도가 높으며, 엄격한 기준과 절차를 통과해야만 운영될 수 있기 때문입니다. 현재 전 세계적으로 100여 개의 CA가 존재하며, 이들은 정기적인 감사를 통해 신뢰성을 유지합니다.

인증서를 발급하기 전에 CA는 업계 표준에 따라 신청자의 정보를 검증합니다. 여기에는 사이트 소유권, 조직명, 위치 등의 정보가 포함됩니다. 이후 CA는 자체 개인 키로 인증서에 디지털 서명을 하며, 이를 통해 사용자(브라우저 등)가 해당 인증서의 진위 여부를 확인할 수 있습니다. 이러한 서비스를 제공하는 대가로 대부분의 CA는 연간 소정의 수수료를 부과합니다. 다만 일부 웹 호스팅 서비스 업체나 비영리 기관에서는 무료 SSL 인증서를 제공하기도 합니다.

SSL 인증서는 일반적으로 몇 킬로바이트 수준의 작은 디지털 파일로, TLS를 지원하는 서버에 설치되어 사용됩니다. 이 인증서에는 아래와 같은 정보가 포함됩니다.

• 인증서가 발급된 사이트의 도메인 이름
• 인증서가 발급된 조직(인증서 소유자)
• 발급 인증 기관의 이름
• 인증 기관의 디지털 서명
• 관련 하위 도메인
• 인증서 발급 날짜 및 만료 날짜
• 공개 키(개인 키는 공유되지 않음)

브라우저에서 “https”로 시작하는 URL에 접속하거나 주소 표시줄에 자물쇠 아이콘이 표시된다면, 해당 연결이 인증 기관(CA)이 발급한 SSL 인증서를 통해 검증된 안전한 TLS 연결임을 의미합니다. 자물쇠 아이콘을 클릭하면 SSL 인증서 정보, 도메인 소유자, 연결 상태 등 추가 정보를 확인할 수 있습니다.

다만 이 자물쇠 아이콘은 연결이 안전하게 암호화되어 있다는 의미일 뿐, 해당 웹사이트 자체가 완전히 신뢰할 수 있다는 뜻은 아닙니다. 즉, 안전하게 접속할 수 있다고 해서 해당 사이트가 악의적인 행위자에 의해 운영되지 않는다는 보장은 없습니다.

SSL 인증서는 어떻게 작동하나요?

SSL 인증서는 암호화 알고리즘을 사용해 전송 중인 데이터를 암호화합니다. 이를 통해 브라우저와 웹사이트 간에 주고받는 데이터는 제3자가 가로채더라도 내용을 읽을 수가 없습니다.

TLS 기반의 보안 통신은 공개 키와 개인 키로 구성된 암호화 방식을 통해 안전한 연결을 생성합니다.

브라우저가 TLS로 보호된 웹사이트에 접속을 시도하면, 핸드셰이크(Handshake)라고 하는 짧은 통신 과정이 진행됩니다. 이 과정은 수 밀리초 내에 완료되며, 다음과 같은 단계로 이루어집니다.

1. 클라이언트(브라우저)가 SSL로 보호되는 웹사이트(서버)에 연결합니다.
2. 클라이언트가 서버에 신원 확인을 요청합니다.
3. 서버가 SSL 인증서 사본을 전송합니다.
4. 클라이언트가 인증서의 신뢰성을 검증하고, 문제가 없으면 이를 서버에 알립니다.
5. 서버가 디지털 서명을 기반으로 암호화 세션을 시작합니다.
6. 이후 브라우저와 서버 간에 암호화된 데이터가 안전하게 전송됩니다.

초기 핸드셰이크 과정에서는 공개 키와 개인 키를 사용하는 비대칭 암호화 방식이 사용됩니다. 이후 검증이 완료되면, 클라이언트와 서버는 해당 세션에서만 사용할 임시 키를 교환합니다. 이러한 방식을 통해 보안성을 유지하면서도, 이후 데이터 통신을 보다 빠르고 효율적으로 처리할 수 있습니다.

SSL 인증서 유형

• 도메인 검증(DV) 인증서
• 조직 검증(OV) 인증서
• 확장 검증(EV) 인증서

SSL을 최대한 활용하려면, 올바른 SSL 인증서를 선택해야 합니다. SSL 인증서에 따라 목적과 이용 비용도 다릅니다.

도메인 검증(DV) 인증서

비용: 연간 무료~약 10만 원대

DV SSL 인증서는 최소한의 자동화된 신원 확인만 수행하며, 해당 도메인 또는 하위 도메인에 대한 소유권(제어권)만 검증합니다. 이 과정은 일반적으로 이메일 인증으로 이루어집니다.

DV 인증서는 가장 저렴하게 SSL 인증서를 발급받을 수 있는 방식이며, 무료 SSL 인증서 대부분이 이 유형에 해당합니다. 다만 보안 수준은 가장 기본적인 수준에 해당합니다. 따라서 블로그, 개인 웹사이트, 소규모 업체 등 기본적인 보안만 필요한 경우에 적합합니다.

조직 검증(OV) 인증서

비용: 연간 약 10만 원대~100만 원대

OV SSL 인증서는 인증서 소유자의 신원을 보다 엄격하게 검증하여, DV보다 높은 신뢰 수준을 제공합니다. 발급을 위해서는 약 9단계의 검증 절차를 통과해야 합니다.

이 인증서는 중간 규모 기업에 적합한 인증서로, 인증 기관(CA)이 해당 조직이 실제로 존재하며 정상적으로 운영되고 있음을 보증합니다. 웹사이트에서 금융 거래나 전자상거래 결제를 직접 처리하지 않는 경우에 적합한 선택입니다.

확장 검증(EV) 인증서

비용: 연간 100만 원대 이상

EV SSL 인증서는 가장 높은 수준의 신원 검증을 제공하며, 기업, 금융 기관, 전자상거래 사이트에 적합합니다. 발급 시에는 법적 신원과 물리적 위치를 포함해 총 16단계의 검증 절차를 거칩니다.

사용자 입장에서는 브라우저 주소창에 표시되는 보안 표시(자물쇠 아이콘)와 함께, 기업 정보가 추가로 확인되어 가장 높은 수준의 신뢰도를 제공합니다.

HTTP와 HTTPS의 차이점

HTTP는 Hypertext Transfer Protocol의 약자로, 웹사이트와 방문자 간의 정보를 암호화하지 않은 상태인 평문으로 전송합니다. 이 때문에 제3자가 데이터를 가로채 쉽게 내용을 확인할 수 있습니다. 이는 우편으로 엽서를 보내는 것과 비슷합니다. 우편 배달원이나 분류 작업자처럼 전달 과정에 관여하는 누구나 그 내용을 읽을 수 있습니다.

반면 HTTPS는 Hypertext Transfer Protocol Secure의 약자로, SSL/TLS 인증서를 통해 데이터를 암호화하여 전송합니다. 신용카드 번호나 비밀번호와 같은 민감한 정보는 복잡하게 암호화되어, 웹사이트와 사용자의 브라우저만 이를 해독할 수 있습니다. 이는 같은 엽서를 보내더라도, 발신자와 수신자만 열 수 있는 잠긴 가방에 넣어 전달하는 것과 같은 원리입니다.

현재 HTTPS는 사실상 표준이 되었습니다. 최신 브라우저는 HTTPS 사이트에 자물쇠 아이콘을 표시해 사용자에게 보안이 유지되고 있다는 신호를 제공합니다. 반대로 HTTP 사이트는 ‘안전하지 않음’으로 표시되며, 이는 방문자의 신뢰를 떨어뜨리고 사이트 이탈로 이어질 수 있습니다.

SSL 인증서 손상 시에 대처법

SSL 인증서가 손상되었다는 것은 누군가 여러분의 집 열쇠를 복사한 것과 같습니다. 물론 심각한 상황이지만, 적절히 대응하면 충분히 문제를 해결할 수 있습니다.

• 즉시 대응하세요. 인증 기관(CA)을 통해 손상된 인증서를 즉시 폐기하세요. 공격이 진행 중이라고 의심된다면, 웹사이트를 일시적으로 중단하는 것도 고려해야 합니다.
• 침해를 조사하세요. 보안 제공업체에 알리고 인증서가 어떻게 손상되었는지 파악하세요. 서버 로그에서 비정상적인 활동을 확인하고 비정상적인 IP 주소의 연결 시도 또는 여러 번의 인증서 검증 실패 시도와 같은 무단 액세스 또는 악성 코드의 징후를 찾으세요.
• 새 인증서를 발급 받으세요. CA에 새 SSL 인증서를 요청하세요. 새 개인 키를 생성하세요(매우 중요합니다. 이전 키를 재사용하지 마세요!). 그런 다음 서버에 새 인증서를 설치하고 구성하세요.
• 전자상거래 보안을 강화하세요. 더 높은 보안 수준의 SSL 인증서를 고려하세요. 또한 자동화된 모니터링 시스템을 구축하면, 향후 보안 문제를 더 빠르게 탐지하고 대응할 수 있습니다.

여러 도메인을 보호하려면 어떻게 하나요?

기본적으로 SSL 인증서 하나는 단일 도메인만 보호합니다. 하지만 많은 기업은 여러 도메인이나 하위 도메인을 함께 보호해야 하는 경우가 많습니다. 이럴 때 SSL에서는 두 가지 해결 방법을 제공합니다. 바로 와일드카드 SSL 인증서와 다중 도메인 SSL 인증서입니다. 각각의 차이는 다음과 같습니다.

와일드카드 SSL 인증서

일부 기업은 동일한 웹사이트에서 다양한 기능을 제공하기 위해 여러 하위 도메인(예: mail.example.com, shop.example.com)을 사용합니다. 이러한 조직의 경우 최상의 SSL 솔루션은 일반적으로 와일드카드 SSL 인증서입니다. 와일드카드 SSL 인증서는 웹사이트의 기본 도메인과 관련 하위 도메인을 보호하여, 비용을 절감하고 관리를 단순화합니다.

다중 도메인 SSL 인증서

와일드카드 SSL 인증서가 웹사이트 소유자가 단일 도메인 내의 하위 도메인을 보호하는 데 도움이 되는 반면, 다중 도메인 SSL 인증서(MDC)는 여러 도메인 이름을 한 번에 보호할 수 있습니다. 추가 단일 도메인 SSL 인증서를 획득할 필요 없이 "주체 대체 이름(SAN, Subject Alternative Name)"을 통해 다중 도메인 인증서에 추가 도메인을 추가할 수 있습니다. 다중 도메인 SSL 인증서는 통합 통신 인증서(UCC)라고 불리기도 합니다.

SSL 인증서가 만료되면 어떻게 되나요?

SSL 인증서가 만료되면, 웹사이트의 신뢰를 보여주는 신뢰 배지가 사라지는 것과 같습니다. 이는 다음과 같은 문제를 야기할 수 있습니다.

• 방문자 이탈 증가. 웹사이트에 접속하려는 사용자는 브라우저에서 강한 보안 경고 메시지를 보게 됩니다. 예를 들어 Chrome에서는 “연결이 비공개로 설정되지 않았습니다”라는 경고 화면이 표시되고, Firefox 역시 안전하지 않은 연결임을 알립니다. 이러한 경고를 본 대부분의 사용자는 즉시 페이지를 이탈합니다.
• SEO에 부정적인 영향. Google과 같은 검색 엔진은 보안이 유지된 웹사이트를 우선적으로 노출합니다. 따라서 SSL 인증서가 만료되면 검색 결과 순위가 하락할 가능성이 높고, 그만큼 유입 트래픽도 줄어들 수 있습니다.
• 소비자 신뢰 저하. 보안 경고를 본 사용자는 해당 웹사이트에 신용카드 정보나 개인 정보를 입력하는 것을 꺼리게 됩니다. 인증서를 갱신한 이후에도 일부 고객은 신뢰를 회복하기까지 시간이 걸릴 수 있습니다.

💡 알아두면 좋은 팁이 있습니다. SSL 인증서의 만료일은 미리 확인할 수 있습니다. 대부분의 인증서는 1년 유효 기간을 가지며, 일부 제공업체는 2년짜리 인증서를 제공하기도 합니다. 따라서 인증서가 만료되기 최소 몇 주 전에는 미리 갱신하는 것이 가장 안전한 방법입니다.

SSL 인증서 발급 방법

단일 또는 다중 도메인 SSL 인증서를 발급받고 웹사이트 데이터를 안전하게 보호하는 과정은 다소 복잡할 수 있습니다. 아래 단계에 따라 인증서를 발급 받으세요.

1. 필요한 웹사이트 보안 수준을 결정하세요. DV, OV 또는 EV SSL 중에서 선택하세요(여러 도메인 또는 하위 도메인이 있는 경우 와일드카드 또는 MDC 인증서를 추가하거나 대체해야 할 수 있습니다). 조직의 요구 사항과 예산을 검토하고 적절한 수준의 인증 수준을 선택하세요.
2. 지원할 도메인 및 하위 도메인을 결정하세요. 단일 도메인만 운영 중이라면 와일드카드 인증서는 필요하지 않을 수 있습니다.
3. 인증 기관/제공업체를 선택하세요. 간단한 블로그나 소규모 사이트라면 웹 호스팅 업체에서 제공하는 무료 SSL 인증서로도 충분할 수 있습니다. 반면 다중 도메인 또는 EV 인증서는 유료로 제공되는 경우가 많으므로 여러 업체를 비교해 선택하는 것이 좋습니다.
4. 인증서 서명 요청(CSR)을 생성하세요. CSR 파일에는 도메인 및 조직에 대한 정보가 포함되어 있으며 인증 기관(CA)에서 SSL 인증서를 생성하는 데 사용됩니다. CSR에는 공개 키가 포함되어 있으며, SSL 인증서를 신청할 때 CA에 제출해야 합니다.
5. 선택한 SSL 제공업체에 인증서를 요청하세요. 일반적으로 신청서 작성과 결제 과정이 포함됩니다.
6. 소유권 및 기타 세부 정보를 확인하세요. CA는 여러분이 신청서에 제출한 정보를 확인하기 위해 후속 조치를 취하며, 최소한 도메인 소유권에 대한 이메일 인증을 진행합니다.
7. 인증서를 발급받아 설치하세요. 선택한 CA와 웹 플랫폼에 따라 공개 키, 개인 키 및 인증 기관 번들이 포함된 ZIP 파일을 다운로드합니다. 웹 호스팅 서비스를 사용하는 웹사이트의 경우 관리자 페이지에서 쉽게 설치할 수 있으며, 자체 서버를 사용하고 있다면 해당 환경의 가이드를 따르세요.
8. 인증서를 사용하도록 다른 앱을 구성하세요. 다른 서버 애플리케이션(예: WordPress, 이메일 등)에 대한 SSL 연결을 지원하려면, 인증서와 TLS 프로토콜을 사용하도록 구성하세요.
9. 보안 연결이 작동하는지 확인하세요. 웹사이트 및/또는 다른 앱에 연결하고 보안 연결을 확인하세요. 자물쇠를 클릭하고 브라우저에 표시된 정보를 검토하세요.
10. 검색 엔진에 HTTPS 사이트를 다시 제출하세요. HTTPS로 전환된 웹사이트는 기존 HTTP 사이트와 별도로 인식됩니다. 검색 유입이 중요한 경우, 새로운 HTTPS 주소를 검색 엔진에 다시 제출해 색인되도록 해야 합니다.