TLS 인증서 수명 47일로 단축…`자동 관리` 최대 과제로

실시간
뉴스

보안

TLS 인증서 수명 47일로 단축…'자동 관리' 최대 과제로

디지털데일리 발행일 2025-04-22 15:55:06

김보민 기자

URL복사

CA/브라우저포럼 요건 개정…2029년까지 단계적 단축

[디지털데일리 김보민기자] 전송계층보안(TLS) 인증서 유효기간이 2029년 47일로 단축되는 가운데, 자동 관리 체계를 갖추는 것이 과제로 떠올랐다. 디지털 신뢰 전문기업 디지서트는 인증서 수명이 단축될 경우 기업이 전체 과정(프로세스)을 바꿔야 하는 상황을 직면할 수 있다며, 자동화 기반 인증서 관리가 필요하다고 조언했다.

유수정 디지서트 세일즈 엔지니어는 22일 온라인으로 웨비나 행사를 열고 "TLS 인증서 단축 소식은 단순 보안 정책을 강화하는 것을 넘어, 기업 입장에서 인증서 전략 관리를 재구성해야 하는 변화"라며 "지금까지 엑셀 등 수동으로 인증서를 관리했다면, 이제는 기존 방식이 통하지 않게 될 것"이라고 밝혔다.

TLS 인증서는 브라우저, 방문 웹사이트, 웹사이트 서버 간 전송 데이터를 암호화해 인터넷 연결 및 통신을 보호하는 역할을 한다. 웹사이트뿐만 아니라 메일서버, 가상사설망(VPN) 서버, 사물인터넷(IoT) 기기, 내부 시스템 간 통신, 파일 전송 시스템 등 민감 데이터를 전송하거나 인증이 필요한 통신 경로에 적용된다. 이를 통해 데이터 암호화와 더불어 무결성을 보장하고 신원을 확인할 수 있다.

최근 CA/브라우저포럼(이하 CA/B)은 TLS 인증서 유효기간을 2029년 3월까지 단계적으로 줄이겠다는 투표 결과를 공지했다. 현재 기준 TLS 인증서는 398일 동안 유효한데, 애플을 비롯한 빅테크 기업이 갱신 기간을 줄여야 한다고 주장하면서 CA/B포럼을 통해 회원사를 대상으로 투표가 진행된 바 있다. 공지에 따르면 인증서 수명은 2026년 3월 200일로 단축되고, 2027년 3월 100일로 줄어든 뒤 2029년 최종 47일로 단축된다.

유 엔지니어는 인증서 유효기간이 단축되는 배경에 대해 "각종 표준이 변화하기 때문에 인증서 관련 표준 사항도 업데이트가 필요하다는 이야기가 제기됐다"며 "아울러 웹 공개키기반구조(PKI) 환경 취약성과 인증서 폐기 절차 엄격성을 고려한 결과"라고 설명했다. 유출된 인증서가 수명주기 내내 유효하다면 보안성의 문제가 발생할 수 있고, 유효기간이 길면 그만큼 관리해야 할 요인이 늘어날 수밖에 없다는 취지다.

다만 국내 조직들 중 일부는 엑셀로 인증서를 관리하고 있어 인증서 만료 여부를 놓치기 쉽고, 인증서가 어디에 설치돼 있고 누가 쓰는지를 종합적으로 살펴보기 어려운 실정이다. 유 엔지니어는 "주요 브라우저로부터 '신뢰 철회(Distrust)' 당한 인증기관을 보면 유명 기관도 예외가 아니었다"며 "단 하나의 실수가 기업 전체 신뢰를 무너뜨릴 수 있다는 점에서 인증서 거버넌스가 중요해지고 있다는 의미"라고 강조했다.

이날 디지서트는 인증서 자동화 기능을 갖춘 통합 플랫폼 '디지서트 원(Digicert One)'을 소개했다. 디지서트 원은 ▲인증서 수명주기 관리 솔루션 'TLM(Trust Lifecycle Manager)' ▲소프트웨어 공급망 관리 솔루션 'STM(Software Trust Manager)' ▲IoT 생애주기 관리 솔루션 'DTM(Device Trust Manager)' ▲서명 보호용 '도큐먼트 트러스트 매니저(Document Trust Manager)' ▲도메인네임시스템(DNS) 특화 '울트라DNS'를 올려 제공하고 있다.

이 가운데 디지서트 TLM은 유효기간을 비롯한 인증서에 대한 통합 가시성을 제공하는 데 특화돼 있다. 유 엔지니어는 "레거시(legacy) 방법으로 관리하다 보면 가시성이 부족해지고, 정보기술(IT) 관리자가 다른 일을 하다가도 바로 업무에 투입돼야 하는 일이 발생한다"며 "인적, 그리고 물적 자원이 많이 필요해 인증서 관리 이슈가 생길 수밖에 없다"고 진단했다.

TLM는 사설 인증서, 공개 인증서 등 모든 인증서의 생애주기를 통합 관리한다. 하이브리드 환경 전반에서 인증서에 대한 가시성과 제어권을 확보하고, 수명주기 프로세스를 자동화해 중단을 방지하며 업계 규정을 준수할 수 있다.

아울러 인벤토리 영역에서 전체 인증서를 검색하고 구축할 수 있다. 공공 및 사설을 포함한 모든 CA/PKI 시스템에서 정보를 가져오고, PKI를 통해 전체 네트워크와 클라우드를 스캔하고 자동 태그를 지정할 수 있다.

중앙 거버넌스로 엔터프라이즈 PKI 정책을 시행하기 때문에 승인되지 않은 인증서를 제거할 수도 있다. 취약한 키, 혹은 더 이상 사용하지 않은 알고리즘 등이 대상이다. 중앙 집중식 거버넌스를 통해 셀프 서비스와 역할 기반 관리를 활성화할 수도 있다.

중요한 서비스에 영향을 미칠 수 있는 인증서가 만료를 앞두고 있는 경우, 갱신 알림을 받아볼 수 있다. 아울러 만료 및 중요도 등 비즈니스 영향에 따라 알림 우선순위를 지정해 받아볼 수 있다. 이메일, 문자, 슬랙(Slack) 등 채널을 통해 대상자를 설정한 뒤 알림을 보낼 수도 있다.

한편 이날 디지서트는 양자컴퓨팅을 비롯해 차세대 기술이 화두로 떠오른 만큼 디지털 신뢰의 중요성이 커질 것으로 전망했다. 나정주 디지서트 한국 지사장은 "인터넷이 시작된 이후 컴퓨팅 기술이 발달했고, IoT 영향으로 기기(디바이스)와 디바이스·업무와 프로세스·사람과 사람이 연결되는 세상에 살고 있다"며 "비행기 항법장치부터 환자 개인정보, 소비재 제품 소프트웨어에 이르기까지 이를 어떻게 이를 믿고 사용할지가 관건이 된 지금, 이를 안심하고 사용하는 것이 곧 디지털 신뢰"라고 강조했다.