내년 3월부터 SSL(Secure Sockets Layer) 인증서 최대 유효기간이 27개월로 단축된다. SSL 인증서 신뢰 논란이 불거지는 가운데 인증서 신뢰·투명성을 담보하기 위한 조치로 풀이된다.

17일 보안업계와 한국인터넷진흥원(KISA)에 따르면 CA브라우저포럼은 지난 3월 SSL 인증서 유효기간을 27개월로 단축하기로 합의했다. 기존 SSL 인증서 최대 유효기간이 39개월에서 12개월 줄어든 것이다. 합의 결과는 내년 3월부터 신규 발행하는 SSL 인증서에 적용된다.

CA브라우저포럼은 24개 인증(CA·Certificate Authorities)기관과 6개 브라우저 개발 업체가 참여하는 기술표준 협의체다. 공인된 국제표준기구는 아니다. 그러나 아마존과 시스코, 애플, 구글, 마이크로소프트(MS) 등 굵직한 업체가 참여한다. CA브라우저포럼 합의는 업계에서 사실상 따를 수밖에 없다.

업계 관계자는 “CA브라우저포럼에서 정한 것이 강제성은 없지만 이를 지켜야 브라우저 회사의 신뢰된 인증서 항목에 포함될 것”이라며 “브라우저 회사 입김이 커 시장에선 대부분 이 기준을 준용한다”고 설명했다.

SSL은 웹 브라우저와 웹서버 사이 암호화된 통신을 구현하는 글로벌 표준 보안 기술이다. SSL 인증서는 홈페이지 위변조 여부를 확인해 웹사이트 신원을 인증하고 전송되는 데이터를 암호화한다. 해커에 의해 민감 정보가 훼손되는 위험을 줄이고 범죄행위를 파악하는데 사용된다.

올해 초 SSL 인증서 신뢰성·유효기간 단축을 둘러싼 논란이 불거졌다. SSL 인증서를 발급하는 시만텍은 올해 초 SSL 인증서 한국전자인증(CrossCert) 등 인증서발급대행 권한(RA) 기관 심사 권한을 회수했다. SSL 인증서 오발급으로 인한 조치다. 이에 구글은 SSL 인증서 유효기간을 9개월로 단축하는 등 조치를 취하라고 요구하기도 했다.

업계에서는 SSL 인증서 신뢰·투명성을 담보하기 위해 유효기간 단축이 불가피하다는 분석이다. CA브라우저포럼은 최대 60개월이던 SSL 인증서 유효기간을 39개월로 줄인 바 있다. 도메인 업체에서 선제 대비가 필요하다.

업계 한 전문가는 “SSL인증서 유효기간이 줄면 암호화 알고리즘 취약성이 발견될 때 재빨리 교체하는 것이 가능하다”면서 “SSL인증서 유효기간이 3년 이상으로 길었던 도메인 업체는 미리 대비가 필요하다”고 밝혔다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com