CA(certificate authority, 인증 기관)는 웹사이트와 기타 개체에 디지털 인증서를 발급하는 신뢰할 수 있는 기관입니다. CA는 웹사이트 도메인의 유효성을 검증하고, 인증서 유형에 따라 웹사이트의 소유권을 확인한 다음 Chrome, Safari, Firefox와 같은 웹브라우저에서 신뢰할 수 있는 TLS/SSL 인증서를 발급합니다. 이처럼 CA는 웹사이트와 기타 개체를 검증함으로써 온라인 통신 및 거래의 신뢰도를 향상시켜 인터넷을 더욱 안전하게 유지하도록 지원합니다.

CA의 역할은 무엇인가요?

HTTPS를 사용하는 웹사이트를 방문하거나 URL창에 작은 자물쇠 표시가 있다면 CA 인증을 받은 사이트를 이용하고 있는 것입니다. 한편 방문한 사이트에 '주의 요함'이라는 표시가 뜬다면 CA의 검증을 받지 않았거나 검증이 만료된 사이트라는 의미입니다.

HTTPS를 사용하여 보안 자물쇠를 표시하고자 하는 모든 웹사이트는 CA를 통해 TLS/SSL 인증서를 발급받아야 합니다. CA에서는 인증서를 발급하기 전에 사이트 소유권과 이름, 위치 등과 같은 인증서 발급 요청자의 정보를 확인합니다. CA는 엄격한 업계 표준을 준수함으로써 모든 CA가 유사한 검증 요건을 따르도록 해야 합니다. 주요 인터넷 브라우저 공급업체와 CA로 구성된 단체인 'CA/브라우저 포럼'에서는 TLS 암호화 및 디지털 인증서에 대한 표준을 정하고 있습니다.

왜 인증 기관이 필요한가요?

인증 기관이 없다면 쇼핑이나 뱅킹 또는 온라인 검색의 안전성이 저하될 것입니다. 웹 양식에 입력한 데이터는 보호되지 않고, 브라우저와 서버 사이에서 해커가 데이터를 '스니핑(sniffing)'하다가 탈취할 수 있습니다. CA는 조직과 개인에 대한 검증을 통해 합법적인 웹사이트만 TLS 인증서를 받을 수 있도록 지원합니다. 현재 전 세계적으로 기업과 사이트에 대한 검증을 실시하는 인증 기관은 100개가 넘습니다.

온라인 사기범들은 인증서를 악용하려고 할 수 있으므로 사용자는 웹사이트가 안전한지 확인하기 위해 인증 마크(seals)를 비롯한 사이트 신뢰 지표를 숙지하고 있어야 합니다. 또한 높은 수준의 디지털 인증서에 포함된 조직 이름, 위치 등 인증서 소유자에 대한 식별 정보를 확인하도록 합니다.

세 가지 유형의 TLS 인증서

CA가 발급하는 TLS 인증서에는 도메인 검증(DV), 조직 검증(OV), 확장 검증(EV)의 세 가지 유형이 있습니다. CA는 다양한 사용자 신뢰 수준에 따른 유형별 인증서를 검증하는데, EV가 가장 높은 수준의 인증입니다. OV와 EV의 차이점은 인증서 요청자 검증을 위한 추가적인 단계를 거치므로 최종 사용자에게 웹사이트의 합법성에 대한 보다 강력한 확신을 줄 수 있다는 것입니다.

• 도메인 검증(DV) - 도메인 검증 인증서의 소유권은 신청자가 도메인에 대한 제어 권한을 증명하도록 함으로써 확인합니다. 단, DV 인증서는 조직 식별 정보를 제공하지 않으므로 상업적인 목적의 사용은 권장되지 않습니다.
• 조직 검증(OV) - 조직 검증 인증서는 정부에서 호스팅하는 사업자 등록 데이터베이스를 CA가 인증하는 것으로, OV 인증서에 포함된 사업자 정보가 합법적인지 확인하기 위해 특정 문서를 제출하거나 담당자와 연락할 것을 요구할 수 있습니다. OV는 상업용 또는 공공 웹사이트에 필요한 표준 인증서입니다.
• 확장 검증(EV) - 확장 검증 인증서는 브랜드와 사용자를 보호하기 위해 가장 높은 수준의 인증을 제공합니다. 컴스코어(Comscore)와 넷크래프트(Netcraft)의 2019년 데이터에 따르면 상위 400개 전자상거래 사이트 중 절반 이상을 비롯한 세계 최고의 기업에서 EV 인증서를 사용하고 있습니다.

특정 사이트에 적합한 인증서 유형을 선택하는 방법에 대한 자세한 내용은 다른 블로그 글에서 확인할 수 있습니다.

CA에서 발급하는 인증서 유형

CA는 주요 업무는 TLS 인증서 발급이지만, 다음과 같은 다양한 디지털 인증서도 발급합니다.

• 코드 서명 인증서(Code signing certificates) - 소프트웨어 릴리스에 서명하고 공급업체 또는 개발자의 소프트웨어를 검증하는 데 사용됩니다.
• 이메일 인증서(Email certificates) - S/MIME 프로토콜을 사용하여 이메일을 보호하고 검증함으로써 작성자를 증명하고 변조를 방지합니다.
• 문서 서명 인증서(Document signing certificates) - Adobe, Microsoft 및 기타 프로그램의 법적 구속력이 있는 문서에 서명함으로써 변경되지 않은 신뢰할 수 있는 문서임을 보장합니다.
• 기기 인증서(Device certificates) - 사물인터넷 (IoT) 기기를 보호할 수 있습니다.
• 사용자 또는 클라이언트 인증서 - 개인을 인증하는 데 사용됩니다.

CA 인증서는 어떻게 받나요?

DigiCert와 같은 CA로부터 인증을 받으려면 인증서 서명 요청(CSR)을 작성하고 주문 양식을 작성해야 합니다. 주문하는 TLS 인증서 유형과 관계없이 동일한 절차로 진행되지만, OV 및 EV 인증의 경우 추가 정보를 입력해야 합니다. DigiCert 검증 절차는 당일 완료되므로 며칠 동안 기다릴 필요 없이 몇 시간 내에 TLS 인증서를 받을 수 있습니다.

모든 공개 신뢰 TLS/SSL 인증서는 최대 1년(398일)간 유효하며 매년 재검증을 받아야 한다는 점을 유의해야 합니다.

인증 기관을 선택하는 방법

인증 기관을 선택할 때는 신뢰도와 고객 서비스, 브랜드 인지도, 비용, 사용 가능한 도구 등의 고려 사항에 대해 알아야 합니다. 디지털 제품과 서비스 및 최종 사용자의 보안이 CA의 기술에 달려있기 때문에 신뢰할 수 있는 CA를 선택하는 것이 매우 중요합니다. 신뢰할 수 있는 CA는 독립 기관의 정기 감사를 받고, 업계 가이드라인을 따르며, 권장 지침을 준수하여 자체 인프라 보안을 유지합니다. 또한, 많은 CA가 산업 단체 및 업계 표준 개발에 적극적으로 관여하고 있으며, 해당 분야의 리더로서 필요한 리소스를 제공합니다. 단, 모든 CA가 연중무휴 24시간 고객 지원을 제공하는 것은 아닙니다. 아울러 일부 플랫폼에서는 신뢰할 수 있는 인증 기관 목록을 제공하고 있으니 참고하시기 바랍니다.

올바른 인증 기관을 선택하는 방법에 대한 자세한 내용은 다른 블로그 글에서 확인할 수 있습니다.

TLS/SSL 구매처

TLS/SSL 인증서는 신뢰할 수 있는 모든 인증 기관에서 구매할 수 있지만, 이 글을 읽는 분들은 DigiCert가 TLS/SSL 인증서 구매를 위한 최고의 선택임을 알고 계시리라 믿습니다.

DigiCert는 전 세계 최대 규모의 CA 중 하나로 약 20년 동안 전 세계 수백만 명의 사용자와 기기에 신뢰할 수 있는 솔루션을 제공해 왔으며, 현재 2,200만 개 이상의 유효한 TLS 인증서를 보유하고 있습니다. 포춘 500대 기업 및 포브스 글로벌 2000 기업의 대다수가 DigiCert를 사용하고 있습니다. 저희는 이러한 책임을 진지하게 받아들이고 매년 24개 이상의 감사를 비롯하여 인증서의 무결성을 보장하기 위한 다양한 조치를 취하고 있습니다. 또한 연중무휴 24시간 최고 수준의 고객 지원 서비스를 제공하며, 보다 손쉬운 인증서 관리를 위해 솔루션을 혁신하고 있습니다. DigiCert는 CA/B 포럼에 선도적으로 활발하게 참여하면서 기업 및 단체가 가장 엄격한 글로벌 표준을 준수할 수 있도록 지원하는 도구를 개발하고 있습니다. 또한 DigiCert는 모든 보안 요구 사항에 부합하는 디지털 인증서를 제공합니다.

www.digicert.com에서 세계 최대 CA인 DigiCert에 대해 자세히 알아보시거나 지금 바로 TLS 인증서를 구매하세요.

PKI eBook에서 PKI가 TLS/SSL 이니셔티브의 논리적 확장인 이유를 확인해 보세요.