Let’s Encrypt 인증서는 연간 $100-$500의 유료 인증서와 동일한 암호화 강도를 제공합니다. 암호화 알고리즘, 키 길이, TLS 프로토콜이 동일합니다. 사이트 방문자는 보안상의 차이를 구분할 수 없습니다.
그렇다면 왜 유료 인증서가 존재할까요? 그리고 정말 필요한 걸까요?
짧은 답변: 대부분의 웹사이트는 필요 없습니다. 이 기사의 나머지에서는 마케팅이 아닌 실제 차이점을 설명합니다.
빠른 비교
| 항목 | Let’s Encrypt (무료) | 유료 SSL (상업 CA) |
|---|---|---|
| 암호화 강도 | 동일 (TLS 1.2/1.3, AES-256) | 동일 |
| 키 유형 | RSA 2048/4096, ECDSA P-256/P-384 | 동일 |
| 검증 수준 | DV 전용 | DV, OV, EV |
| 인증서 유효 기간 | 90일 | 1년 (2029년까지 47일로 축소) |
| 와일드카드 | ✅ (무료) | ✅ |
| 다중 도메인 (SAN) | ✅ (최대 100개) | ✅ |
| 보증 | 없음 | $10K - $1.75M |
| 기술 지원 | 커뮤니티 포럼 | 전담 지원 |
| 브라우저 신뢰 | 모든 주요 브라우저 | 모든 주요 브라우저 |
| 그린바 / 조직명 | 없음 (DV) | 없음 — 2019년 브라우저에서 제거 |
| 사이트 씰 | 없음 | 있음 (마케팅 배지) |
| 도메인/연간 비용 | $0 | $50 - $500+ |
암호화는 동일합니다
가장 중요한 포인트이자 상업 CA가 마케팅에서 흐리게 만드는 부분: 암호화는 동일합니다.
Let’s Encrypt DV 인증서와 $500 DigiCert EV 인증서 모두:
- 동일한 TLS 1.2/1.3 프로토콜 사용
- 동일한 암호 제품군 (AES-256-GCM, ChaCha20-Poly1305) 협상
- 동일한 키 교환 메커니즘 (ECDHE) 사용
- 동일한 전방 비밀성 제공
- 모든 브라우저와 운영 체제에서 동일하게 신뢰됨
어떤 상업 CA도 “더 나은 암호화”를 사용하지 않습니다. 표준은 CA가 아닌 TLS 사양에 의해 정의됩니다. 더 많이 지불하면 검증과 서비스를 사지만 — 더 강한 암호화를 사는 것은 결코 아닙니다.
실제로 비용을 지불하는 대상
1. 검증 수준 (DV vs OV vs EV)
유일한 실질적인 기술적 차이:
| 수준 | CA가 검증하는 것 | 소요 시간 | 브라우저 표시 (2026) |
|---|---|---|---|
| DV | 도메인 제어 여부 | 수 분 (자동화) | 자물쇠 |
| OV | 도메인 + 조직 존재 여부 | 1-3일 | 자물쇠 (DV와 동일) |
| EV | 도메인 + 철저한 조직 감사 | 1-2주 | 자물쇠 (DV와 동일) |
세 가지 모두 모든 주요 브라우저에서 동일한 자물쇠를 표시합니다. 시각적 차이가 없습니다.
2. 그린바는 사라졌습니다
상업 CA는 여전히 EV 인증서가 “회사 이름이 표시된 녹색 주소 표시줄”을 보여준다고 마케팅합니다. 이는 구식 정보입니다.
그린바 제거 타임라인:
- Chrome 69 (2018년 9월): 녹색 “Secure” 라벨 제거
- Chrome 77 (2019년 9월): 주소 표시줄에서 EV 조직명 제거
- Firefox 70 (2019년 10월): EV 표시자 제거
- Safari (2020): EV 구분 제거
- Edge: Chrome을 따름
2026년에 어떤 주요 브라우저도 DV, OV, EV 인증서 간 시각적 차이를 보여주지 않습니다. 자물쇠 → 인증서를 클릭하면 조직 세부 정보를 볼 수 있지만, 거의 아무도 그렇게 하지 않습니다.
이로 인해 EV 인증서의 주된 마케팅 논거가 사라졌습니다.
3. 보증
유료 인증서에는 “보증”이 포함됩니다 — 보통 $10K에서 $1.75M. 하지만 세부 사항을 읽어보면:
- CA의 잘못된 발급을 보장합니다 — CA가 도메인을 제어하지 않는 사람에게 인증서를 발급하여 방문자가 직접적인 금전적 손실을 입은 경우
- 사이트가 해킹되는 것은 보장 하지 않습니다
- 데이터 유출은 보장 하지 않습니다
- 피싱 공격은 보장 하지 않습니다
- CA가 검증 과정에서 오류를 저질렀음을 증명해야 청구 가능
의미 있는 보증 지급이 공개적으로 문서화된 적이 없습니다. 보증은 의미 있는 보안 혜택이 아닌 마케팅 도구입니다.
4. 기술 지원
Let’s Encrypt: 커뮤니티 포럼 (letsencrypt.org/community). 전화, 이메일, 티켓 시스템 없음.
상업 CA: 이메일, 전화, 채팅 지원, 엔터프라이즈 플랜에 SLA 포함.
이것이 중요한 경우: 모든 인프라 구성 요소에 “벤더 지원”을 의무화하는 컴플라이언스 요구사항이 있는 대기업. 조달 체크리스트에 “지원 계약” 항목이 있다면 유료 CA가 필요합니다.
이것이 중요하지 않은 경우: 튜토리얼을 따르고 오류 메시지를 검색할 수 있는 대부분의 팀.
5. 사이트 씰
일부 유료 CA는 “신뢰 씰” — 사이트에 표시할 수 있는 배지를 제공합니다. 2010년대 초반의 연구에서는 전환율이 증가한다고 나타났습니다.
2026년의 현실: 대부분의 사용자는 CA 로고를 인식하지 못합니다. 자물쇠 아이콘(모든 인증서가 받는)이 보편적인 신뢰 지표입니다. DigiCert이나 Sectigo 씰이 현대 사이트에서 자물쇠만으로는 얻을 수 없는 효과를 낸다는 통제 연구는 없습니다.
Let’s Encrypt로 충분한 경우 (웹사이트의 90% 이상)
Let’s Encrypt DV 인증서는 다음에 충분합니다:
- 개인 웹사이트와 블로그 — DV가 완전한 암호화 제공
- SaaS 애플리케이션 — Google, Facebook 등 수많은 SaaS 기업이 DV 인증서 사용
- API와 마이크로서비스 — 사용자 대면 신뢰 우려 없음
- 전자상거래 — PCI DSS는 암호화를 요구하지 OV/EV를 요구하지 않습니다. Stripe, PayPal 등 결제 프로세서가 민감한 카드 데이터를 처리합니다.
- 스타트업과 소규모 기업 — 도메인당 연간 $50-500 절약
- 내부 도구 — 외부 신뢰 요구사항 없음
- 스테이징/개발 — 테스트 환경에 비용을 지불할 이유 없음
유료 SSL이 실제로 필요한 경우
다음 중 하나에 해당하는 경우에만 유료 인증서를 고려하세요:
1. 컴플라이언스 또는 조달에 OV/EV가 필요
일부 엔터프라이즈 구매자, 정부 기관, 산업별 컴플라이언스 프레임워크가 OV 또는 EV 인증서를 요구합니다. 이는 조달 체크박스이지 보안 요구사항이 아닙니다. 가정하기 전에 실제 규정을 확인하세요.
2. 감사인이 인증서에 조직 신원을 요구
일부 보안 감사 또는 SOC 2 통제에서 인증서에 조직 신원이 포함되어야 한다고 규정합니다. OV/EV 인증서는 조직의 법적 명칭을 인증서 메타데이터에 포함합니다. (대부분의 감사인은 적절한 정당화와 함께 DV를 수용합니다.)
3. 보험 요구사항
드문 경우이지만, 사이버 보험 정책이 인증서 보증을 참조할 수 있습니다. 보험사에 확인하세요.
47일 유효 기간으로의 전환
CA/Browser Forum이 2029년까지 최대 인증서 유효 기간을 47일로 줄이기로 결의했습니다:
| 날짜 | 최대 유효 기간 |
|---|---|
| 2026년 3월 이전 | 398일 (1년) |
| 2026년 3월 | 200일 |
| 2027년 3월 | 100일 |
| 2029년 3월 | 47일 |
이로 인해 유료 인증서의 마지막 실용적 장점이 사라집니다: 더 긴 유효 기간. 2029년까지 유료와 무료 인증서 모두 매월 갱신이 필요합니다. 1년 인증서의 “설정하고 잊기” 가치 제안은 사라질 것입니다.
비용 분석
| 시나리오 | Let’s Encrypt | 유료 (DigiCert DV) | 유료 (Sectigo OV) | 절약 |
|---|---|---|---|---|
| 도메인 1개, 1년 | $0 | $268 | $88 | $88-268 |
| 도메인 5개, 1년 | $0 | $1,340 | $440 | $440-1,340 |
| 와일드카드, 1년 | $0 | $528 | $245 | $245-528 |
| 도메인 10개, 5년 | $0 | $13,400 | $4,400 | $4,400-13,400 |
10개 도메인을 5년간 사용하는 기업: 동일한 암호화로 $4,400에서 $13,400 절약.
최종 판단
| 상황 | 추천 |
|---|---|
| 개인 사이트, 블로그, 포트폴리오 | Let’s Encrypt — 비용을 지불할 이유 없음 |
| 스타트업, 소규모 기업 | Let’s Encrypt — 연간 $200을 유용한 곳에 쓰세요 |
| SaaS, API, 전자상거래 | Let’s Encrypt — DV로 충분, PCI DSS도 동의 |
| OV/EV 조달 체크박스가 있는 엔터프라이즈 | 유료 — 체크박스 때문에만 |
| 정책상 OV/EV를 의무화하는 규제 산업 | 유료 — 실제 규정을 먼저 확인 |
| 기타 모든 경우 | Let’s Encrypt |
지금 무료 인증서를 받으세요: GetHTTPS — 5분, 설치 불필요, 개인키가 브라우저에 유지.
자주 묻는 질문
무료 SSL 인증서를 사용하면 Google이 사이트 순위를 낮추나요?
아닙니다. Google은 SSL 인증서 유형(DV, OV, EV)이 검색 순위에 영향을 미치지 않는다고 확인했습니다. 유효한 HTTPS 인증서라면 동일한 SEO 신호를 제공합니다.
무료 인증서가 전자상거래에 안전한가요?
네. PCI DSS(결제 카드 산업 표준)는 암호화된 연결을 요구하지만 검증 수준을 명시하지 않습니다. DV 인증서는 PCI 요구사항을 충족합니다. 결제 프로세서(Stripe, PayPal, Square)가 결제 보안의 가장 민감한 부분을 처리합니다 — 인증서가 아닙니다.
고객이 무료 SSL을 덜 신뢰하나요?
고객은 인증서 유형에 관계없이 동일한 자물쇠 아이콘을 봅니다. 2019년 이후 어떤 주요 브라우저도 DV, OV, EV 간 시각적 차이를 보여주지 않습니다. 녹색 주소 표시줄은 사라졌습니다. 사용자는 CA의 브랜드가 아닌 자물쇠를 신뢰합니다.
Let’s Encrypt가 중단되면 어떻게 되나요?
Let’s Encrypt는 Mozilla, Google, EFF, Meta, Cisco 등이 후원하는 Internet Security Research Group(ISRG)이 운영합니다. 세계 최대 CA(시장 점유율 63.9%)입니다. 이론적으로 어떤 조직이든 중단될 수 있지만, ISRG는 많은 상업 CA보다 재정적으로 안정적입니다.
Let’s Encrypt에서 유료로 업그레이드할 수 있나요?
네. 유료 인증서를 구매하고 서버의 파일을 교체하면 됩니다. 마이그레이션 없고, 기존 인증서 만료 전에 교체하면 다운타임도 없습니다. 서버는 어떤 CA가 인증서를 발급했는지 신경 쓰지 않습니다.
왜 상업 CA는 무료 인증서가 덜 안전하다고 말하나요?
유료 인증서를 판매하기 때문입니다. 암호화는 동일합니다 — 이는 CA가 아닌 TLS 표준에 의해 정의됩니다. 상업 CA는 “더 나은 암호화”를 제공할 수 없습니다 — 사양이 허용하지 않기 때문입니다. 검증 수준, 보증, 지원으로 차별화하지만 — 이 중 어느 것도 암호화 강도에 영향을 미치지 않습니다.