인증서 투명성(CT)은 공개적으로 발급된 모든 SSL 인증서를 공개 추가 전용 로그에 기록하는 시스템입니다. 이를 통해 누구나 어떤 도메인에 대해 어떤 인증서가 발급되었는지 확인하고, 무단 또는 사기성 인증서를 발견할 수 있습니다.
CT는 인증 기관이 발급하지 않았어야 할 도메인에 대해 인증서를 발급한 사건들(특히 2011년 DigiNotar 침해 사건으로 사기성 Google 인증서가 발급됨) 이후, 2013년에 Google이 만들었습니다. 2018년부터 공개적으로 신뢰받는 모든 인증 기관은 모든 인증서를 CT 로그에 반드시 제출해야 합니다.
CT가 중요한 이유
CT 이전 (2018년 이전)
인증 기관이 google.com에 대한 인증서를 소유자가 아닌 사람에게 발급할 수 있었습니다. 해당 인증서가 공격에 실제로 사용되기 전까지는 아무도 알 수 없었습니다. 인증 기관은 오직 신뢰에만 의존하여 운영되었습니다.
CT 도입 이후
모든 인증서가 공개적으로 기록됩니다. 인증 기관이 google.com에 대한 인증서를 발급하면 수 시간 내에 CT 로그에 나타납니다. Google(또는 모니터링하는 누구나)이 즉시 감지할 수 있습니다.
도메인의 CT 로그 확인 방법
crt.sh — 가장 인기 있는 CT 검색 도구
crt.sh에 접속하여 도메인을 입력하면 해당 도메인에 대해 발급된 모든 인증서를 볼 수 있습니다:
- Issuer — 어느 인증 기관이 발급했는지
- Not Before / Not After — 유효 기간
- SAN — 인증서가 포함하는 도메인 이름
Example results for example.com:
2026-05-08 Let's Encrypt R10 example.com, www.example.com
2026-02-15 Let's Encrypt R10 example.com
2025-11-20 Let's Encrypt R3 example.com, www.example.com
...명령줄 검색
curl -s "https://crt.sh/?q=yourdomain.com&output=json" | jq '.[] | {issuer_name, not_before, not_after, common_name}'확인해야 할 사항
- 요청하지 않은 인증서 — 누군가 도메인을 사칭하고 있을 수 있습니다
- 예상치 못한 인증 기관 — Let’s Encrypt만 사용하는데 DigiCert 인증서가 보인다면 조사가 필요합니다
- 생성하지 않은 와일드카드 인증서 — 알 수 없는 출처의
*.yourdomain.com - 인식하지 못하는 서브도메인 — 요청하지 않은 인증서에
secret.yourdomain.com이 포함된 경우
CT의 기술적 작동 방식
- 인증 기관이 인증서를 발급하고 하나 이상의 CT 로그에 제출합니다
- CT 로그가 SCT를 반환 (Signed Certificate Timestamp) — 인증서가 기록되었다는 증명
- SCT가 인증서에 포함됩니다(또는 TLS 핸드셰이크 중 전달)
- 브라우저가 SCT를 검증 — Chrome은 최소 2-3개의 CT 로그에서 유효한 SCT를 요구합니다
- 누구나 로그를 모니터링하여 자신의 도메인에 대해 발급된 인증서를 확인할 수 있습니다
CT 로그는 추가 전용입니다 — 인증서를 추가할 수는 있지만 제거하거나 수정할 수는 없습니다. 이를 통해 감사 가능한 이력이 생성됩니다.
CT 모니터링 설정
도메인에 대해 새 인증서가 발급될 때 알림을 받으려면 자동화된 모니터링 서비스를 사용하세요:
| 도구 | 방법 | 비용 |
|---|---|---|
| crt.sh (수동) | 주기적으로 검색 | 무료 |
| Cert Spotter (SSLMate) | 새 인증서에 대한 이메일 알림 | 무료 티어 |
| Facebook CT Monitor | Facebook 도구를 통한 알림 | 무료 |
| Google Certificate Transparency | Google CT 로그 검색 | 무료 |
CT와 GetHTTPS
GetHTTPS로 인증서를 발급받으면 Let’s Encrypt가 자동으로 여러 CT 로그에 제출합니다. 발급 후 crt.sh에서 도메인을 검색하면 수 분 내에 인증서가 나타나는 것을 확인할 수 있습니다.
이는 의도된 설계입니다 — 모든 인증서의 공개 기록은 보안 기능이지 개인정보 문제가 아닙니다. 인증서 자체(도메인 이름, 공개키, 인증 기관)는 이미 TLS 핸드셰이크 중 모든 방문자에게 전송됩니다.
자주 묻는 질문
인증서 투명성을 거부할 수 있나요?
공개적으로 신뢰받는 인증서에 대해서는 불가능합니다. 2018년부터 모든 인증 기관은 인증서를 CT 로그에 제출해야 합니다. 브라우저(Chrome, Safari)는 유효한 SCT가 없는 인증서를 거부합니다. 사설/내부 인증 기관은 예외로, 공개 CT 로그에 제출하지 않습니다.
CT가 서버의 IP 주소를 노출하나요?
아닙니다. CT 로그에는 인증서(도메인 이름, 공개키, 인증 기관, 유효기간)가 포함되지만 서버의 IP 주소는 포함되지 않습니다. IP를 노출하는 것은 DNS 레코드이며, CT 로그는 새로운 정보를 추가하지 않습니다.
요청하지 않은 내 도메인의 인증서를 발견했습니다. 어떻게 해야 하나요?
- 발급자를 확인하세요 — 호스팅 제공업체의 AutoSSL일 수 있습니다
- SAN을 확인하세요 — 알고 있는 도메인이 포함되어 있나요?
- 정말 무단 발급이라면 발급 인증 기관에 연락하여 폐기를 요청하세요
- DNS에 무단 변경이 있는지 확인하세요 — 누군가 도메인을 자신의 서버로 지정했을 수 있습니다
CT 로그는 몇 개나 있나요?
수십 개입니다. 주요 운영자로는 Google(Argon, Xenon), Cloudflare(Nimbus), DigiCert, Sectigo, Let’s Encrypt가 있습니다. 브라우저는 단일 침해된 로그가 사기성 인증서를 숨기는 것을 방지하기 위해 여러 독립 로그의 SCT를 요구합니다.