인증 기관(CA)은 SSL/TLS 인증서를 발급하고 서명하는 신뢰할 수 있는 조직입니다. CA가 인증서에 서명하면 브라우저는 해당 웹사이트가 주장하는 대로의 사이트임을 신뢰합니다. CA가 없다면 https://yourbank.com이 실제 은행인지 사기꾼인지 확인할 방법이 없을 것입니다.
CA 신뢰 모델의 작동 방식
- 루트 CA는 브라우저와 운영 체제에 미리 설치됩니다. Apple, Google, Mozilla, Microsoft가 각각 신뢰할 수 있는 루트 CA 목록(“루트 저장소”)을 관리합니다.
- 인증서를 요청하면 CA가 도메인 소유권을 검증(DV)하거나 조직 신원을 검증(OV/EV)합니다.
- CA가 자신의 개인키로 인증서에 서명합니다. 이 서명이 신뢰의 증거입니다.
- 방문자가 연결하면 브라우저가 미리 설치된 신뢰할 수 있는 CA 목록과 대조하여 서명을 검증합니다.
CA가 신뢰 저장소에 있고 서명이 유효하면 → 자물쇠 아이콘. 그렇지 않으면 → 보안 경고.
주요 인증 기관
| CA | 시장 점유율 | 무료 옵션 | 비고 |
|---|---|---|---|
| Let’s Encrypt | 63.9% | ✅ 모두 무료 | 비영리, 전 세계 최대 CA |
| GlobalSign | 22.2% | ❌ | 상용, 유럽에서 인기 |
| Sectigo | 5.9% | 제한적 (ZeroSSL 무료 플랜) | 구 Comodo, ZeroSSL 소유 |
| DigiCert | ~3% | ❌ | 엔터프라이즈 중심, Symantec의 CA 인수 |
| Google Trust Services | 성장 중 | ✅ ACME를 통해 | Google 자체 CA |
| Buypass | <1% | ✅ Go SSL (180일) | 노르웨이 CA |
Let’s Encrypt의 63.9% 시장 점유율은 다음 5개를 합친 것보다 많은 지배적인 CA입니다.
Let’s Encrypt가 모든 것을 바꾼 이유
Let’s Encrypt 이전(2016년 출시):
- SSL 인증서 비용이 연간 $50-500
- 검증에 수동 서류 작업 필요
- 웹사이트의 약 18%만 HTTPS 사용
Let’s Encrypt 이후:
- 모든 사람에게 무료 DV 인증서
- ACME 프로토콜로 완전 자동화
- 웹사이트의 86.9%가 HTTPS 사용
- 10억 개 이상의 인증서 발급
Let’s Encrypt는 도메인 검증 암호화가 프리미엄 제품이 아닌 기본이어야 한다는 것을 증명했습니다. GetHTTPS를 사용하여 브라우저에서 Let’s Encrypt 인증서를 발급받으세요.
CA/Browser Forum
CA/Browser Forum(CA/B Forum)은 인증 기관과 브라우저 벤더가 인증서 발급 표준을 공동으로 제정하는 업계 단체입니다. 주요 결정:
- 기본 요구 사항 — 모든 공개 CA가 따라야 하는 최소 기준
- 인증서 유효 기간 단축 — 2029년까지 최대 유효 기간을 47일로 줄이기로 결정
- Certificate Transparency — CA가 발급한 모든 인증서를 공개 로그에 기록하도록 요구
- 약한 알고리즘 폐기 — SHA-1, MD5 등을 단계적으로 폐기
구성원: Apple, Google, Mozilla, Microsoft(브라우저 측)와 Let’s Encrypt, DigiCert, Sectigo, GlobalSign(CA 측). 결정에는 양쪽의 절대 과반수 투표가 필요합니다.
Certificate Transparency
2018년부터 모든 공개적으로 신뢰되는 CA는 발급하는 모든 인증서를 Certificate Transparency(CT) 로그에 제출해야 합니다 — 공개적으로 감사 가능한 추가 전용 로그입니다. 이것은:
- 누구나 자신의 도메인에 대해 어떤 인증서가 발급되었는지 모니터링 가능
- 오발급된 인증서 감지 가능 (CA가
google.com에 대한 인증서를 관리하지 않는 사람에게 발급하면 Google이 로그에서 볼 수 있음) - crt.sh 같은 도구로 모든 도메인의 CT 로그 검색 가능
CT는 오발급을 방지하지는 않지만 감지할 수 있게 합니다 — 이것이 강력한 억제력입니다.
CA 선택 방법
대부분의 웹사이트에서 선택은 간단합니다:
| 요구 사항 | 권장 CA | 발급 방법 |
|---|---|---|
| 무료 DV 인증서 | Let’s Encrypt | GetHTTPS 또는 Certbot |
| 더 긴 유효 기간의 무료 DV | Buypass Go (180일) | acme.sh 또는 Certbot |
| 규정 준수를 위한 OV/EV | DigiCert 또는 Sectigo | 웹사이트에서 구매 |
| Cloudflare와 자동 | Cloudflare | Cloudflare 대시보드에서 활성화 |
자주 묻는 질문
누구나 CA가 될 수 있나요?
기술적으로 자체 CA를 만들 수 있지만, CA/Browser Forum의 기본 요구 사항을 통과하고 브라우저 신뢰 저장소에 추가되지 않으면 브라우저가 신뢰하지 않습니다 — 수년이 걸리고 감사에 수백만 달러가 들며 엄격한 운영 보안(오프라인 루트 키, 하드웨어 보안 모듈, 24/7 인시던트 대응)을 유지해야 합니다.
CA가 침해되면 어떻게 되나요?
소프트웨어 업데이트를 통해 브라우저 신뢰 저장소에서 CA가 제거됩니다. 해당 CA가 발급한 모든 인증서가 신뢰할 수 없게 됩니다. 주목할 만한 사건:
- DigiNotar (2011) — 해킹되어 Google 및 기타 도메인에 대한 사기 인증서 발급. CA가 폐지되고 파산.
- Symantec (2018) — 지속적인 오발급 문제. Google Chrome이 Symantec 발급 인증서를 점진적으로 불신. DigiCert가 Symantec의 CA 사업 인수.
루트 키는 물리적 접근 통제가 있는 오프라인 하드웨어 보안 모듈(HSM)에 저장되어 이러한 위험을 최소화합니다.
모든 CA 인증서가 브라우저에서 동등하게 신뢰되나요?
네, 자물쇠 아이콘 측면에서는. 무료 Let’s Encrypt DV 인증서와 $500 DigiCert EV 인증서 모두 주소 표시줄에 동일한 자물쇠를 표시합니다. 브라우저는 루트 저장소의 모든 CA를 암호화 목적으로 동등하게 신뢰합니다. 차이점은 검증 수준(DV/OV/EV)과 서비스(지원, 보증)에 있지, 암호화 강도나 브라우저 신뢰에 있지 않습니다.
CA는 몇 개나 있나요?
주요 신뢰 저장소에 약 100-150개의 루트 CA가 있지만, 시장은 크게 집중되어 있습니다. Let’s Encrypt(63.9%), GlobalSign(22.2%), Sectigo(5.9%)가 발급된 전체 인증서의 90% 이상을 차지합니다.