[데이터넷] ‘인증(Authentication)’은 근거있는 무언가를 확인하거나 확증하는 행위이며, ‘인증서(Certificate)’는 공증인(Notary)을 확인하는데 사용되는 자료다. 암호가 사용되는 모든 분야에 인증과 인증서가 필요하며, 웹사이트의 SSL 암호화도 마찬가지다. 인증서는 한번 발급 시 영원히 유효한 것은 아니고 일정한 유효기간이 있는데, SSL 인증서는 현행 13개월이다. 그런데 이 기간이 90일로 단축될수도 있다.

웹사이트 접속 시, 접속한 사이트에 대한 인증과 암호화 통신을 지원하는 SSL/TLS 인증서의 유효기간(TLS Certificate Validity)은 현재 198일(13개월)이다. 2012년 이전에는 유효기간이 무려 96개월이었는데, 8년만에 13개월로 줄어들었다.

TLS 인증서 유효기간에 대한 표준은 인증서 발행 기관과 브라우저 공급자, 인증서 에코시스템과 관련된 업체들이 함께 참여하는 CA/B(Certificate Authority/Browser) 포럼에서 결정한다. 이 포럼에 디지서트, 글로벌사인, 섹티고 등 CA 업체와 구글, 애플, 마이크로소프트 등 브라우저 공급자들이 참여해 활동하고 있다.

올해 2월 CA/B 포럼이 개최됐고 이 자리에서 구글은 인증서 유효기간을 90일로 단축하는 내용이 포함된 개선안을 발표했다. 기존 13개월에서 무려 77% 단축해 3개월로 줄이겠다는 파격적인 내용이어서 실효성이 있을 것인가에 대한 의견들이 있었다. 전문가들 사이에서는 구글이 CA/B 포럼에서 갖는 권위와 브라우저 시장에서의 점유율 등을 고려했을 때 결국은 구글의 계획대로 인증서 유효기간이 단축될 것으로 예상하고 있다.

구글이 단축을 발표하면서 그 이유로 “인증서 단축 기간을 줄여 인증서 관리 자동화를 유도하고, 양자내성 알고리즘으로의 변화를 촉진할 수 있다”고 주장한 것도 설득력을 얻고 있다.

인증서 관리 정책 수립 시급

인증서 유효기간이 90일로 단축될 것에 대비해 기업에서는 어떤 준비를 해야 하는가? 세부사항에 있어서는 다양한 의견이 있을 수 있지만 아래와 같이 정책, 담당자, 도구가 요구된다.

- 인증서 관리 정책 수립

- 인증서 사용 현황 파악

- 관리 및 운영 고도화(자동화)

인증서도 기업의 주요한 자산이기 때문에 인증서 관리를 위해 인증서 관리 정책 수립을 가장 먼저 이행해야 한다. 인증서 관리 업무를 책임지는 관리자가 선임돼 있지 않은 경우가 대부분이기 때문에 인증서 관리 정책에는 반드시 관리 책임자와 연관된 보안조직과 운영조직의 역할, 책임이 명시돼 있어야 한다.

그리고 선임된 담당자 혹은 담당부서의 역할에 따라 전체 조직에서 사용되는 인증서 사용 현황을 파악하고 다시, 인증서의 종류 및 사용되는 시스템에 따라 세부적인 정책을 수립해야 한다.

이렇게 수립된 관리 정책을 기반으로 인증서 관리 업무를 도와줄 도구들을 검토하고 조직에 적용할 수 있다. 관리할 인증서의 수량과 사용 시스템이 많지 않은 경우에는 단순한 스프레드시트 등을 사용해 관리가 가능하다. 하지만 인증서의 수량과 시스템이 많고 여러 명의 담당자가 서로 다른 정책과 인증서를 관리해야 하는 경우 인증서 생명주기 관리(CLM)와 같은 전문적인 도구가 요구된다.

CLM은 인증서 관리에 특화된 솔루션으로, 국내에서는 용어 차체가 생소하지만 해외에서는 인증서 관리 및 자동화를 필요로 하는 조직에서 보편적으로 사용되고 있다. 키팩터(Keyfactor) 등 여러 전문업체가 CLM 솔루션을 제공한다. CLM이 제공하는 주요 기능은 다음과 같다.

- 탐지(Discover): CA 연동을 통한 인증서 정보 수집. 인증서 스캔 기능을 이용해 시스템과 장비에서 사용되는 인증서 검색. 인증서를 보관하고 있는 각종 시스템과 연동해 인증서 정보 수집

- 통제(Control): 인증서 기본 정보에 메타 데이터를 추가해 용도, 관리자 등에 따라 인증서 관리. 인증서 만료 알람과 인증서 사용 리포트 제공

- 자동화(Automation): 관리콘솔을 통해 기관의 모든 인증서 중앙 집중적 관리. 인증서 관리 정책에 따라 인증서 자동 발급과 시스템 자동 갱신

- 오케스트레이션(Orchestration): ACME(Automatic Certificate Management Environment), CEP(Simple Certificate Enrollment Protocol) 등을 통해 다양한 시스템과 연동. Rest API 등을 통한 타 시스템과의 연동

늘어나는 인증서, 자동화 관리 솔루션 필수

개인들에게 인증서는 본인을 확인시키고 주요 거래 시 필요한 권한을 득하고, 전자서명을 행하는 등의 행위에 사용된다. 그래서 안전하게 보관해야 하는 다용도 증명서다. 조직에서는 개인들이 사용하는 용도보다 다양한 분야에서 그리고 아주 많은 수량의 인증서를 사용하고 있다. 그리고 조직에서 인증서를 사용하는 업무 및 수량이 지속적으로 증가할 것으로 예상된다.

인증, 전자서명, 암호화통신, 부인방지, 디바이스 증명 등 주요 업무에 핵심이 되는 인증서 관리를 체계적으로 진행하는 조직이 아직까지는 많지 않다. 인증서 관리 체계를 정립하기에 지금이 최적의 시기다.