정용환 기자
무료로 웹서버용 SSL/TLS 인증서를 발급하는 인증 기관인 렛츠인크립트(Let’s Encrypt)는 자신을 신뢰하지 않는 단말에도 신뢰할 수 있는 인증서를 발급할 수 있도록 아이덴트러스트(IdenTrust)로부터 교차 서명을 받아왔다. 하지만 렛츠인크립트를 신뢰하는 단말이 증가하면서 2024년 아이덴트러스트로부터의 크로스 서명을 폐지한다고 발표했다.
SSL/TLS를 사용하면 통신에서 통신 상대가 가짜로 바뀌지 않았는지, 도중에 데이터가 변조되지 않았는지 등을 확인할 수 있으며 통신 내용을 암호화해 도청하는 걸 예방할 수 있다는 장점이 있다. 웹사이트에 연결하는데 TLS를 사용하면 서버 측에서 인증서를 설정해야 한다.
서버 인증서는 자체 합법성을 확인할 때 터미널에 저장된 신뢰할 수 있는 인증기관 목록이 사용된다. 이 목록에 게재되고 있는 인증국이 서명한 증명서라면 통신 상대가 정당하다고 판단할 수 있는 것. 신뢰할 수 있는 인증국 목록은 수시로 갱신되는 경우가 많지만 단말에 따라선 제조할 때 보존된 목록으로부터 일절 갱신되지 않는 것도 존재하고 있다.
렛츠인크립트는 2016년 공식 시작된 서비스이기 때문에 렛츠인크립트 인증서를 신뢰하지 않는 단말이 존재했다. 2018년 시점 단말이 갱신되기까지 앞으로 5년은 걸린다는 보도가 나오기도 했다.
오래된 단말 상대도 렛츠인크립트가 발행한 인증서를 신뢰할 수 있게 렛츠인크립트는 시작할 때 전 세계 점유율 1위 인증기관인 아이덴트러스트로부터 교차 서명을 받았다. 이 교차 서명이 2021년 만료됐을 때 안드로이드 기기 3분의 1에서 렛츠인크립트 인증서가 거부되는 사건이 발생했지만 교차 서명 유효기간을 3년 연장해 대응했다.
2024년 9월 30일 다시 교차 서명이 만료되지만 렛츠인크립트를 신뢰하는 안드로이드 7.1 이후 기기 비율이 3년간 66%에서 93.9%까지 상승했고 2023년 안에 전달 예정인 안드로이드 14에선 구글플레이를 경유해 신뢰하는 인증국 목록을 갱신 가능하게 되어 렛츠인크립트를 신뢰하는 단말은 더 증가할 전망이다. 이에 따라 렛츠인크립트는 2024년 2월 8일 단계적으로 교차 서명을 폐지하는 걸 발표했다.
교차 서명을 폐지하는 것으로 TLS 통신을 시작할 때 송신하는 증명서 데이터량을 40% 이상 줄일 수 있는 것 외에 운영 비용을 대폭 줄일 수 있어 보안이나 프라이버시 보호에 중점을 둘 수 있게 될 것이라고 한다.
교차 서명이 중단된 이후 안드로이드 7.0 이전 기기에서 일반 브라우저는 렛츠인크립트 인증서를 사용하는 웹사이트에 액세스할 수 없다. 렛츠인크립트 공식 사이트에선 이 점에 대해 독자적인 신뢰 목록을 이용하는 파이어폭스 모바일을 이용하면 계속해서 문제없이 액세스 가능하다고 밝히고 있다.
구체적인 폐지 일정을 보면 먼저 2024년 2월 8일 증명서 신규 작성에 있어 표준 설정에선 교차 서명이 작성되지 않게 된다. 설정을 바꾸면 기존 인증서를 만들 수 있다.
2024년 6월 6일에는 신규 증명서 교차 서명이 완전 정지된다. 렛츠인크립트 증명서 유효 기간은 90일간이므로 교차 서명 만료까지 모든 교차 서명 첨부 증명서 유효 기간도 만료된다고 한다. 또 2024년 9월 30일에는 교차 서명 증명서 유효 기간이 만료된다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
