신뢰할 수 있는 사이트, 그건 누가 증명해 줄까?
인터넷을 통해 웹사이트를 접속할 때, 주소창에 자물쇠 모양이나 안전한 사이트라는 문구를 본 적이 있을 것이다.
해당 사이트가 HTTPS 보안 연결을 사용하고 있다는 의미이다.
그런데, 누가 이 사이트가 진짜 내가 접속하려는 그 사이트가 맞다고 증명을 해줄까?
이러한 증명을 CA(Certificate Authority), 인증기관에서 해준다.
CA(Certificate Authority)는 용어의 뜻 그대로 인증기관이다. CA는 인터넷상에서 특정 웹사이트나 서버가 신뢰할 수 있는 존재임을 보증해 주는 제삼자의 기관이라고 볼 수 있다. 사용자와 웹사이트 간의 암호화 통신을 가능하게 해주는 디지털 인증서(Digital Certificate)를 발급하는 역할을 해준다.
단순한 신분증 그 이상의 역할을 하는 이 디지털 인증서는 해당 사이트의 도메인, 공개키, 유효기간, 그리고 그것을 발급한 CA의 서명이 포함되어 있다. 브라우저는 이 인증서가 신뢰할 수 있는 CA에 의해 발급되었는지를 자동으로 확인해 주고, 문제가 없을 경우에만 안전한 연결로 인식해 준다.
현대 인터넷은 누구나 도메인을 구입하고 서버를 만들 수 있다. 악의적인 의도를 가진 누군가가 실제 은행 사이트와 거의 똑같이 생긴 가짜 사이트를 만든다고 해도, 기술적으로 막을 수 있는 방법이 없다.
심지어 URL 주소도 도메인을 살짝 바꿔서 은행 사이트처럼 만들면, 대부분의 사람들은 속을 수밖에 없는 구조의 사이트가 만든다. 이럴 때 CA의 인증서가 진짜와 가짜를 구분해 주는 기준이 된다.
인증서가 없거나 위조된 경우 브라우저는 사용자에게 강한 경고 메시지를 보여주며, 접근 자체를 막기도 하고 제한하기도 하며, 접속 전에 이 사이트는 위험한 사이트인데 정말 접속할 거냐고 기본적으로 묻게 된다.
물론, 이러한 기본적인 경고를 평소에 대수롭지 않게 생각하며 이용해 왔다면, 어느 순간 큰 피해를 볼 가능성이 높아지니, 꼭 경고 메시지가 나타난다면 유의 깊게 살펴볼 필요가 있다. 여기서 한 술 더 나가, 경고 메시지 마저 가짜로 표시하는 사이트들도 있으니, 브라우저에서 직접 경고 메시지를 표시한 것인지 등을 잘 구분해야 한다.
가게를 차려도, 회사를 차려도, 창업을 해도, 혼자 무엇인가를 하려고 해도, 홈페이지는 흔하게 개발하고 열 수 있는 수단이 된다. 도메인도 쉽게 구매하고 관리할 수 있으니, 누구나 홈페이지는 열 수 있다. 이때, 이제는 필수가 되어버린 HTTPS와 디지털 인증서가 필요한데, 어떻게 인증서를 발급받을 수 있을까?
CA는 웹사이트 운영자에게 몇 가지 인증 절차를 요구한다. 도메인을 직접 소유하고 있는지 도메인 인증(DV)을 물어보고, 조직 정보를 검증해 인증서에 기업 이름을 표시하는 기업 인증(OV)을 표시하기도 한다. 매우 엄격한 검증 절차인 확장 인증(EV)을 받았음을 확인한다면, 브라우저 주소창에 회사 이름이 강조되게 표시되는 것도 있다. 대게 이런 사이트들은 은행사이트 등 위변조 및 가짜 사이트의 주의가 필요한 사이트들이다.
그렇다면 CA는 어떤 단체들일까? 위험한 사이트를 잘못 인증해주지는 않을까?
세계적으로 유명한 인증기관으로는 DigiCert, Sectigo, GlobalSign, GoDaddy 등의 기관이 있다.
오픈소스 철학에 기반한 무료 인증기관인 Let's Encrypt 등이 있다. 각기 다른 목적과 가격 정책을 가지고 있어서 대기업부터 개인 개발자까지 다양한 사람들을 대상으로 서비스를 제공한다.
우리나라에서도 키사라고 읽는, 한국정보인증(KICA) 사이트가 있으며, 한국전자인증(Koscom), 한국증권금융(KSD), 한국무역정보통신(KTNET) 등이 있다. 국내 전자서명법과 관련된 보안 기준을 충족하면서 공공기관, 금융기관, 민간 기업에 디지털 인증 서비스를 제공하고 있다.
CA에 대한 정보는 눈에 잘 띄지 않는다. 중요한 것은 이 사이트가 안전한가를 먼저 확인하고, 넘어가기 때문이다.
안전한 연결을 믿고 정보를 입력할 수 있는 배경에는 누군가 그 웹사이트가 진짜라고 증명해주고 있는 것인데, 그 증명해 주는 존재가 바로 CA이다.
어떤 사이트는 진짜로 시작해서, 가짜나 사기로 끝날 수도 있는데, 그럴 때 CA에 책임을 물을까? 어쨌든 욕을 먹을 것이다. 이렇게 이름 없이 욕먹으며 안전한 사이트를 증명해 주는 CA 기관이 있음을 인식하고 있으면 좋을 것 같다.
#CA #인증기관 #디지털인증서 #SSL #TLS #HTTPS #Let'sEncrypt #인터넷보안 #웹인증 #피싱방지 #보안인증
'IT 정보 > 용어' 카테고리의 다른 글
| 중간자 공격이란? 우리 대화를 지켜보는 나쁜 눈이 있다? (0) | 2025.04.20 |
|---|---|
| 서버 클라이언트 구조란? 데이터는 서버에서 요청은 클라이언트에서 (0) | 2025.04.19 |
| TLS란? 인터넷 보안을 책임지는 SSL의 다음 세대 (2) | 2025.04.17 |
| SSL이란? 인터넷 보안, 웹 보안의 기본인 필수 기술 (2) | 2025.04.16 |
| HTTP 2란? 웹의 속도를 혁신적으로 다시 쓴 기술 (1) | 2025.04.14 |
