[SSL 인증서①] SSL 인증서 시장 격동
상태바
[SSL 인증서①] SSL 인증서 시장 격동
  • 김선애 기자
  • 승인 2017.12.01 09:46
  • 댓글 0
이 기사를 공유합니다

현재 시만텍 인증서, 내년 9월까지 교체해야…한국정보인증·한국전자인증 점유율 확대 위해 혈전

디지서트가 시만텍 인증서 사업부를 인수하면서 SSL 인증서 시장이 격동하고 있다. 높은 신뢰수준의 OV·EV 인증서 시장에서 시만텍과 디지서트가 선두그룹에 속해 있어 경쟁사들은 향후 시장이 어떻게 전개될지 예의주시하고 있는 상황이다. 인증서 분야의 단독 선두인 코모도는 OV·EV 인증서 시장 장악력을 높이기 위해 분주하게 움직이고 있다. 격변하는 SSL 인증서 시장을 살펴본다. <편집자>

지난 9월 구글이 시만텍 인증서를 신뢰하지 않기로 결정하면서 SSL 인증서 시장에 일대 혼란이 일어났다. 시만텍은 8월 디지서트에 SSL 인증서 사업을 매각하기로 한 상황이었기 때문에 혼란은 더욱 심화됐으며, 경쟁사들은 이 때를 이용해 시만텍 계열 인증서를 자사 인증서로 전환할 수 있는 프로모션을 다각도로 진행했다.

이 문제는 디지서트가 기존에 발급된 시만텍 인증서를 크로스 인증하기로 결정했으며, 이를 구글이 받아들이면서 일단락됐다. 시만텍 인증서는 12월 1일부터 디지서트 발급 시스템에서 발급되며, 현재 시만텍 인증서를 사용하는 법인 중 2016년 6월 1일 이전에 인증서를 발급받은 사용자는 유효기간이 남아있다면 내년 3월 이전에 인증서를 갱신해야 한다. 2016년 6월 1일 이후에 발급받았다면 내년 9월까지 갱신하면 된다.

구글-시만텍 싸움에 불 붙인 경쟁사

구글은 지난 3월 시만텍 계열 인증서가 부정발급된 사례가 127건이었으며, 지난 수 년간 발급된 시만텍 인증서 중 3만 건에 문제가 있다고 밝히며 시만텍 인증서를 불신할 뜻을 밝혔다. 시만텍이 인증서 신청 조직에 대한 심사를 부실하게 해 자격 없는 기관이 인증서를 발급받았다는 지적이었다. 이에 시만텍은 다른 인증서 발급기관도 같은 문제를 일으켰으며, 일부 기관은 해킹을 당하기까지 했으므로 시만텍만 문제 삼는 것은 부당하다고 반박했다.

실제로 지난 2011년 이란의 해커가 미국의 인증기관 코모도 그룹을 해킹한 사고가 있었다. 2011년에는 인증기관에서 사고가 많이 발생했는데, 유럽의 인증기관인 글로벌사인은 시스템 장애로 수천 개 고객의 웹사이트가 차단됐다.

시만텍이 과거 해킹사고를 언급하며, 자사가 심사를 소홀히 했던 것은 사실이지만, 발급된 인증서가 피싱·파밍 사이트에서 사용된 사실이 발견되지 않았으며, 무엇보다 시만텍은 해킹당한 적이 없다는 점을 강조했다.

시만텍, 코모도 등이 서로의 문제를 지적하며 치열하게 싸움을 전개하고 있는 가운데, 국내 총판인 한국전자인증, 한국정보인증도 치열한 경쟁을 벌이고 있다. 한국전자인증은 시만텍, 한국정보인증은 코모도를 공급하고 있으며, 한컴시큐어는 10월부터 디지서트 인증서 사업을 펼치고 있다.

▲SSL 인증서 종류(자료: 한국정보인증)

안전한 웹사이트 보장하는 SSL 인증서

SSL 인증서는 안전하고 신뢰할 수 있는 웹사이트라는 사실을 인증하기 위한 것으로 제 3의 신뢰기관(CA)에 의해 발급된다. 코모도, 시만텍, 디지서트, 글로벌사인 등이 CA이며, 법인이 인증서를 신청했을 때 이 법인이 신청한 내용이 맞는지, 적법하게 운영되는 법인인지 확인한다. 인증서의 종류에 따라 웹사이트에 보안 취약점이 없는지도 확인해 주기도 한다. SSL 인증서가 있는 웹사이트는 피싱·파밍을 위해 위조된 사이트가 아니고 안전한 SSL/TLS 통신을 한다는 사실을 CA가 보장한다는 의미로 받아들여진다.

SSL 인증서의 종류는 ▲도메인 인증(DV) ▲조직 인증(OV) ▲확장 인증(EV)이 있으며, DV는 기본 암호, 도메인 네임 등록 소유권을 확인하는 절차만으로 발급이 완료된다. 발급시간이 가장 빠르고 저렴하지만 신뢰수준이 낮기 때문에 중요한 개인정보나 금융정보를 다루는 사이트에서는 사용하지 않는다.

OV는 도메인 네임과 소유주를 확 인해 인증하며, 인증기관에 사업자 등록증을 제출하면 인증기관에서 전화로 직접 담당자와 통화하고 해당 법인이 존재하는지, 제출한 서류의 내용이 맞는지 확인한다. 발급에 1~2일 소요된다. 로그인 정보 등의 고객정보를 다루는 사이트에 적합하다.

EV는 가장 신뢰수준이 높은 인증서로, 도메인 네임 등록과 소유권, 법인 현황, 전화 인증 등을 통해 조직의 법적, 물리적, 운영상의 존재를 확인해 발급한다. 법인 설립 후 3년 이상 경과해야 하며, 신청자를 교차인증하고, 전화인증도 까다롭게 거친다. 확인 절차가 많기 때문에 인증에 2~5일 정도 소요된다. 주민등록번호·신용카드 정보 등 민감한 개인·금융정보를 다루는 사이트에 적합하며 대부분의 금융기관과 대규모 쇼핑몰 등은 EV 인증서를 발급받는다.

코모도는 전체 인증서 시장에서 가장 높은 점유율을 갖고 있으며, 경쟁사에 비해 합리적인 가격으로 제공해 SSL 인증서 범용화에 기여했다고 평가받는다. 시만텍은 베리사인(VeriSign), 지오트러스트(GeoTrust), 서트(Thawte), 래피드SSL(RapidSSL) 등의 인증서 제품을 갖고 있으며, OV·EV 시장에서는 1위, DV까지 합하면 2위이다. 디지서트는 OV·EV만을 공급하고 있으며, 이 시장에서는 2위를 차지한다. OV·EV 시장에서 디지서트와 시만텍의 점유율을 합하면 절반 이상의 점유율을 갖는 강력한 경쟁력을 보유하게 된다. 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.