자체 서명된 인증서란 무엇인가요?

자체 서명된 TLS/SSL 인증서는 공개적으로 신뢰할 수 있는 인증 기관(CA)이 아니라 웹사이트를 담당하는 개발자 또는 회사에서 서명한 것입니다. 공개적으로 신뢰할 수 있는 CA에서 서명한 것이 아니기 때문에 일반적으로 공개 애플리케이션 및 웹사이트에 대해 안전하지 않은 것으로 간주됩니다.

공개 CA의 역할은 인증서에 포함된 정보의 유효성, 특히 TLS/SSL의 경우 인증서와 연결된 도메인 이름의 소유권 및/또는 제어 권한을 보장하는 것입니다. 따라서 자체 서명된 인증서를 사용하면 유효한 기관에서 발급하지 않은 자격증명을 사용하는 것이나 마찬가지입니다.

‘자체 서명된 인증서’라는 표현은 일반적으로 루트 또는 중간 인증서에 연결되지 않고 독립형으로 생성된 TLS/SSL 인증서를 나타냅니다. 이는 다른 X.509 디지털 서명 인증서, 예를 들면 S/MIME, 코드 서명 및 문서 서명에도 적용될 수 있습니다.

자체 서명된 인증서의 특성은 인증서의 정보가 신뢰할 수 있는 기관(공개 CA)에 의해 검증되지 않았다는 것을 의미하며, 이러한 인증서는 보안 경고를 트리거합니다. 공개적으로 신뢰할 수 있는 CA에서 서명하지 않은 인증서는 사용자에게 보안 위험을 가할 수 있기 때문에 웹 브라우저와 운영 체제에서는 이를 감지하고 플래그를 지정합니다. 신뢰할 수 있는 당사자가 제공한 인증서가 아니므로 중간자 공격을 배포하는 공격자의 작업일 수 있습니다.

이러한 경고 표시는 사용자가 귀하의 사이트와 상호 작용하면 개인 또는 금융 데이터가 위험에 처할 수 있다는 두려움을 조성하여 사용자가 떠나도록 만듭니다.

자체 서명된 인증서(TLS/SSL, S/MIME, 문서 서명 또는 코드 서명)는 규제 대상이 아니므로 유효 기간이 다양할 수 있습니다. 그러나 이러한 인증서 또한 만료되기 전에 갱신하고 재배포해야 합니다. 유효 기간이 길수록 인증서의 존재와 만료 날짜를 잊어버릴 위험이 커집니다.

자체 서명된 인증서와 달리, 공개적으로 신뢰할 수 있는 TLS/SSL 인증서는 13개월 이상의 기간으로 발급할 수 없습니다. 2015년 이전에 허용되는 최대 유효 기간은 5년이었지만 점차 1년으로 축소되었습니다. 이 기간은 확장 검증(EV) 및 조직 검증(OV) TLS/SSL 인증서에 적용됩니다.

자체 서명된 인증서를 사용한다는 것은 인증서 세부 정보의 유효성을 보장하는 데 신뢰할 수 있는 인증 기관의 지원 없이 계속하도록 선택하는 것을 의미합니다. 기본적으로 자체 서명된 인증서는 웹 브라우저 및 운영 체제에서 신뢰되지 않습니다. 각 사용자는 사용하는 각 장치에서 마주치는 각각의 자체 서명된 인증서를 건마다 수동으로 승인하여 보안 경고를 우회해야 합니다. 그리고 경고 메시지에는 자체 서명된 인증서가 보안 위험을 나타낼 수 있다는 점이 분명히 나타나므로 사용자가 계속 진행하지 않을 가능성이 높습니다.

자체 서명된 TLS/SSL 인증서는 신뢰할 수 있는 CA에서 발급한 것이 아니기 때문에 브라우저에서 플래그를 지정하므로 인증서가 합법적이라는 보장이 없습니다. 브라우저는 사이트의 인증서가 신뢰할 수 있는 CA에서 발급되지 않았으므로 연결의 보안이 보장되지 않는다는 경고를 표시합니다.

브라우저와 운영 체제의 보안 경고로 인해 최종 사용자는 사이트가 안전하지 않고 보안이 적용되지 않는다고 느끼기 때문에 웹사이트나 애플리케이션을 사용하지 않게 됩니다. 그렇기 때문에 자체 서명된 인증서는 일반적으로 테스트 환경이나 위험이 낮은 내부 네트워크에서만 사용됩니다.

자체 서명된 TLS/SSL 인증서는 테스트 환경에서 안전하며 공개 CA에서 인증서가 발급되기를 기다리는 동안 사용할 수 있습니다. 그러나 프로덕션 환경에서 사용하면 웹사이트나 애플리케이션에 대한 트래픽이 크게 줄어들고 사용자의 신뢰를 얻지 못합니다.

자체 서명된 TLS/SSL 인증서는 무료로 생성할 수 있어서 일부 조직에서 관심을 가질 수 있지만, 신뢰 관련 위험과 자체 서명된 인증서의 유지 관리는 간과되는 경우가 많습니다. 특히 갱신할 경우 예측하지 못한 비용이 많이 들 수 있습니다.

자체 서명된 TLS/SSL 인증서는 자체 비공개 키로 서명되며 중간 또는 루트 CA에 연결되지 않습니다. 자체 서명된 인증서는 서명이 필요한 웹사이트의 유지 관리를 담당하는 회사 또는 개발자가 생성, 발급 및 서명합니다. 내부적인 웹사이트의 인증서 비용을 줄이는 방법은 될 수 있지만 공용 웹사이트 및 애플리케이션에는 결코 좋은 선택이 아닙니다.

비공개 키가 손상되면 조직의 인프라에 큰 위협이 될 수 있습니다. 인증서를 발급한 인증 기관에 손상된 인증서를 신고하면 즉시 인증서가 취소됩니다. 그러나 자체 서명된 인증서의 경우 신뢰할 수 있는 인증서 해지 메커니즘이 없습니다.

또한 조직에서는 자체 서명된 인증서를 지속적으로 주시하지 못하기 때문에 만료 또는 손상된 인증서가 간과되거나 알아차리지 못하는 경우가 많습니다. 인증서가 손상되면 공격자가 네트워크에 액세스하여 지능적이고 정교한 맬웨어 공격, 중간자(MITM) 공격, 피싱 공격 및 봇넷을 실행할 기회가 열립니다.

보증 및 기술 지원 없음

공개 인증 기관은 인증서에 대한 지원, 전문 지식 및 관리 도구를 제공합니다. 그러나 자체 서명된 인증서의 경우 이러한 인증서가 사내에서 생성되기 때문에 지원, 전문 지식 또는 관리 도구가 제공되지 않습니다. 인증서 관리를 위한 인적 및 재정적 자원이 필요합니다.

가시성 및 제어 권한 부족

조직은 비공개 공개 CA 모두에서 발급하는 수천 개의 디지털 인증서를 사용하며 각각의 인증서를 수동으로 추적하기는 어렵습니다. 인증서의 개수, 소유자, 위치 및 비공개 키가 저장된 위치를 파악하는 것은 사이버 방어를 강화하는 데 중요합니다.

수많은 자체 서명된 인증서를 사용하는 조직은 인증서 인프라에 대한 가시성이 흐려지는 경우가 많습니다. 조직 네트워크에 위반이 발생하는 경우 자체 서명된 인증서 및 이와 관련된 비공개 키로 인해 발생한 것인지 여부를 알 수 없습니다.

보안 요구 사항을 충족하지 않음

신뢰할 수 있는 인증 기관에서 발급한 디지털 인증서는 강력한 표준을 유지하는 반면, 자체 서명된 인증서는 내부적으로 생성되며 지식 부족과 모범 사례를 따르지 않아 최신 보안 표준을 거의 따르지 않습니다.

기업 네트워크 내에 존재하는 모든 디지털 인증서와 키를 관리하고 모니터링하는 것이 중요합니다. CA에서 발급한 모든 인증서와 내부 및 공개 사이트의 기능을 담당하는 자체 서명된 인증서는 보안 및 보호를 받아야 하며 지속적인 모니터링을 거쳐야 합니다.

내부 LAN 전용 서비스의 경우 자체 서명된 인증서를 사용할 수 있지만, 강력한 정책을 갖춰 인증서를 발급한 CA 서버가 사이버 범죄자로부터 잘 보호되고 사용자가 액세스할 수 없는 위치에 있으며 조직의 모든 직원과 모니터링 도구 및 인증서 자산 관리를 담당하는 팀이 있는지 확인해야 합니다.