• 가비아, 재발급 따른 만기일 축소엔 잔여일 무상서비스

[헤럴드경제=김대우 기자] 오는 9월부터 SSL 인증서의 최대 유효기간이 기존 2년(825일)에서 최대 1년(398일)으로 단축된다. 이에 따라 개인정보를 취급하는 웹사이트 관리자·소유자는 매해 인증서를 갱신하고 또 새로 적용해야만 한다. 짧아진 인증서 수명 탓에 인증서 발급 대행업체와 최종사용자가 겪을 혼란을 우려하는 목소리가 나온다.

SSL 인증서 자료화면 [가비아 제공]

28일 가비아에 따르면 SSL 인증서 최대 유효기간이 최대 1년으로 단축됨에 개인정보를 취급하는 웹사이트 관리자나 소유자들은 기존정책을 재정비하고, 잦은 갱신 주기를 관리하기 위해 발급업체가 적지 않은 인적·물적 비용을 지불해야 하고, 자칫 잘못해 인증서 갱신일을 지나쳐 고객의 사이트 운영에 지장을 입는 등 예상되는 사회적 비용이 적지 않을 것으로 전망된다.

이번 정책 변경으로 CA(인증서 발급 기관)를 비롯한 인증서 발급 대행업체들은 짧아진 주기로 인한 인증서 엔드유저의 불편함을 최소화하기 위한 정책 재정비에 바빠진 모양새다. 웹사이트의 인증서를 더짧은 주기로 갱신토록 하면 암호화·복호화를 위해 사용되는 암호키를 더 자주 교체하게 되므로, 갈수록 고도화되는 해킹이나 정보탈취로부터 웹사이트를 더욱 안전하게 지킬 수 있다.

보안 전문가들은 “SSL 인증서와 같은 디지털 인증서 생태계는 빠른 속도로 변화하는 탓에 짧은 주기로 갱신하는 것이 사실상 가장 유리하다”라고 입을 모은다. 더 짧은 유효 기간을 통해 CA와 웹사이트 관리자는 유효기간 중 발생할 수 있는 예상치 못한 인증서재발급을 최소화할 수 있기 때문이다.

인증서 유효기간이 단축되지만 8월 31일 이전에 인증서를 발급받은 경우라면 기존 2년형 인증서의 유효기간은 그대로 유지된다. 다만, 9월 1일부터 2년 형 인증서를 발급받을 수 없기 때문에, 만기일이 돌아오면 1년 형 인증서를 새로 신청하면된다. 혼란이 없어보인다.

하지만 서버 재설치나 비밀번호 분실 등의 사유로 SSL 인증서를 재발급받아야 한다면 상황은 달라진다. SSL 인증서를 재발급받는 시점으로부터 398일을 초과하는 유효기간을 인정받을 수 없기 때문이다. 다시 말해 재발급 시점에 인증서의 남은 유효기간이 398일을 초과하더라도 그 인증서의 유효기간은 398일로 축소된다.

SSL 보안서버 인증서 발급 및 설치를 대행하는 가비아는 2년형 인증서의 재발급으로 인해 만기일이 축소된 경우, 남은 잔여일까지 인증서를 추가로 발급해 기존서비스 이용 기간까지 무상으로 이용할 수 있도록 해 엔드유저가 입을 수 있는 손해를 최소화했다.

가비아 이태석 플랫폼팀장은 “CA로부터 인증서 발급 및 설치를 위임받은 업체들은 엔드유저가 인증서 갱신 시점을 놓치지 않도록 변경된 정책을 고지하고, 갱신 및 재발급을 대행하는 등 웹사이트 관리자가 겪을 수 있는 불편함을 최소화할 방안을 강구할 필요가 있다”고 전했다.

dewkim@heraldcorp.com