통상적으로 기업이 새로운 기능을 도입할 때는 사용 확산을 유도하기 위해 초기에는 완화된 정책을 적용하는 경우가 많다. 얼굴 생체인식 기술이 대표적인 예다. 초기에는 인식률을 높이기 위해 비교적 느슨한 설정이 적용됐으며, 이는 위조 사용자가 통과할 가능성을 높였지만 정상 사용자에게는 사용 장벽을 크게 낮추는 효과가 있었다.

구글과 주요 인증기관(Certificate Authorities, CA)은 웹 서버 인증서에 대해서도 이와 유사한 접근 방식을 취했다. 본래는 웹 서버용으로 설계된 인증서였지만, 다양한 인증 기능에 광범위하게 활용될 수 있도록 허용했다. 하지만 구글에 따르면, 이런 관행은 2026년 6월 15일부로 종료된다.

이번 변경 사항을 설명한 문서는 다소 기술적인 내용을 담고 있지만, 핵심은 구글이 지금까지 인증서가 다소 허술하게 사용되던 관행을 바로잡으려 한다는 점이다.

올해 초, 여러 단체가 웹 인증서의 유효기간을 6주로 단축하는 방안을 두고 논의를 벌였고 4월에 공식화했다. 이 조치는 웹 인증서를 얼마나 오래 사용할 수 있는지에 초점을 맞춘 것이었다. 반면, 구글이 새롭게 추진하는 조치는 웹 인증서가 어떤 용도로 사용될 수 있는지 없는지에 초점을 맞춘다.

디지서트(DigiCert)의 산업 기술 전략가 티모시 홀리빅은 구글의 이번 결정에 대해 “디지털 신뢰 체계를 관리하는 방식에서 중대한 전환점을 의미하며, 특히 금융 서비스를 포함한 기업에 심각한 영향을 미친다. 이번 변경으로 인해 웹 인증서는 잘못 구성됐거나 규정을 위반한 것으로 간주되며, EKU(Extended Key Usage)를 정당하게 사용하는 애플리케이션에서도 심각한 장애가 발생할 수 있다. 여전히 다목적 인증서를 사용하는 기업이라면 이번 조치를 경고로 받아들여야 한다. 금융기관은 이제 브라우저나 웹 서버용으로 설계된 인증서에 더 이상 의존할 수 없게 될 것”이라고 설명했다.

홀리빅은 “사실 이런 애플리케이션 상당수는 외부 네트워크와 통신할 필요가 없다. 기업은 인증서를 원하는 방식으로 구성할 수 있는 내부 PKI 환경에서 더 안전하게 보호할 수 있다는 점에서 이번 조치가 타당하다”라고 말했다.

컨설팅 기업 인포테크(Info-Tech)의 기술 자문역 에릭 아바키안도 이에 동의했다. “구글이 이번에 내린 조치는 실제로 옳은 방향이다. 인증서를 본래 용도로만 사용하게 하는 최소 권한 원칙 개념으로 되돌아가는 좋은 변화다. 인증서 용도를 구분하는 접근 자체가 제로 트러스트 보안 철학에도 부합한다”라고 설명했다.

대부분 사용자는 강제되지 않는 한 편리한 방법을 선택하기 마련이다. 이런 점에서 볼 때 아바키안은 “더 나은 보안을 구현하도록 강제하는 방식이 오히려 도움이 된다. 사용자는 일을 빠르고 쉽게 처리하길 원한다. 결국 이것은 조직 문화, 비용, 그리고 편의성의 문제로 귀결된다”라고 말했다.

홀리빅에 따르면, 이번 변화의 핵심은 서버 인증과 클라이언트 인증에 서로 다른 인증서를 사용하는 것이이다. 홀리빅은 “도메인 간 암호학적 분리는 잘 알려진 보안 원칙이다. 브라우저가 개입된 경우에만 웹 PKI 인증서를 사용해야 한다”라고 강조했다.

또 다른 인증서 전문가 제이슨 소로코 역시 이번 문제가 발생한 이유는 인증서를 제대로 사용하지 않고 편리한 방식만을 택해온 관행이 때문이라고 다른 전문가들과 같은 입장을 보였다.

섹티고(Sectigo)의 수석 펠로우인 소로코는 “클라이언트 인증용 인증서는 사설 CA에서 발급받아야 한다. 그동안에는 그냥 공인 CA에서 간편하게 클라이언트 인증서를 받는 방식이 더 쉬웠기 때문에 그렇게 해온 것뿐이다”라고 지적했다.

구글의 공식 발표는 인증서 커뮤니티라면 이해할 수 있을 수준의 기술적인 언어로 작성돼 있다.

“크롬 루트 스토어(Chrome Root Store)에 포함된 모든 PKI 계층이 TLS 서버 인증 용도로만 사용되도록 일관성을 확보하기 위해 크롬 루트 프로그램은 다목적 루트 인증서를 단계적으로 제거할 계획이다. 2026년 6월 15일부터는 아래 요건을 위반한 PKI 계층에 대해 크롬 루트 스토어에 포함된 루트 CA 인증서에 SCTNotAfter 제약을 적용한다.” 또한 “생태계에 미치는 부정적인 영향을 최소화하기 위해 특정한 경우에 한해 다목적 루트 CA 인증서를 SCTNotAfter 제약 없이 일시적으로 크롬 루트 스토어에 유지할 수 있다. 단, 해당 CA가 2026년 6월 15일 이전까지 CCADB(The Common CA Database)에 새로운 루트 CA 인증서를 포함해 달라는 요청(Root Inclusion Request)을 제출한 경우에만 예외가 적용된다.”

요지는 이렇다. 그동안 인증서를 대충 사용해왔다면, 이제 체계를 바로잡을 시간이 1년도 남지 않았다.
dl-itworldkorea@foundryco.com