SSL 인증서 만료 : 온라인 보호를 위한 필수 관리

셀리즈 세이프노티를 만든 이유

문제점

스타트업에 재직하던 시절 운영하던 사이트에 사용자가 갑자기 접속하지 못하고 사용할 수 없는 상태가 된 적이 있다. 시스템 장애? 아니면 인프라 장애? 여러 가지 가능성을 고려했지만 단순한 SSL/TLS 인증서가 만료된 것이었다. 인터넷 사업을 하다 보면 도메인을 구매한다는 것은 모두 알고 있지만 SSL/TLS 인증서를 관리해야 한다는 생각은 잘하지 못한다. 이 보안 인증서는 보통 회사는 개발팀에서 자체적으로 관리하는 경우가 많다. 특히 초기 스타트업에서 입/퇴사가 빈번히 발생하는데 이 경우 관리 주체가 없어지고 결국 사고가 발생하는 경우가 많다.

사람의 단순한 실수인 SSL/TLS 인증서 만료가 비단 스타트업의 문제일까? 아니다. 최근 글로벌 CDN 업체인 jsDelivr - A free, fast, and reliable CDN for JS and open source 도 SSL 인증서가 만료되어 서비스 중단에 이르는 사고가 발생했다. 아래는 해당 서비스를 사용하는 개발자, 유저들의 컴플레인이다.

jsDelivr - SSL 인증서 만료 사고

SSL 인증서란?

SSL/TLS (Secure Sockets Layer/Transport Layer Security) 인증서는 현대 인터넷에서 보안 통신을 가능하게 하는 핵심 요소이다. 그러나 이러한 인증서는 만료되면 사이트 및 애플리케이션의 보안에 심각한 위협을 초래할 수 있다. 그래서 최신 브라우저들은 인증서가 만료된 사이트의 접속을 아예 차단하며 접속할 수 없게 하여 서비스가 장애가 발생한 것으로 간주되는 것이다.

시장 환경

주변 스타트업 대표님들과 개발자 분들께 물어보니 의견은 반반이었다. 필요하다 VS 사람이 놓치면 사람 문제다.로 의견이 갈렸다. 대부분 회사에서 구글 캘린더나 개인 알림 앱을 사용하는데 이 또한 개인에게 의지한 프로세스로 놓치면 바로 사고가 발생한다. 담당자는 수많은 업무 중 인증서나 도메인 관리를 부업으로 하는 경우가 많다. 이 업무를 잘하는 것은 당연한 일이기 때문에 결국 중요한 업무에서 배제되고 놓칠 수밖에 없다.

또한, SSL 인증서의 유효기간 주기가 점점 짧아지고 있다. 2012년 5년의 기간과 비교해 지금은 1/5 수준인 1년으로 짧아진 상태이다. 이제 곧 3개월로 짧아지면 자동화되는 인증서 연장 프로세스가 반드시 필요하다. 

해결 방법

해결을 위해서는 관리, 알림, 프로세스가 필요하다. 

체계적인 관리 : 주기적으로 인증서의 만료 날짜를 확인하고, 관리할 수 있도록 정보를 한 곳에 모아야 한다.

만료 알림 : 만료가 되기 전에 알림을 받아야 한다. 사실 SSL 발급 사이트에서 이메일로 알림을 주는 경우가 있지만 이 또한 무시하는 경우가 많다. 문자, 카카오톡, 이메일 3중으로 알림을 받고 반드시 조치해야 한다.

프로세스 : 인증서 관리에 대한 명확한 담당자를 지정하고 관리 주체를 설정해야 한다. 또한 갱신에 대한 기록 히스토리를 남겨서 중요한 업무로 기록이 되어야 한다.

SSL/TLS 인증서의 만료는 온라인 보안에 심각한 위협을 초래할 수 있으며 사업 중단이라는 치명적인 문제를 발생시킨다. 따라서 조기 대응과 주기적인 관리가 필수적이다. 인증서의 만료를 방지하고 관리하기 위해 정기적인 모니터링 및 자동화된 도구의 활용이 중요하다. 이를 통해 사용자의 개인 정보를 보호하고 온라인 보안을 유지하는 데 도움이 될 것이다. 셀리즈 세이프노티를 통해 비즈니스 중단을 예방하고 체계적으로 관리할 수 있다. 셀리즈(Sellease) 세이프노티 

셀리즈 세이프 노티