셀리즈 세이프노티를 만든 이유
스타트업에 재직하던 시절 운영하던 사이트에 사용자가 갑자기 접속하지 못하고 사용할 수 없는 상태가 된 적이 있다. 시스템 장애? 아니면 인프라 장애? 여러 가지 가능성을 고려했지만 단순한 SSL/TLS 인증서가 만료된 것이었다. 인터넷 사업을 하다 보면 도메인을 구매한다는 것은 모두 알고 있지만 SSL/TLS 인증서를 관리해야 한다는 생각은 잘하지 못한다. 이 보안 인증서는 보통 회사는 개발팀에서 자체적으로 관리하는 경우가 많다. 특히 초기 스타트업에서 입/퇴사가 빈번히 발생하는데 이 경우 관리 주체가 없어지고 결국 사고가 발생하는 경우가 많다.
사람의 단순한 실수인 SSL/TLS 인증서 만료가 비단 스타트업의 문제일까? 아니다. 최근 글로벌 CDN 업체인 jsDelivr - A free, fast, and reliable CDN for JS and open source 도 SSL 인증서가 만료되어 서비스 중단에 이르는 사고가 발생했다. 아래는 해당 서비스를 사용하는 개발자, 유저들의 컴플레인이다.
SSL/TLS (Secure Sockets Layer/Transport Layer Security) 인증서는 현대 인터넷에서 보안 통신을 가능하게 하는 핵심 요소이다. 그러나 이러한 인증서는 만료되면 사이트 및 애플리케이션의 보안에 심각한 위협을 초래할 수 있다. 그래서 최신 브라우저들은 인증서가 만료된 사이트의 접속을 아예 차단하며 접속할 수 없게 하여 서비스가 장애가 발생한 것으로 간주되는 것이다.
주변 스타트업 대표님들과 개발자 분들께 물어보니 의견은 반반이었다. 필요하다 VS 사람이 놓치면 사람 문제다.로 의견이 갈렸다. 대부분 회사에서 구글 캘린더나 개인 알림 앱을 사용하는데 이 또한 개인에게 의지한 프로세스로 놓치면 바로 사고가 발생한다. 담당자는 수많은 업무 중 인증서나 도메인 관리를 부업으로 하는 경우가 많다. 이 업무를 잘하는 것은 당연한 일이기 때문에 결국 중요한 업무에서 배제되고 놓칠 수밖에 없다.
또한, SSL 인증서의 유효기간 주기가 점점 짧아지고 있다. 2012년 5년의 기간과 비교해 지금은 1/5 수준인 1년으로 짧아진 상태이다. 이제 곧 3개월로 짧아지면 자동화되는 인증서 연장 프로세스가 반드시 필요하다.
해결을 위해서는 관리, 알림, 프로세스가 필요하다.
체계적인 관리 : 주기적으로 인증서의 만료 날짜를 확인하고, 관리할 수 있도록 정보를 한 곳에 모아야 한다.
만료 알림 : 만료가 되기 전에 알림을 받아야 한다. 사실 SSL 발급 사이트에서 이메일로 알림을 주는 경우가 있지만 이 또한 무시하는 경우가 많다. 문자, 카카오톡, 이메일 3중으로 알림을 받고 반드시 조치해야 한다.
프로세스 : 인증서 관리에 대한 명확한 담당자를 지정하고 관리 주체를 설정해야 한다. 또한 갱신에 대한 기록 히스토리를 남겨서 중요한 업무로 기록이 되어야 한다.
SSL/TLS 인증서의 만료는 온라인 보안에 심각한 위협을 초래할 수 있으며 사업 중단이라는 치명적인 문제를 발생시킨다. 따라서 조기 대응과 주기적인 관리가 필수적이다. 인증서의 만료를 방지하고 관리하기 위해 정기적인 모니터링 및 자동화된 도구의 활용이 중요하다. 이를 통해 사용자의 개인 정보를 보호하고 온라인 보안을 유지하는 데 도움이 될 것이다. 셀리즈 세이프노티를 통해 비즈니스 중단을 예방하고 체계적으로 관리할 수 있다. 셀리즈(Sellease) 세이프노티