웹사이트를 운영하는 담당자라면 SSL 인증서를 한 번쯤 갱신해 본 경험이 있을 것입니다. 만료일이 다가오면 인증서를 재발급받고 서버에 적용한 뒤 정상 동작 여부를 확인하는 작업은 이미 익숙한 운영 업무 중 하나입니다.
그런데 앞으로는 이러한 방식이 더 이상 현실적이지 않을 수 있습니다.
글로벌 브라우저 업체와 인증기관(CA) 업계는 SSL/TLS 인증서의 유효기간을 단계적으로 단축하는 정책을 추진하고 있으며, 2029년부터는 최대 유효기간이 47일까지 줄어들 예정입니다. 인증서를 더 자주 갱신해야 한다는 수준의 변화가 아닙니다.
인터넷 보안 체계 자체가 변화하고 있다는 신호에 가깝습니다.
SSL 인증서 유효기간은 어떻게 바뀌나?
과거에는 3년짜리 SSL 인증서가 일반적이었고, 이후 2년에서 1년으로 단계적으로 축소되었습니다. 현재 대부분의 인증기관(CA)은 이미 짧은 유효기간을 기준으로 인증서를 발급하고 있으며, 앞으로는 이 기간이 더욱 짧아질 예정입니다.
CA/Browser Forum에서 승인한 로드맵에 따르면 SSL/TLS 인증서의 최대 유효기간은 다음과 같이 단계적으로 단축됩니다.
| 적용 시기 | SSL 인증서 최대 유효기간 |
|---|---|
| 2026년 6월 현재 | 200일 |
| 2027년 3월 | 100일 |
| 2029년 3월 | 47일 |
인증서 유효기간만 줄어드는 것이 아니라 인증서 발급 시 필요한 도메인 소유권 검증(DCV, Domain Control Validation) 재사용 기간도 함께 단축됩니다. 현재는 일정 기간 동안 기존 검증 결과를 재활용할 수 있지만, 2029년에는 재사용 가능 기간이 10일 수준까지 줄어들 예정입니다.
이는 인증서를 한 번 발급받아 장기간 사용하는 시대가 끝나가고 있다는 의미이기도 합니다.
예전에는 연 1회 정도 인증서를 갱신하면 충분했지만, 2029년 이후에는 동일한 서버를 운영하더라도 연간 7~8회 이상 인증서 교체가 필요할 수 있습니다. 특히 여러 개의 웹사이트나 다수의 서버를 운영하는 기업, 공공기관, 교육기관의 경우 수동 갱신 방식만으로는 관리 부담이 급격히 증가할 가능성이 높습니다.
결국 SSL 인증서 유효기간 단축은 정책 변경에 불과한 것이 아니라 인증서 발급, 배포, 적용 과정을 자동화하는 방향으로 인터넷 보안 환경이 변화하고 있음을 보여주는 대표적인 사례라고 볼 수 있습니다.
왜 굳이 인증서 기간을 계속 줄이는 걸까?
SSL 인증서 유효기간 단축 소식을 처음 접하면 많은 운영자들은 비슷한 의문을 갖게 됩니다.
“지금까지 1년짜리 인증서를 문제없이 사용하고 있었는데, 왜 굳이 47일까지 줄여야 할까?”
겉으로 보기에는 인증서 갱신 주기가 짧아지는 정책 변경처럼 보일 수 있습니다. 하지만 이번 변화는 인증서 발급 정책 하나가 바뀌는 수준이 아닙니다. 인터넷 신뢰 체계(PKI, Public Key Infrastructure)와 인증서 관리 방식 전반이 변화하고 있다는 신호에 가깝습니다.
보안 업계가 '폐기’보다 '만료’를 선택한 이유
SSL 인증서는 만료일이 남아 있더라도 특정 상황에서는 즉시 무효화해야 합니다. 이를 인증서 폐기(Revocation) 라고 하며, 대표적으로 다음과 같은 경우에 수행됩니다.
- 인증서 개인키(Private Key) 유출
- 인증기관(CA)의 오발급
- 서버 침해 사고
- 도메인 소유권 변경
- 보안 정책 위반
기존에는 폐기된 인증서를 확인하기 위해 CRL(Certificate Revocation List) 과 OCSP(Online Certificate Status Protocol) 같은 기술이 사용되어 왔습니다. 특히 OCSP는 브라우저가 인증기관 서버에 직접 질의하여 인증서 상태를 확인하는 방식으로 오랫동안 표준적인 인증서 폐기 체계로 활용되었습니다.
하지만 실제 운영 환경에서는 여러 한계가 존재했습니다.
- 추가 네트워크 통신으로 인한 성능 저하
- 인증기관 서버 장애 시 검증 실패 가능성
- 브라우저별 상이한 처리 방식
- 대규모 운영 비용 증가
결국 보안 업계는 아래와 같이 결론 지었습니다.
“폐기 여부를 계속 확인하는 것보다 인증서를 더 짧게 사용하는 것이 효율적일 수 있다”
만약 인증서가 유출되더라도 유효기간이 47일이라면 공격자가 악용할 수 있는 기간 자체가 크게 줄어들기 때문입니다. 현재 진행되고 있는 SSL 인증서 유효기간 단축 역시 이러한 흐름의 연장선에 있습니다.
즉, 인증서를 더 자주 갱신하라는 의미가 아니라 인터넷 신뢰 체계를 보다 단순하고 안전하게 만들기 위한 변화라고 볼 수 있습니다.
함께 읽어보면 좋은 글 : SSL 인증서 유효기간 단축의 배경에는 인증서 폐기(Revocation) 체계의 한계가 자리하고 있습니다.
25년 동안 사용된 OCSP는 왜 사라지고 있을까?
기업과 기관은 무엇을 준비해야 할까?
이번 변화에서 가장 중요한 것은 인증서 유효기간이 아닌 인증서 관리 방식의 변화입니다.
현재도 많은 기관과 기업은 만료일이 다가오면 담당자가 직접 인증서를 재발급받고 서버에 적용하는 방식으로 운영하고 있습니다.
- 만료일 확인
- 인증서 재발급
- 서버 적용
- 서비스 정상 여부 점검
연 1~2회 정도라면 큰 부담이 아닐 수 있습니다. 하지만 SSL 인증서 유효기간이 47일로 단축되면 상황은 달라집니다. 하나의 서버만 운영하더라도 연간 7~8회 이상 인증서를 교체해야 할 수 있으며, 여러 대의 서버와 다양한 서비스를 운영하는 환경에서는 관리 부담이 크게 증가할 수 있습니다.
따라서 앞으로는 인증서를 단순히 발급하는 것보다
자동으로 관리할 수 있는 체계를 갖추는 것이 더욱 중요해질 것으로 보입니다.
특히 다음과 같은 항목을 점검해 둘 필요가 있습니다.
- 현재 운영 중인 인증서 현황 파악
- 만료일 모니터링 체계 구축
- 인증서 자동 발급 및 갱신
- 서버별 자동 배포 및 적용
- 갱신 실패에 대한 알림 및 대응 절차 마련
인증서를 얼마나 오래 사용할 수 있는가보다, 얼마나 안전하고 안정적으로 관리할 수 있는가가 더 중요해지는 방향으로 인터넷 운영 환경이 변화하고 있는 것입니다.
결국 인증서 관리도 자동화의 영역이 된다
지금까지는 인증서 만료일을 달력이나 일정 관리 도구에 등록해 두고, 만료 시점에 맞춰 갱신하는 방식으로도 충분히 운영할 수 있었습니다. 하지만 47일이라는 유효기간은 이러한 수동 관리 방식이 더 이상 현실적이지 않다는 것을 전제로 설계된 기준입니다.
| 구분 | 기존 방식 | 앞으로 필요한 방식 |
|---|---|---|
| 관리 | 만료일 수동 확인 | 인증서 현황 자동 관리 |
| 발급 | 필요 시 직접 발급 | 자동 발급 및 갱신 |
| 적용 | 서버별 수동 적용 | 자동 배포 및 적용 |
| 점검 | 수동 점검 | 자동 모니터링 |
| 장애 대응 | 담당자 확인 | 실패 알림 및 대응 체계 |
인증서가 수십 개, 수백 개로 늘어나는 환경에서는 이러한 자동화 체계가 사실상 필수에 가까워질 것으로 보입니다. 이번 변화가 의미하는 것은 결국 하나입니다.
인증서 발급부터 배포, 적용, 갱신 확인까지의 전 과정을 자동화해야 하는 시대가 시작되고 있다는 것입니다.
글로벌 인증기관과 주요 클라우드 사업자들이 자동화 기반의 인증서 관리 체계를 지속적으로 권장하고 있는 것도 같은 이유입니다.
이제는 인증서를 얼마나 오래 사용할 수 있는가보다 얼마나 안정적으로 발급하고, 배포하고, 관리할 수 있는가가 더 중요해지고 있습니다. 2029년 3월이 아직 먼 이야기처럼 느껴질 수 있습니다. 하지만 인증서 현황을 파악하고, 운영 중인 시스템의 관리 방식을 점검하며, 자동화 체계를 구축하는 데는 생각보다 많은 시간이 필요합니다.
SSL 인증서 47일 시대는 아직 시작되지 않았지만, 준비는 지금부터 시작할 수 있습니다.
Keywords
SSL 인증서, TLS 인증서, SSL 인증서 유효기간, 인증서 자동 갱신, 인증서 관리, PKI, OCSP, 인증서 폐기, 웹 보안, 사이버 보안, 공공기관 보안, 리프아이티
작성자 : (주)리프아이티 ICT사업본부