WebPKI(Web Public Key Infrastructure)의 취약점, 당신의 웹 보안은 안전한가?

Entrust는 CPS(Certification Practice Statement) 미준수에도 불구하고, 인증서 발급을 지속하려다 Google Chrome의 제재를 받았다. Microsoft는 대규모 인증서 갱신 지연으로 인해, WebPKI의 신뢰성을 훼손했다. 이러한 사례는 인증 기관(CA)의 책임감 부족과 WebPKI 시스템의 취약성을 보여준다. 특히, 지연된 인증서 폐기(Delayed Revocation)는 보안 사고 발생 시, 시스템의 대응 능력이 부족함을 드러낸다.

단기 인증서(Short-lived Certificates)는 인증서 만료 주기를 짧게 하여, 보안 사고 발생 시 피해 범위를 줄이는 효과가 있다. 자동화된 인증서 관리 시스템(ACME)을 통해, 단기 인증서의 갱신 및 관리를 효율적으로 수행할 수 있다. ACME(Automatic Certificate Management Environment) 갱신 정보(ARI)는 갱신 시점을 알려주는 기능을 제공하여, 인증서 만료로 인한 서비스 중단을 방지한다. 단기 인증서의 자동 갱신(Automatic Renewal)은 WebPKI의 보안성을 강화하는 핵심 요소로 부상하고 있다.

공개된 WebPKI에 대한 의존도를 줄이기 위해, 자체 CA(Certificate Authority)를 구축하는 방안이 제시된다. 자체 CA는 내부 시스템 간의 통신에 사용되는 인증서를 관리하며, WebPKI의 복잡성과 관련된 문제들을 회피할 수 있다. 특히, 내부 서비스(Internal Services)의 보안 강화에 효과적이며, 데이터 격리 아키텍처(Data Isolation Architecture)를 구축하는 데 기여한다. 하지만, 자체 CA 구축은 관리의 어려움과 비용 증가를 수반한다.

Google Chrome과 같은 브라우저의 역할 증대가 WebPKI 생태계의 개선에 중요한 영향을 미친다. 브라우저는 CA의 부적절한 행위에 대한 제재를 가하고, CT(Certificate Transparency) 로그를 통해 인증서의 투명성을 확보한다. 또한, Root Program은 CA의 자격 요건을 강화하고, 부적절한 CA를 제거함으로써 WebPKI의 신뢰도를 높인다. CA 규제 강화(CA Restrictions)는 WebPKI의 보안 수준을 향상시키는 핵심 과제이다.