KnowledgeBase 설치/적용 이슈 주요 사례

SSL 인증서의 배상금(Warranty) 이란?

같은(Single,Wildcard../DV,OV...) 종류의 SSL 인증서에서 가격 차이를 만들어 내는 가장 큰 부분이, 배상금(Warranty) 입니다. 그런데 배상금은 왜 필요할까요?.

만약, SSL 인증서를 적용한 웹사이트에서 암호화된 SSL 패킷이 해킹되어 개인정보 또는 신용카드 같은 금융정보가 누출되어 피해가 발생한 경우 그 손해는 누가 보상을 해줘야 할까요? 그것은 웹사이트 운영자가 아닌 SSL 인증서 발급자(CA) 가 책임을 지는 것입니다.

암호화 기술이 발달하는 만큼 해킹 기술도 발달하기 때문에 SSL/TLS 인증서도 점점 강력한 암호화를 사용하게 됩니다. 그렇지만 해킹도 가능하므로 100% 완벽하지 않습니다. 그래서 SSL 암호화 기능을 활성화 할수 있는 인증서를 제공하는 CA 사업자도 그런 부분에 대비하기 위해서 상품별로 차이를 둔 배상금(Warranty) 정책을 가지고 있습니다.

참고. Comodo 의 배상금 약관/정책 : https://www.comodo.com/repository/docs/SSL_relying_party_warranty.php

현재 운영하는 웹사이트에 SSL 적용시 검토 사항중 하나는, 개인정보/금융정보/쇼핑거래정보 같은 중요한 데이터를 다루는 웹사이트라면 적절한 배상금을 제공하는 인증서를 선택해야 합니다. 운영하는 웹서비스 규모와 맞지 않게 너무 큰 배상금이나 너무 작은 배상금도 적절하지 않습니다. (배상금 차이가 SSL 상품별 기술적인 차이는 아닙니다)

최근 개인 웹사이트 소유자들로 부터 유행하는, 무료 SSL 인증서인 "Let's Encrypt / StartSSL / WoSign 등등" 을 개인적인 단순 웹사이이트가 아닌 비지니스 웹사이트에 적용하는것은 절대 권장하지 않습니다. 보안 사고는 예상치 못한 시점에 찾아올 수 있으며, 만약 피해 보상과 같은 상황 발생시 대응 수단을 갖추고 있어야 합니다.