KnowledgeBase 설치/적용 이슈 주요 사례

SSL 인증서의 배상금(Warranty) 이란?

같은(Single,Wildcard../DV,OV...) 종류의 SSL 인증서에서 가격 차이를 만들어 내는 가장 큰 부분이, 배상금(Warranty) 입니다. 그런데 배상금은 왜 필요할까요?.

SSL 인증서를 적용하는 가장 큰 목적은, 네트워크 패킷 암호화하여 중간에 누군가 들여다 볼수 없게 하기 위함이며, 이것을 통해서 SSL 인증서 적용의 본래 목적, SSL 기능 자체는 달성한것입니다. 국제 공인 Comodo, GeoTrust, Thawte, RapidSSL 등의 인증서를 이용하는 것은 외부 공개 기관으로부터 공식적으로 검증을 받은 인증서를 적용했다는 보증입니다.

만약, SSL 인증서를 적용한 웹사이트에서 암호화된 SSL 패킷이 위변조되어 신용카드 같은 금융정보가 누출되어 금전적 피해가 발생한 경우 또는 CA에서 SSL 의 유효성 검사를 제대로 하지 못해서 범죄자의 악의적인 이용으로 발생하는 금전적 손해는 누가 보상을 해줘야 할까요? 그것은 웹사이트 운영자가 아닌 SSL 인증서 발급자(CA) 가 책임을 지는 것입니다.

암호화 기술이 발달하는 만큼 해킹 기술도 발달하기 때문에 SSL/TLS 인증서도 점점 강력한 암호화를 사용하게 됩니다. 그렇지만 해킹도 가능하므로 100% 완벽하지 않습니다. 그래서 SSL 암호화 기능을 활성화 할수 있는 인증서를 제공하는 CA 사업자도 그런 부분에 대비하기 위해서 상품별로 차이를 둔 배상금(Warranty) 정책을 가지고 있습니다.

참고. Comodo 의 배상금 약관/정책 : https://www.comodo.com/repository/docs/SSL_relying_party_warranty.php

현재 운영하는 웹사이트에 SSL 적용시 검토 사항중 하나는, 개인정보/금융정보/쇼핑거래정보 같은 중요한 데이터를 다루는 웹사이트라면 적절한 배상금을 제공하는 인증서를 선택해야 합니다. 운영하는 웹서비스 규모와 맞지 않게 너무 큰 배상금이나 너무 작은 배상금도 적절하지 않습니다. (배상금 차이가 SSL 상품별 기술적인 차이는 아닙니다)

배상금 청구시 보상 받는 주체는, 금전적 피해를 본 최종 사용자이며 SSL을 발급 받은 웹사이트 운영자/소유자가 아닙니다. 그래서 웹사이트 운영자는 자사 사이트에서 이용 고객의 금전적 피해 발생시 해당 손해액을 충분히 커버할수 있는 배상금의 SSL 인증서를 선택해야 합니다. 인증서의 배상금이 아예 필요가 없는것이 아닙니다.

"SSL 인증서의 배상금이 없는 상황에서 고객의 피해 발생시 그 손해의 배상은 모두 웹사이트 운영자/소유자가 전적으로 책임을 져야 합니다"

최근 개인 웹사이트 소유자들로 부터 유행하는, 무료 SSL 인증서인 "Let's Encrypt / StartSSL / WoSign 등등" 을 개인적인 단순 웹사이트가 아닌 비지니스/금전거래 웹사이트에 적용하는것은 절대 권장하지 않습니다. 보안 사고는 예상치 못한 시점에 찾아올 수 있으며, 만약 피해 보상과 같은 상황 발생시 대응 수단을 갖추고 있어야 합니다.