2029년부터 SSL/TLS 보안인증서의 유효기간이 지금의 398일에서 47일로 대폭 단축된다. 이는 애플, 구글, 모질라 등 주요 IT 기업들이 참여한 인증기관 브라우저 포럼(CA/Browser Forum)이 최근 표결을 통해 확정한 업계 표준 변경안으로, 인터넷 보안 체계 전반에 핵심적인 변화를 예고하고 있다.
이 변화의 핵심 목적은 온라인 안전성을 강화하고 인증서 관리의 자동화를 촉진하는 데 있다. 특히 양자컴퓨터 시대에 대비한 ‘암호 민첩성(crypto agility)’ 확보가 필수 과제로 떠오르면서 인증서 유효기간을 줄이자는 논의는 수년 전부터 제기돼왔다. 인증서 유출이나 위조 사례가 지속적으로 발생해온 만큼, 단축된 유효기간은 해커의 공격 기회를 원천적으로 줄이는 데 효과적이라는 평가다. 인증서 변경 시점이 앞당겨질수록 중간자 공격이나 피싱, 도용된 인증서로 인한 침해 가능성도 자연히 낮아질 수밖에 없다.
도입 일정은 단계적으로 진행된다. 오는 2026년에는 200일로, 2027년에는 100일로 줄어든 뒤, 2029년에는 최종적으로 47일로 단축된다. 이 기간 안에 기업들은 전면적인 대응 체계를 마련해야 한다. 특히 많은 수의 인증서를 운용하는 기업들에겐 수작업 갱신은 사실상 불가능해질 전망이다. 이에 따라 인증서 수명주기를 자동으로 관리해주는 ACME와 같은 프로토콜이나 자동화 솔루션 채택이 필수화될 것으로 보인다.
전문가들은 이 조치가 장기적으로는 보안성 개선과 관리 효율화라는 이중 효과를 안길 수 있다고 본다. 하지만 반론도 적지 않다. 개인 블로그나 중소규모 웹사이트 운영자처럼 IT 인프라가 부족한 주체들에겐 47일마다 인증서를 갱신해야 하는 구조가 과도한 부담으로 작용할 수 있기 때문이다. 자동화 시스템을 꾸리는 데 추가적인 인프라 비용이 소요되는 것은 물론, 관련 기술에 익숙하지 않은 사용자들은 갱신 실패로 서비스 중단을 겪을 가능성도 배제할 수 없다.
대기업 역시 예외는 아니다. 글로벌 인증기관 글로벌사인의 제품관리 부사장 모히트 쿠마르는 “47일 주기로 인증서를 관리하려면 수백에서 수천 개 인증서를 실시간으로 갱신할 수 있는 시스템이 기본 전제”라면서, 자동화 도입 없이 대응할 경우 보안 사고 위험이 커질 것이라 경고했다.
이번 변화는 단순한 인증서 기한 조정보다는 훨씬 더 넓은 범위의 전환으로 해석해야 한다. 인터넷 인프라 전반이 ‘사람 중심 관리’에서 ‘자동화 중심의 사이버 방어 체계’로 빠르게 옮겨가는 지점을 보여주는 상징적인 사례다. 보안업계는 물론 일반 기업들과 사용자 모두가 대응 전략을 조속히 마련해야 할 시점이다.