뉴스 본문

전 세계 시장점유율 50% 구글 크롬 브라우저 정책 변화에 따라 EV SSL의 수요 증가 예상

DV SSL 취약점을 이용한 사이버 범죄의 증가도 EV SSL 시장 성장을 견인하는 한 축

IT 인프라 전문 보안 기업 닷네임코리아(대표: 강희승)가 구글(Google) 크롬(Chrome) 브라우저 정책 변화와 사이버 범죄의 고도화에 따라 고신뢰 SSL 시장이 성장할 것으로 진단했다. SSL은 데이터 암호화를 통해 웹 브라우저와 방문자 간의 데이터 전송을 암호화하는 HTTPS 통신규약이다. SSL은 인증 방법에 따라 DV(Domain-Validated), OV(Organization-Validated), EV(Extended-Validation) 세 가지 유형으로 나누어 진다. 

DV는 도메인 사용 권한만 심사하여 인증 절차가 간편하지만 그만큼 신뢰 수준은 낮다. OV는 추가로 조직에 대한 인증을 필요로 하여 DV보다 높은 신뢰를 제공하고, EV는 조직과 담당자 인증을 거쳐 가장 높은 신뢰를 제공한다.

닷네임코리아는 DV, OV, EV SSL 시장이 전체적으로 성장하는 가운데, 신뢰가 낮은 DV에서 점차적으로 가장 신뢰할 수 있는 EV로 수요가 이동하면서 EV SSL 시장이 활성화될 것으로 내다봤다.

현재까지 SSL 시장을 견인했던 것은 DV SSL이다. Let’s Encrypt, Safenut 등 무료로 DV SSL를 제공하는 플랫폼이 등장하기 시작하면서 급속도로 HTTPS 사용률이 증가했다. 작년Let’s Encrypt에서 발급한 DV SSL 수는 1억 개 이상에 달하며, 작년 대비 DV SSL 전체 수요는 약 335% 증가했다.

구글은 SSL 확산을 촉진시키기 위하여 지난 2월 크롬 68 버전부터 SSL이 적용된 사이트가 아니면 크롬 브라우저 상에서 ‘안전하지 않음(Not Secure)’이라고 표기하겠다고 밝혔다.

구글의 ‘안전함(Secure)’ 표기 정책에 따라 자연스럽게 SSL 수요가 커지게 되면서 저가 또는 무료로 배포하는 DV SSL이 더욱 주목 받기 시작했다. 무료DV SSL인증서는 저렴한 비용과 쉽고 빠르게 발급된다는 점 때문에 많은 개인과 기업들이 선호하게 됐다.

그러나 DV SSL의 폭발적인 성장 속에서 적지 않은 우려가 나오고 있다.

전문가들은 DV SSL을 이용한 피싱/파밍 범죄의 증가를 지적한다. 명확한 인증 절차 없이 쉽게 발급된다는 점을 이용하여 DV SSL을 적용한 피싱 사이트를 만들면, 주소창에 ‘안전함’이라는 표기 때문에 일반인들이 의심 없이 피싱 사이트를 정상으로 인식하게 된다. 안전한 사이트로 둔갑한 피싱 사이트 피해는 급속도로 늘고 있는 추세다.

브라우저 기술표준 협의체(CA/B Forum)는 이 같은 SSL에 대한 크롬 표기 정책을 문제 삼고, 사용자에게 막연한 정보를 제공하는 것이 아니라 명확하게 정의된 보안 정보를 제공하여 혼란을 막아야 한다고 강조했다.

심지어 DV SSL은 개인적인 피싱 피해뿐 아니라 대형 사고도 일으킬 수 있다는 점도 지적된다. 

작년 11월 빗썸 서버 과부하로 서비스가 일시 중단됐다. 가상화폐 거래는 일시 중단되었고, 해당 사건으로 피해를 본 투자자들의 청원이 빗발쳤다. 사고 원인 조사 중 빗썸은 사이트에 SSL을 적용하긴 했지만, 가장 높은 보안 등급인 EV SSL를 사용하지 않은 것으로 밝혀졌다.

이 같은 상황 속에서 구글은 인터넷 환경이 기본적으로 안전하다는 아이디어를 사용자에게 제공하는 것을 목표로 SSL을 적용한 사이트에 ‘안전함’ 표기를 없애고, SSL을 적용하지 않은 사이트에는 강력한 패널티를 부여하기로 결정했다.

올해 9월 출시될 크롬 69 버전부터 SSL이 적용된 사이트라도 이제 더 이상 주소창에 ‘안전함’ 문구조차 띄우지 않는다. 반대로 SSL이 적용되지 않은 사이트에서 데이터를 입력하는 경우 ‘안전하지 않음’이라는 문구가 빨간색으로 변경되어 보다 직관적인 변화가 있을 예정이다.

크롬 69 버전부터 HTTPS 연결 시 ‘안전함’ 표기가 삭제된다.

크롬 70 버전에서는 HTTP 페이지에서 데이터 입력 시 ‘안전하지 않음’ 표기가 빨간색으로 즉시 변경된다.

크롬의 전 세계 시장점유율은 50%가 넘는다. 국내에서도 마찬가지로 50%를 상회한다. 저가 인증서를 이용한 피싱/파밍 피해 사례가 늘어나는 추세 속에서 보다 안전한 브라우저 환경을 추구하는 크롬의 정책 변화가 주는 영향은 상당할 수밖에 없다. 이러한 흐름이 고신뢰 SSL에 대한 수요를 끌어올릴 것이라는 게 닷네임코리아의 관측이다. 

강희승 닷네임코리아 대표는 "사용자가 사이트가 안전하고 신뢰할 수 있는지 명확히 확인할 수 있는 인증서는 EV SSL뿐”이라며, “기업의 입장에서도 이제는 더 이상 SSL을 적용한다고 해서 ‘안전하다’는 인식을 심어줄 수 없고, 전 세계적으로 SSL과 웹 페이지 신뢰에 대한 문제의식이 확산됨에 따라 EV SSL 시장이 활성화될 것으로 전망한다”고 말했다.

EV SSL은 웹브라우저와 웹서버간의 암호화 통신 시, 사용자에게 서버의 안전성과 신뢰성을 전달하기 위하여 브라우저 주소 창을 녹색으로 변화시키고, 명확하게 회사명이 노출되기 때문에 누구라도 쉽게 구별할 수 있다. 까다로운 신원확인을 통해 복잡한 심사과정을 거치고 피싱/파밍 공격 차단 기능을 보유하고 있어 클라이언트는 일반 SSL보다 더 안심하고 인터넷 사용을 즐길 수 있다.

한편, 닷네임코리아는 SSL 전문 브랜드 '애니서트'를 통해 안정적으로 EV SSL을 공급하고 있으며, 지속적으로 클라우드 및 보안 컨설팅을 제공하고 있다.