[아이티데일리] SSL 인증서 시장에 판도 변화가 예상된다. 다린 피셔 구글 부사장은 지난 7월 28일 “내년 4월 정식 출시 예정인 크롬 66버전부터 2016년 6월 1일 이전 발급된 시만텍 인증서를 신뢰하지 않는다”고 밝혔다. 그는 또한 “내년 하반기 출시 예정인 크롬 70버전부터는 시만텍이 발급한 모든 인증서를 신뢰하지 않는다”고 덧붙여 SSL 인증서 시장에서 시만텍의 영향력 축소는 불가피해 보인다.

실제 구글은 지난 3월 “시만텍의 부정 발급된 인증서 127건을 발견했고, 지난 수년간 발급된 시만텍의 인증서 중 3만 건에 문제가 있어 보인다”고 발표했다. 전세계 브라우저 점유율이 50%가 넘는 ‘크롬’뿐만 아니라 ‘모질라’ 등의 다른 브라우저 업체들도 구글의 결정에 동참하면서 문제는 계속 확대되고 있다. 현재, 시만텍에서 제공하는 인증서는 Symantec(VeriSign), Thawte, GeoTrust, RapidSSL 등이다.

결국 시만텍은 지난달 초 SSL/TLS 사업을 디지서트(DigiCert)에 넘기기로 했다고 발표했다. 하지만, 국내 시만텍 인증서 공급업체의 파트너 지위 승계에 대한 사항 등은 구체적으로 언급된 것이 없는 상황이다.

이런 상황에서 Symantec(Verisign), Thawte, GeoTrust, RapidSSL과 같은 시만텍 브랜드의 SSL 인증서를 사용하고 있는 웹사이트들의 고민은 깊다. 시만텍 이외에서 발급된 인증서로 교체해야 할지를 고민하지 않을 수 없는 것이다. 교체하지 않을 경우 이용자가 웹사이트에 접속하면 보안상 안전하지 않다는 ‘보안 경고’가 뜨는 낭패를 당할 수 있기 때문이다.

시만텍 인증서를 신뢰하지 않는다는 구글의 발표 이후 실제 시만텍의 SSL 인증서를 사용하던 상당수의 웹사이트가 타 인증서로 교체되는 등, 시만텍의 글로벌 시장 점유율이 줄어든 것으로 나타나고 있다.

World Wide Web 기술 조사 기관인 'W3테크'의 'SSL인증서 발급기관 시장점유율 트렌드'를 보면, 점유율 1위인 코모도는 40%대의 점유율을 꾸준히 유지하며 점유율 1위를 계속 유지하고 있다. 반면, 2016년 8월1일 기준 23.0% 였던 시만텍의 점유율은 꾸준히 하락해 1년만에 14.0%로 크게 떨어졌음을 알 수 있다.

대신 아이덴트러스트(IdenTrust)가 2위로 올라섰다. 그러나 늘어난 점유율은 대부분 무료인증서 발급을 하고 있는 렛츠인크립트(Let’s Encrypt)이다. 렛츠인크립트는 지난해 초 글로벌 최대 결제 시스템인 Paypal의 피싱사이트 15,270여 개의 인증서를 발급해 문제가 됐었다. 현재도 해커가 피싱사이트를 정규 사이트로 보이도록 하기 위해 가장 흔히 사용하는 것으로 알려져 있다.

국내의 경우는 코모도가 45%의 시장 점유율을 가지고 있으며, 시만텍은 27% 이상으로 해외보다 높은 수준을 유지하고 있다. 국내 인증서 시장의 변화를 예상할 수 있는 대목이다.

한 보안 업계 담당자는 “무료이거나 가격이 싼 저가형 인증서는 그만큼 보안성이 약할 수밖에 없다”면서, “안정된 서비스와 규정된 기준을 가지고 인증서 발급을 해 주는 공신력 있는 업체에서 발급받는 것이 좋다”고 강조했다.

한편, 현재 우리나라에서 유일하게 SSL 인증서 발급 권한을 보유한 업체는 공인인증기관 중 한곳인 한국정보인증뿐이다. 한국정보인증은 시장 점유율 1위인 코모도 인증서의 유일한 한국 총판이자 인증기관이다.