TLS 보안인증서의 유효 기간 3년→1년으로 축소…수동 관리에 의한 공백 발생

[산업일보]
수많은 인증서를 수동으로 관리하다보면 작업자가 갱신기간을 놓치는 실수를 할 수 있고, 이로 인해 기업은 시간적, 물질적 피해를 입을 수 있는데, 아태 지역 기업은 인증서 관련 업무에서 다른 지역보다 더 큰 어려움을 겪는 것으로 조사됐다.

디지서트(DigiCert)가 최근 발표한 ‘2021 PKI 자동화 현황 보고서(2021 State of PKI Automation Survey)’에 따르면, 아시아태평양 지역의 일반적인 기업이 4만 개 이상의 공개 및 비공개 PKI(Public Key Infrastructure, 공개키 기반구조) 인증서를 관리하고 있으며, 65%의 기업은 인증서 관리에 소요되는 시간에 대해 우려를 보이고 있다.

또한 인증서 관리의 가시성에 대해서도 부족하다고 답했으며, 인증서 관리에 세 곳 이상의 부서가 동원되어 혼란을 가중시킨다고 답한 기업은 35%에 달했다.

보고서는 디지서트가 시장조사기관 레레즈 리서치(ReRez Research)와 함께 북미, 유럽∙중동∙아프리카(EMEA), 아시아태평양(APAC) 및 라틴아메리카 지역에서 천 명 이상의 직원을 보유한 400개 기업의 IT 전문가를 대상으로 실시한 설문조사 결과를 바탕으로 하고 있다.


이에 따르면, 아태 지역 기업은 일반적으로 약 천 개의 인증서가 사실상 제대로 관리되지 않고 있으며, IT팀이 인지하지 못하고 있거나 관리하지 않는 ‘비인가’ 인증서를 자주 발견한다고 답한 비율이 절반(48%) 가량을 차지하며 전체 설문 지역 중 가장 높은 수치를 기록했다.

설문 조사에 참여한 글로벌 전체 지역 기업의 3분의 2가 예상치 못한 인증서 만료로 인해 운영 중단을 겪었다. 특히 아태 지역 기업은 3분의 1 이상(35%)이 지난 6개월 동안에만 5-6회의 운영 중단을 겪었다고 답하며 글로벌 전체 지역 평균(25%)보다 인증서 관리에 더 큰 어려움을 겪는 것으로 조사됐다.

디지서트 관계자는 기업이 관리해야 하는 인증서의 양이 최근 급격하게 증가했다며 2018년부터 공개 TLS(Transport Layer Security) 인증서의 유효 기간이 3년에서 1년으로 줄어들면서 많은 기업이 디지털 인증서 워크플로를 수동으로 관리하는 데 점점 더 어려움을 겪고 있다고 지적했다.

또한, 수동 프로세스로는 대량의 인증서를 효과적으로 관리할 수 없으며 인증서 관리 자동화로 보안 및 컴플라이언스 준수를 개선하고 민첩성과 생산성을 향상시켜야 한다고 덧붙였다.