구글, 최상위 인증기관(Root CA) 운영한다

구글이 HTTPS 암호화 통신에 쓰는 SSL 인증서를 직접 만들어 쓰기로 했다.

기존 최상위 인증기관(Root CA) 2곳을 인수해 '구글트러스트서비스(Google Trust Services)'를 운영하기로 한 것이다.

구글은 구글트러스트서비스를 통해 자신과 모기업 지주회사 '알파벳'이 만들고 제공하는 인터넷 기반 제품 및 서비스의 HTTPS 암호화 통신이 안전하다고 보증할 전망이다. SSL 인증서 안전성을 제3자에 의존하지 않겠다는 얘기다.

웹브라우저가 방문한 웹사이트 서버와 HTTPS 암호화 통신을 수행하고 있을 때 주소창에 이런 자물통 아이콘이 표시된다. 서버에 적용된 SSL인증서의 신뢰성이 확인돼야 한다. [사진

지난달 26일 구글 보안 및 프라이버시 엔지니어링 담당자 라이언 허스트(Ryan Hurst)가 작성한 '보안상 더 안전한 웹의 기반'이라는 포스팅에 이같은 구상이 담겨 있다.

[☞참조링크: Google Online Security Blog: The foundation of a more secure web]

허스트의 설명은 이렇게 요약된다.

구글은 전부터 자체 SSL 인증서 발급 조직을 운영했다. 여러 자체 서비스에 빠르고 효율적인 HTTPS 적용을 위해서였다. GIAG2라는 자체 하위 인증기관(subordinate CA)이 그 일을 했다. SSL 인증서 보안성을 외부의 제3자로부터 보장받아야 하는 구조였다. 향후 수요에 대응하기 불충분했다.

구글은 '구글트러스트서비스'라는 신설조직으로 스스로 제3자 역할을 하는 최상위 인증기관 역할을 수행하기로 했다. 글로벌사인(GlobalSign) R2와 R4라는, 외부 최상위 인증기관 2곳도 인수했다. 이를 통해 구글과 알파벳을 위한 HTTPS 암호화 통신용 SSL 인증서를 지원한다. 하위 인증기관 GIAG2도 계속 운영한다.

구글이 자체서비스에 필요한 SSL인증서의 보안성을 스스로 보증하기 위해 최상위인증기관 업무조직 '구글트러스트서비스'를 신설했다.

허스트는 구글트러스트서비스가 보증하는 루트인증서 목록, 공개키 암호화 수준, SHA1 해시값, 유효기간을 함께 게재했다.

GTS Root R1과 R2는 RSA 4096, SHA-384로 암호화된 공개키를 쓰며 2036년 6월22일까지 유효하다. GTS Root R3와 R4는 ECC 384, SHA-384 암호화 공개키를 쓰며 2036년 6월 22일까지 유효하다. GS Root R2는 RSA 2048, SHA-1 암호화 공개키를 쓰며 2021년 12월 15일까지 유효하다. GS Root R4는 ECC 256, SHA-256 암호화 공개키를 쓰며 2038년 1월 19일까지 유효하다.

허스트는 온라인 제품 및 서비스 개발자들에게 아래와 같이 첨언했다.

"우리 스스로 최상위 인증기관을 운영하겠다고 선언하긴 했지만, 우리는 여전히 제3자 최상위 인증기관이 보증하는 하위 인증기관을 운영할 것이다. 그래서 우리는 만일 여러분이 구글 자산에 연결되는 코드를 개발하려고 한다면 거기에 믿을만한 최상위 인증기관을 다양하게 포함하길 권한다."

이는 구글트러스트서비스의 최상위 인증기관 역할이 온전히 독립적으로 수행되기까지 다소 시간이 걸릴 수 있기 때문에 나온 조언이다.

구글은 개발자들이 구글트러스트서비스의 루트인증서에만 의존하지 않도록 2가지 교차서명(cross-sign) 옵션을 제공한다고 밝혔다. 하나는 RSA 2048, SHA-256 암호화 공개키를 쓰며 2029년 3월 18일까지 유효한 GS Root R3고 다른 하나는 RSA 2048, SHA-1 암호화 공개키를 쓰며 2022년 5월 21일까지 유효한 GeoTrust다.

구글이 자사와 알파벳의 서비스 및 제품에 HTTPS 암호화 통신을 효율적으로 지원하기 위해서란 명분을 내걸긴 했지만, 스스로 최상위 인증기관 역할까지 수행하게 됨에 따라 인터넷 기술 생태계에서 구글의 영향력은 더욱 강화될 전망이다. 이미 세계 검색, 웹브라우저, 모바일 운영체제 시장 점유율 상위를 점하고 있는 구글의 사업 반경은 기존 최상위 인증기관 또는 다른 이해당사자에 비할 수 없는 수준이다.

구글은 이전부터 HTTPS 암호화 통신을 기반한 차세대 웹 생태계의 영향력을 강화하는 쪽으로 움직여 왔다. 크롬브라우저로 HTTPS 미적용 사이트에 경고를 표시하거나 SSL 인증서 유효성을 추적하는 오픈소스 프레임워크 '인증서 투명성(Certificate Transparency)' 기술을 올해 10월까지 강제 적용하겠다는 방침을 지난해 10월말 내놓은 것도 그런 사례다.