HTTPS 자물쇠 뒤에 숨겨진 권력 구조
웹사이트 주소창 옆에 있는 자물쇠 아이콘, 다들 한 번쯤 보셨을 거예요. 이게 HTTPS, 즉 통신이 암호화됐다는 표시인데요. 그런데 이 자물쇠가 "진짜 그 사이트가 맞다"는 걸 어떻게 증명하는지 생각해보면 좀 묘해요. 우리는 인증 기관(CA, Certificate Authority) 이라는 제3자를 신뢰하고 있거든요. Let's Encrypt, DigiCert, GlobalSign 같은 곳들이요. 이들이 "이 도메인은 진짜야" 하고 서명해주는 인증서가 있어야 자물쇠가 켜져요.
이 구조를 PKI(Public Key Infrastructure, 공개키 기반 구조) 라고 부르는데요, 잘 돌아가긴 하지만 결국 "몇몇 거대 기관을 무조건 믿어야 한다"는 전제 위에 서 있어요. 만약 어떤 CA가 해킹당하거나, 정부 압력에 굴복하거나, 실수로 잘못된 인증서를 발급하면? 실제로 2011년 DigiNotar 사건 때 그런 일이 일어났어요. 그래서 "제3자 없이도 도메인의 진짜 주인을 증명할 방법이 있을까?"라는 질문이 오래전부터 있어왔어요. 이걸 자기주권 PKI(Self-sovereign PKI) 라고 불러요.
자기주권이라는 말, 무슨 뜻일까
자기주권(self-sovereign)이라는 단어가 좀 거창한데, 쉽게 말하면 "누구의 허락도 필요 없이 내가 직접 증명한다" 는 뜻이에요. 신분증을 정부가 발급해주는 게 아니라 내가 만든 디지털 서명으로 "이게 나야" 하는 거랑 비슷해요.
buffrr.dev의 블로그 글은 "우리가 그 목표에 얼마나 가까이 왔는지" 점검해보는 내용이에요. 비슷한 컨셉의 "Are we X yet?" 시리즈가 러스트 진영에서 유명한데("Are we web yet?", "Are we GUI yet?"), 그 형식을 따온 거예요. 결론부터 말하면 "많이 진전했지만 아직 부족하다" 예요.
핵심 후보 기술들
글에서 다루는 기술들을 하나씩 풀어볼게요.
첫째, DANE(DNS-based Authentication of Named Entities) 가 있어요. 이게 뭐냐면, TLS 인증서의 지문을 DNS에 박아두는 방식이에요. "내 도메인 example.com의 인증서는 바로 이거야" 하고 DNS에 명시해두면, 브라우저가 이걸 확인해서 CA 없이도 검증할 수 있어요. 단, 이게 안전하려면 DNS 자체가 위조 불가능해야 해서 DNSSEC가 필수예요. 문제는 메이저 브라우저들이 DANE을 거의 지원 안 한다는 거예요. 크롬, 파이어폭스 모두 "검증 비용 대비 이득이 적다"는 이유로 외면하고 있죠.
둘째, Handshake와 ENS(Ethereum Name Service) 같은 블록체인 기반 네임 시스템이 있어요. 도메인 소유권을 블록체인에 기록해서, 누가 진짜 주인인지를 탈중앙화된 방식으로 증명하는 거예요. .eth, .crypto 같은 도메인을 들어본 적 있을 거예요. 이론적으론 우아하지만, 일반 브라우저에서 안 되고 별도 확장 프로그램이 필요하다는 게 큰 장벽이에요.
셋째, Namecoin, Bitcoin Name System 같은 더 오래된 시도도 있고요. DID(Decentralized Identifier) 표준도 W3C에서 진행 중이에요.
왜 아직 이런 시스템이 주류가 되지 못했을까
핵심 이유는 사용자 경험이에요. 자기주권 PKI가 아무리 멋져도, 사용자가 "브라우저에서 자물쇠가 안 보인다"고 느끼면 의미가 없거든요. 결국 크롬과 파이어폭스가 채택해줘야 일반 사용자에게 닿는데, 이들은 "안정성과 호환성"을 무엇보다 중시해요. 새로운 검증 메커니즘을 추가하는 건 보안 위험과 성능 부담이 따르니까 매우 보수적이에요.
또 하나는 수익 구조예요. Let's Encrypt가 무료 인증서를 풀어버리면서 기존 CA 비즈니스가 흔들렸지만, 여전히 EV 인증서 같은 영역에선 큰 수익이 나거든요. 이 시장 참가자들이 굳이 자기주권 PKI로 이동할 동기가 약해요.
그리고 DNSSEC 자체의 채택률도 발목을 잡아요. 한국의 .kr 도메인은 DNSSEC를 지원하지만, 실제로 켜둔 도메인은 한 자릿수 퍼센트에 불과해요. 토대가 약하니까 그 위에 올라가는 DANE도 제 힘을 못 쓰는 거죠.
한국 개발자에게 주는 시사점
당장 회사 서비스에 자기주권 PKI를 도입할 일은 없을 거예요. 하지만 알아두면 유용한 이유가 몇 가지 있어요.
첫째, 보안 아키텍처를 설계할 때 "우리는 어떤 신뢰 모델 위에 서 있는가"를 의식하게 돼요. Let's Encrypt 같은 외부 CA에 의존하는 것의 위험을 이해하면, 사내 PKI나 mTLS 같은 대안을 고려하기 쉬워져요. 둘째, Web3 진영에서 이 분야가 활발해서, 블록체인 관련 일을 하게 된다면 ENS, Handshake 같은 개념이 분명히 나와요. 셋째, DNS와 TLS의 깊은 동작을 공부하는 좋은 입구예요. DNSSEC, DANE, OCSP, CT(Certificate Transparency) 같은 개념을 이참에 한 번 정리해보면 인프라 엔지니어로서 시야가 확 넓어져요.
마무리
자기주권 PKI는 아직 "먼 미래"지만, 그 방향성 자체는 의미가 있어요. 우리가 매일 쓰는 자물쇠 아이콘이 사실은 거대한 신뢰 카르텔 위에 서 있다는 걸 인식하는 것만으로도 출발점이 되거든요.
여러분은 CA에 의존하는 현재 PKI 구조에 대해 어떻게 생각하세요? 탈중앙화된 인증이 정말 필요하다고 느끼는 순간이 있나요?
🔗 출처: Hacker News
TTJ 코딩클래스 정규반
월급 외 수입,
코딩으로 만들 수 있습니다
17가지 수익 모델을 직접 실습하고, 1,300만원 상당의 자동화 도구와 소스코드를 받아가세요.
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공