Hacker News 2026.06.10 40

"모두를 위한 암호화" Let's Encrypt가 제재 지역엔 인증서를 막기로 했어요

무슨 일이 있었나요?

인터넷을 HTTPS로 안전하게 만드는 데 가장 큰 공을 세운 주인공을 꼽으라면, 단연 Let's Encrypt예요. 무료로 SSL/TLS 인증서를 발급해 주는 비영리 인증기관(CA)인데요, 이 친구 덕분에 개인 블로그부터 작은 스타트업까지 누구나 공짜로 자물쇠(🔒) 아이콘을 달 수 있게 됐죠. 그런데 이번에 이들의 가입자 약관(Subscriber Agreement)이 1.7 버전으로 개정되면서, "미국이 제재하는 지역에서는 인증서를 사용할 수 없다"는 조항이 새로 들어갔어요.

이게 왜 화제가 됐냐면, Let's Encrypt의 창립 정신이 바로 "Encryption for Everyone(모두를 위한 암호화)"였거든요. 그 '모두'에 예외가 생겼다는 게, 단순한 약관 변경 이상의 무게를 갖는 거예요.

구체적으로 뭐가 바뀌었나

새 약관은 미국 정부가 제재(sanction)를 가한 영토에서 인증서를 사용하는 걸 금지해요. 이게 뭐냐면, 미국 재무부 산하 OFAC라는 기관이 관리하는 제재 목록이 있는데요, 쿠바·이란·북한·시리아, 그리고 크림반도 같은 분쟁 지역이 여기 포함돼요. 이런 지역에 있는 사용자가 Let's Encrypt 인증서를 쓰는 게 약관 위반이 되는 거죠.

여기서 중요한 건 '왜 갑자기'예요. Let's Encrypt는 미국에 본부를 둔 ISRG라는 비영리 단체가 운영하거든요. 미국 법인은 미국 법, 특히 제재법(sanctions law)을 따라야 할 법적 의무가 있어요. 즉 이건 "우리가 그러고 싶어서"가 아니라 "법을 안 지키면 단체 자체가 위험해지니까" 어쩔 수 없이 넣은 방어적 조항에 가까워요. 약관 문서도 기존 1.6 버전과의 차이를 비교(diff) 형태로 공개해서, 정확히 어떤 문장이 추가됐는지 투명하게 보여줬고요.

이게 진짜 인터넷을 막을 수 있을까?

현실적으로 보면, 약관 한 줄로 제재 지역의 HTTPS가 곧바로 끊기는 건 아니에요. 인증서는 도메인 소유를 증명하는 자동화된 절차로 발급되기 때문에, 발급 시점에 '이 사람이 어느 나라에 사는지'를 완벽히 가려내기는 어렵거든요. 그래서 이 조항은 기술적 차단막이라기보다 법적 책임을 명확히 하는 선언의 성격이 강해요. "우리는 제재 지역 사용을 허용하지 않았다"는 근거를 약관에 박아두는 거죠.

업계 맥락

사실 이런 흐름이 Let's Encrypt만의 일은 아니에요. GitHub도 과거에 제재 지역 개발자의 계정을 제한했다가 큰 논란이 됐고, 클라우드·결제·CDN 등 미국에 기반을 둔 거의 모든 인프라 서비스가 비슷한 제재 준수 의무를 안고 있어요. 인터넷이 '국경 없는 공간'이라는 이상과, 실제 인프라는 특정 국가의 법 아래 있는 회사들이 운영한다는 현실이 부딪히는 지점이죠.

경쟁 구도로 보면, 무료 인증서 시장엔 ZeroSSL이나 클라우드 업체들이 끼워주는 자체 CA도 있지만, 이들 역시 대부분 미국이나 서방 법체계 안에 있어서 같은 제약을 받아요. 결국 '미국 법에서 자유로운 무료 글로벌 CA'를 찾기란 현실적으로 쉽지 않다는 게 이번 사건이 드러낸 불편한 진실이에요.

한국 개발자에게 주는 시사점

한국은 제재 대상국이 아니니 당장 인증서가 끊길 걱정은 없어요. 하지만 여기서 꼭 챙겨야 할 교훈이 있어요. 바로 "무료 인프라도 결국 특정 국가의 법과 정책에 묶여 있다"는 점이에요. 글로벌 서비스를 만든다면, 사용자 중 누군가가 제재 지역에서 접속할 수도 있고, 내가 의존하는 CDN·인증서·클라우드가 어느 나라 법을 따르는지가 사업 리스크가 될 수 있거든요.

실무 팁을 드리자면, 인증 인프라에 단일 제공자만 의존하지 않는 구조를 고민해 두는 게 좋아요. ACME 프로토콜은 표준이라서 Let's Encrypt 외의 CA로도 비교적 쉽게 갈아탈 수 있으니, 발급처를 바꿀 수 있는 유연성을 미리 확보해 두는 거죠. '공짜라서 영원히 그대로일 것'이라는 가정은 인프라 설계에서 늘 위험하니까요.