미국 국방부 사이버 보안 사이트의 TLS 인증서가 만료된 채 방치되고 있다

보안을 책임지는 기관의 보안 인증서가 만료되다

미국 국방부(DoD) 산하의 사이버 보안 기관인 DISA(Defense Information Systems Agency)가 운영하는 cyber.mil 사이트에서 TLS 인증서가 만료된 채 수일간 방치되는 일이 발생했습니다. 이 사이트는 STIG(Security Technical Implementation Guide)라는 보안 설정 가이드라인의 공식 배포처로, 미군과 미국 정부 기관은 물론이고 전 세계 많은 조직이 보안 컴플라이언스를 위해 참조하는 핵심 리소스입니다.

TLS(Transport Layer Security) 인증서는 웹사이트와 사용자 간의 암호화 통신을 보장하는 디지털 인증서입니다. 인증서가 만료되면 브라우저는 "이 사이트는 안전하지 않습니다"라는 경고를 표시하고, 사용자가 명시적으로 위험을 감수하고 진행하지 않는 한 접속이 차단됩니다. 일반 웹사이트에서도 문제이지만, 보안 가이드라인을 배포하는 정부 기관 사이트에서 이런 일이 벌어졌다는 것은 상당한 아이러니입니다.

왜 이것이 단순한 실수 이상인가

"인증서 만료가 뭐 대수냐"고 생각할 수 있지만, 이 사건이 갖는 함의는 꽤 깊습니다.

첫째, STIG 다운로드의 무결성 문제입니다. STIG 파일은 서버, 네트워크 장비, 운영체제 등의 보안 설정을 규정하는 문서로, 이를 기반으로 보안 감사(audit)가 이루어집니다. TLS가 제대로 작동하지 않는 채널을 통해 다운로드된 파일은 중간자 공격(MITM)에 의해 변조되었을 가능성을 배제할 수 없습니다. 보안 가이드라인 자체가 변조될 수 있는 경로로 배포되고 있다면, 그 가이드라인의 신뢰성 전체가 흔들립니다.

둘째, 인증서 수명주기 관리(Certificate Lifecycle Management)의 중요성을 상기시킵니다. TLS 인증서 만료는 놀라울 정도로 흔한 사고입니다. 2020년에는 Microsoft Teams가 인증서 만료로 수 시간 동안 장애를 겪었고, Equifax의 대규모 데이터 유출 사건에서도 만료된 인증서 때문에 침입 탐지 시스템이 작동하지 않았던 것이 한 원인이었습니다. Let's Encrypt와 자동 갱신 도구(certbot 등)가 보편화되면서 많이 개선되었지만, 정부 기관처럼 자체 PKI(공개키 인프라)를 운영하는 곳에서는 여전히 수동 프로세스에 의존하는 경우가 많습니다.

셋째, 조직의 보안 성숙도를 나타내는 지표입니다. 인증서 만료 자체는 기술적으로 사소한 문제이지만, 이를 사전에 감지하고 자동으로 갱신하는 체계가 없다는 것은 더 근본적인 운영 문제를 시사합니다. 모니터링, 자동화, 인시던트 대응 프로세스 중 어딘가에 구멍이 있다는 뜻이기 때문입니다.

인증서 자동화, 어디까지 왔나

현대적인 인프라에서는 인증서 만료가 발생할 이유가 거의 없습니다. Let's Encrypt는 90일 주기의 무료 인증서를 제공하며, certbot이나 Caddy 같은 도구는 갱신을 완전히 자동화합니다. AWS의 ACM(Certificate Manager), GCP의 관리형 SSL 인증서 등 클라우드 서비스도 인증서 관리를 추상화해줍니다.

하지만 정부 기관이나 대기업처럼 내부 CA(Certificate Authority)를 운영하는 환경에서는 상황이 다릅니다. 내부 정책상 외부 CA를 사용하지 못하거나, 인증서 발급에 여러 단계의 승인 프로세스가 필요한 경우가 있습니다. HashiCorp Vault, Venafi, EJBCA 같은 엔터프라이즈 인증서 관리 도구가 이 문제를 해결하기 위해 존재하지만, 도입과 운영에 별도의 노력이 필요합니다.

최근에는 ACME(Automatic Certificate Management Environment) 프로토콜을 내부 CA에도 적용하려는 움직임이 있습니다. Smallstep의 step-ca 같은 오픈소스 도구를 사용하면 내부 PKI에서도 Let's Encrypt와 동일한 자동 갱신 워크플로우를 구현할 수 있습니다.

한국 개발자에게 주는 시사점

국내에서도 인증서 만료로 인한 서비스 장애는 꾸준히 발생합니다. 특히 여러 서비스를 운영하는 팀에서 일부 서브도메인의 인증서를 누락하거나, 내부 서비스 간 mTLS 인증서를 관리하지 못하는 경우가 흔합니다.

실무적으로 권장하는 체크리스트는 다음과 같습니다:

• 모든 인증서의 만료일을 모니터링하세요. Prometheus의 probe_ssl_earliest_cert_expiry 메트릭이나, 간단한 스크립트로 만료 30일 전 알림을 설정하세요.
• 가능하면 자동 갱신을 설정하세요. 외부 서비스는 Let's Encrypt + certbot, 내부 서비스는 step-ca나 Vault PKI를 검토해보세요.
• 인증서 인벤토리를 유지하세요. 팀이 관리하는 모든 도메인과 인증서의 목록, 만료일, 갱신 방법을 문서화하세요.

정리

미 국방부 사이버 보안 사이트의 인증서 만료는 기술적으로는 사소한 사고이지만, 보안을 전파하는 기관조차 기본적인 인증서 관리에 실패할 수 있다는 교훈을 줍니다. 여러분의 조직에서는 인증서 만료를 어떻게 관리하고 계신가요? 자동화가 되어 있나요, 아니면 캘린더 알림에 의존하고 있나요?