• 간편 가입 하세요!
• 로그인

MPIC는 2025년부터 CA(&Browser) 포럼에서 의무화된 새로운 도메인 소유권 검증(Domain Validation) 보안 강화 규정입니다.

기존에는 하나의 지점(보통 CA 검증 서버에서만)에서만 도메인이 응답하는지 확인했는데, 이 방식은 BGP 하이재킹, VPN 우회, 또는 특정 지역 DNS 스푸핑 등으로 쉽게 우회될 수 있었습니다.

MPIC는 이런 공격을 막기 위해 **여러 다른 네트워크 관점(Multi-Perspective)**에서 동시에 도메인 소유권을 검증하도록 강제하는 정책입니다.

그러므로, "여러 다른 네트워크 관점" 즉, 해외 여러곳에서 모두 확인이 되지 않으면, SSL 인증서 발급이 되지 않는다는 뜻입니다.



■ Multi-Perspective란 구체적으로 무엇을 의미하나?

CA는 인증서를 발급할 때 아래와 같이 서로 완전히 다른 네트워크 위치에 있는 여러 에이전트(Validator)에게 동시에 검증을 요청합니다.

예제 : CA 마다 지역 분포가 다름)

미국 버지니아 (AWS us-east-1)
독일 프랑크푸르트 (Hetzner)
싱가포르 (AWS ap-southeast-1)
일본 도쿄 (GCP asia-northeast1)
남아프리카 또는 브라질 등 추가 대륙

지역은 각 인증기관 CA 별로 상이할수 있습니다.  3~5곳 이상의 서로 다른 대륙/ASN에서 동일한 DCV 인증값이 확인되어야만 SSL 인증서 발급이 승인됩니다. 



■ 핵심 내용 요약

■ MPIC 때문에 인증서 발급이 실패한다면?  (가장 흔한 원인)

방화벽/보안 그룹에서 특정 국가 IP 차단 (HTTP 인증)
→ 미국, 유럽, 아시아, 남미 등 여러 대륙의 IP를 모두 허용해야 함 (80,443 완전 해제 권장)

Cloudflare 같은 Proxy 이용 (HTTP 인증)
→ 일시적으로 Proxy 네트워크 구성 해제 필요 (Proxy 에서 CA 접근을 차단할수 있음)

CDN 또는 한국 일부 IDC의 지역별 라우팅 문제 (HTTP,DNS 인증)
→ KT, LG U+ 등 일부 국내 ISP에서 해외 특정 지역으로의 연결이 불안정할 수 있음
→ DNS 테스트 조회 : https://www.whatsmydns.net/

고객측 DNS 서버에서 일부 지역 제한?을 하는 경우 (DNS 인증)
→ 대부분 고객측 도메인이 설정된 DNS 서버에서의 응답 문제이므로, 몇시간 또는 몇일 대기 필요
→ 몇일 후에도 발급이 안되는 경우에는, 다른 CA 상품으로 변경 필요