KnowledgeBase 기술자료, 설치/적용 이슈 주요 사례

SSL 인증서의 배상금(Warranty) 이란?

만약, SSL 인증서를 적용한 웹사이트에서 암호화된 SSL 네트워크 통신 패킷이 위변조/탈취 되어 신용카드 같은 금융정보가 누출되어 실제로 "금전적 피해" 가 발생한 경우 또는 CA에서 SSL 의 유효성 검사를 제대로 하지 못해서 범죄자의 악의적인 이용으로 발생하는 금전적 손해는 누가 보상을 해줘야 할까요? 

SSL 인증서로 인한 문제임이 명확한 경우, 이때 책임 소재는 웹사이트 운영자가 아닌 인증기관(CA) 에 있습니다.  (SSL 적용한 웹서버/웹사이트가 해킹 되었다고 배상해 주는 것이 아닙니다 - 서버가 해킹된것이지 SSL 이 해킹된것이 아님)


"SSL 인증서의 배상금이 없는 상황에서 고객의 피해 발생시 그 손해의 배상은 모두 웹사이트 운영자/소유자가 전적으로 책임을 져야 합니다"

그래서 개인정보/금융정보/쇼핑거래정보 같은 중요한 데이터를 다루는 웹사이트라면 적절한 배상금을 제공하는 인증서를 선택해야 합니다. 운영하는 웹서비스 이용 규모와 맞지 않게 너무 큰 배상금이나 너무 작은 배상금도 적절하지 않습니다.


배상금 청구시 보상 받는 주체는, "금전적 피해" 를 본 "최종 사용자" 이며 SSL을 발급 받은 웹사이트 운영자/소유자가 아닙니다. 그래서 웹사이트 운영자는 자사 사이트에서 이용 고객의 금전적 피해 발생시 해당 손해액을 충분히 커버할수 있는 배상금의 SSL 인증서를 선택해야 합니다.

참고로 각 인증서마다 책정되는 배상금은, 사고 건별로 각 개인에게 각각 지급되는 금액이 아닌, 해당 인증서의 총 누적 지급한도 입니다. 예로 1만달러 배상금 SSL 인증서에서 1만달러가 지급되면, 해당 인증서는 더 이상 배상금 지급이 불가능합니다. 이 부분이 중요한 이유는, SSL 상품중에 배상금이 얼마인 SSL 인증서를 구매해야 하는지 판단할수 있는 기초 정보가 됩니다.


최근 개인 웹사이트 소유자들로 부터 유행하는, 무료 SSL 인증서인 "Let's Encrypt / StartSSL / WoSign 등등" 을 개인적인 단순 웹사이트가 아닌 비지니스/금전거래 웹사이트에 적용하는것은 절대 권장하지 않습니다. 보안 사고는 예상치 못한 시점에 찾아올 수 있으며, 만약 고객 피해 보상과 같은 상황 발생시 기업에서는 대응 수단을 갖추고 있어야 합니다.


참고로, 배상금 차이가 SSL 인증서의 기술적인 차이를 만들지는 않습니다. SSL 인증서 가격과 상관없이, 모든 SSL 인증서는 산업 표준 규격에 의해서 기술적으로 모두 동일합니다. 또한 같은 타입(Single,Wildcard../DV,OV...) 종류의 SSL 인증서에서도 가격 차이를 만들어 내는 가장 큰 부분이 배상금(Warranty) 입니다.


컨텐츠의 무단 전제복사를 허용하지 않습니다 (일부 인용시 출처 표기 필수)
본 사이트내 노출된 이메일 주소의 수집/이용을 일체 허용하지 않습니다