SSL 인증서의 배상금(Warranty) 이란?

기술자료, 설치/적용 이슈 주요 사례

일반적인, 일상 생활의 자동차/화재/생명 등의 보험사 보험 상품과 비슷합니다. 사고가 일어날 확률은 극히 미미하지만, 한번 사고가 발생하면 크게 피해가 발생할때를 대비하는 것이 목적입니다. 절대 일어나지 않을것 같지만, 사고는 부지불식간에 발생하기 때문입니다.

개인정보/금융거래/쇼핑거래 같은 중요한 금전 관련 데이터를 다루는 웹사이트라면 적절한 배상금을 제공하는 인증서를 선택해야 합니다. 운영하는 웹서비스 이용 규모와 맞지 않게 너무 큰 배상금이나 너무 작은 배상금도 적절하지 않습니다.

최근 개인 웹사이트 소유자들로 부터 유행하는, 무료 SSL 인증서인 "Let's Encrypt 등등" 을 개인적인 단순 웹사이트가 아닌 비지니스/금전거래 웹사이트에 적용하는것은 권장하지 않습니다. 

참고로, 배상금 차이가 SSL 인증서의 기술적인 차이를 만들지는 않습니다. SSL 인증서 가격과 상관없이, 모든 SSL 인증서는 산업 표준 규격에 의해서 기술적으로 모두 동일합니다. 또한 같은 타입(Single,Wildcard../DV,OV...) 종류의 SSL 인증서에서도 가격 차이를 만들어 내는 가장 큰 부분이 배상금(Warranty) 입니다.



◾ 주요 FAQ


⦁ (가장 흔한 착각) 웹서버/웹사이트/DB/로그인 등이 해킹 되었을때 배상금 주나요?

아닙니다. 그건 서버 자체가 해킹된것이지 SSL 에 의해서 암호화 데이터가 해킹된것은 아니기 때문에, 배상금 청구 대상이 아닙니다. SSL 인증서는 '서버' 자체 보안 용도가 아니며, '서버' 와 '웹브라우저' 사이의 '네트워크 암호화' 용도 입니다. 그래서 서버 자체 문제와는 관련이 없습니다.


⦁ 어떤 경우에 배상금 청구 대상이 되나요?

SSL 인증서를 적용한 웹사이트에서 암호화된 SSL/TLS 네트워크 통신 패킷이 위변조/탈취 되어 신용카드 같은 금융정보가 누출되어 실제로 "금전적 피해" 가 발생한 경우 또는 CA에서 SSL 의 유효성 검사를 제대로 하지 못해서 범죄자의 악의적인 이용으로 발생하는 "금전적 손해" 일때에만 해당됩니다. 금전적 손실이 없는 단순 위변조/탈취는 보상 대상은 아닙니다.


⦁ 배상금은 누구에게 지급되나요? 

보상 받는 주체는 실질적으로 금전적 피해를 본 당사자 입니다. 웹사이트에서 물건 구매시 결제하는 최종 소비자라고 할수 있습니다. SSL 인증서 구매자 or 웹서버 관리/운영자 or 사이트 운영자 등은 배상금 수혜 대상이 아닙니다. 이 부분도 SSL 인증서 구매자들이 흔히 착각하는 부분으로, 가입자 보험으로 피해자에게 보험사에서 직접 배상금을 지급하는 자동차 보험 대물 보상과 같은 원리입니다.


⦁ 각 상품마다 책정된 배상금은 반복 지급되나요? 

아닙니다. 단 1차례입니다. 지급후에 재차 피해발생시에는 지급되지 않습니다. 또한, 합산해서 지급 가능한 총액이므로, 그 금액 이상으로 지급은 불가능합니다. 예를 들면, 피해자가 1000명이고 각 1000만원씩 피해를 봤더라도 배상금이 1000만원일때 각 사람마다 1만원 지급만 가능합니다. 나머지 각 999만원 배상은 웹사이트 운영자가 책임져야 합니다.

각 인증서마다 책정되는 배상금은, 해당 인증서의 총 누적 지급한도 입니다. 이 부분이 중요한 이유는, SSL 상품중에 배상금이 얼마인 SSL 인증서를 구매해야 하는지 판단할수 있는 기초 정보가 됩니다.


⦁ 어떤 절차로 배상금 청구가 되나요? 

일반적으로 알려진 절차로는 다음과 같습니다.

네트워크 데이터 탈취 보안사고 발생 ➜ 고객(사이트접속자) 금전 피해 발생 ➜ 원인이 SSL 인증서 자체인 경우 ➜ (사이트 운영자) 공식 근거 자료 수집 및 피해 내역 ➜ (사이트 운영자) 인증기관 CA 에 피해신고 및 보상 요청 ➜ CA 에서 조사 및 심사 ➜ SSL 인증서 자체 문제라고 확정될 경우 ➜  CA 에서 고객(사이트접속자)에게 보상 지급.

CA 에 고객(사이트운영자)이 직접 배상금 지급 청구를 해야 하며, CA 에서는 요청 자료를 판단하여 합리적이고 타당하다고 판단되면 배상금이 지급됩니다.(CA 에서는 배상의, 세부절차 및 규정에 대해 피해 당사자 외 비공개)


⦁ 청구시 어떤 근거 자료가 필요하나요? 

피해 사고 발생 후, 세부 사항은 해당 인증기관 CA 본사에 직접 확인해 보셔야 합니다. 일반적으로 아래와 같은 자료가 필요할수 있습니다. 

공적 수사 기관에 의해서 SSL 인증서로 문제로 판단되는 관련 시스템 로그 데이터 및 금전 손실 피해(웹사이트 이용 피해자) 에 대한 보상 소송 또는 그와 같은 수준의 법적인 근거 자료 또는 공적 기관에서의 피해 금액 증명 자료 등이 필요합니다. 사이트 운영자나 피해 당사자의 주장이 아닌 제3자의 확인 검증 자료입니다.


⦁ SecureSign 에서 배상 절차에 관여 하나요? 

아닙니다. SecureSign 은 인증기관이 아니며, 인증서를 판매(주문) 중개하는 단순 리셀러입니다. 그렇기에 인증서 상품/정책 에 대해서 법적으로 그 어떠한 권한도 갖고 있지 않으며, 관련 사항에 대해 일체 관여가 불가능한 제3자 입니다 (국내외 SSL 중개 판매처 모두 동일). 배상은 해당 도메인 소유자와 CA 간 직접 절차입니다.


컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.