Invisible Safety,

Proven by Intelligence

보이지 않는 안전을 인텔리전스로 증명하다.

기술 노트
IT 산업의 변화를 이끄는 MDS인텔리전스의
기술 인사이트를 만나보세요.
사이버 보안 & 암호화
[NeoCertManager] 인증서와 글로벌 CA ⑵ : 인터넷 신뢰 체계의 뼈대
2026년 04월 27일

앞선 1부에서 우리는 인증서의 개념과 필요성을 살펴봤습니다. 

이번 2부에서는 인증서의 구조가 어떻게 설계되었는지, 그리고 전 세계적으로 CA가 어떤 방식으로 관리되는지 알아봅니다.


1. 인증서 구조: Root, Intermediate, Leaf​

(1) 계층적 구조의 필요성

인증서는 단일한 문서가 아니라, 계층적으로 연결된 “신뢰 사슬(Chain of Trust)” 형태를 가지고 있습니다.


① Root CA

  • 신뢰의 절대적인 출발점
  • 브라우저와 OS에 사전 탑재
  • 직접 발급은 최소화

② Intermediate CA

  • 실제 인증서 발급 담당
  • 보안 정책, 사용 목적에 따라 구분 운영
  • Root CA가 위임한 권한을 행사

③ Leaf (End-Entity) 인증서

  • 사용자가 실제로 접하는 서버, 개인, 코드 서명 인증서
  • 예: www.google.com 인증서

사용자가 어떤 서버에 접속할 때, 브라우저는 Leaf 인증서를 받은 뒤, Intermediate → Root 순으로 이어지는 체인을 검증하여 최종적으로 신뢰 여부를 판단합니다.

2. 신뢰 체계가 이렇게 설계된 이유

(1) 보안 강화

Root CA는 절대 유출되어서는 안 되는 핵심 자산입니다. 이를 오프라인에 보관하고, 실제 운영은 Intermediate CA가 담당하게 함으로써 보안 사고의 위험을 줄일 수 있습니다.

(2) 역할 분리와 유연성

여러 Intermediate CA를 두면, 용도별로 책임을 나눌 수 있습니다. 예를 들어,

  · 기업 인증용 Intermediate

  · 개인 인증용 Intermediate

  · 코드 서명용 Intermediate

이렇게 나누면 보안 정책을 세분화하고 운영 효율성을 높일 수 있습니다.

(3) 확장성

전 세계적으로 수많은 기관, 기업, 개인이 인증서를 필요로 합니다. 이 방대한 수요를 한 곳의 Root CA가 모두 직접 감당하는 것은 불가능합니다. 중간 단계를 둠으로써 확장성을 확보할 수 있습니다.


3. 글로벌 CA 체계

브라우저와 운영체제 제조사들은 Root CA 목록을 자체적으로 관리합니다.

  · Mozilla Firefox: 약 147개의 Root

  · macOS: 약 60개 조직, 168개의 Root

  · Microsoft Windows: 약 101개 조직, 255개의 Root

따라서 특정 CA가 글로벌 신뢰망에 편입되려면, 각 브라우저와 OS 제조사에 Root 인증서를 등록 요청하고 심사를 통과해야 합니다.


4. 국가별 운영 방식

나라별로 Root CA 운영 방식은 크게 세 가지 유형으로 나뉩니다.


(1) 민간 위탁형 (미국, 일본 등)

  · 브라우저와 OS 제조사가 Root 리스트를 직접 관리

  · 루트 CA는 민간 기업이 경쟁하며 운영

  · 예: DigiCert, GlobalSign, Sectigo


(2) 국가 주도형 (한국, 중국, 인도, 러시아 등)

  · 정부 기관이 루트 인증서를 직접 관리

  · 공공 서비스, 금융, 전자서명 분야에 활용

  · 예: 한국의 KISA 루트 인증서, 중국의 CNNIC


(3) 하이브리드형 (유럽연합 등)

  · 민간과 정부가 협력

  · 상호 인증(Mutual Recognition) 체계를 통해 국경 간 신뢰를 확보

국가루트 인증기관운영 주체특징
US미국DigiCert, Entrust, Amazon Trust Services, Sectigo
(구 Comodo), Google Trust Services, Let's Encrypt (ISRG)		민간 기업 / 비영리글로벌 점유율 압도적. Sectigo는 저비용 SSL 제공, Google은 자체 서비스용 루트 운영.
Let's Encrypt는 무료 SSL 자동화 중심.
JP일본GMO GlobalSign, SECOM Trust Systems민간 / 준공공일본 정부의 일부 공공 인증서에 사용됨.
KR한국KISA(한국인터넷진흥원), CrossCert, SignKorea공공 + 민간KISA가 국가PKI 운영, 기존 공인인증서 체계에서 전자 인증 중.
CA캐나다Entrust, Canadian Government (SGC)민간 / 정부전자정부 인증체계. Entrust는 북미/군/정부 중심 강세.
EU유럽 (EU)T-Systems (독일), Belgium Root, ANSSI (프랑스), Certinomis, D-TRUST (독일)정부 / 통신사 / 공기관eIDAS 규정 기반 상호인증 체계 운영.
CN중국CFCA (China Financial Certification Authority)정부 (중국인민은행 산하)금융 및 인터넷 뱅킹 루트, 자국 내 신뢰 체계 중심.
BR브라질ICP-Brasil정부 주도 (ITI)정부 루트 CA, 민간 CA 하위 운영. 공공 서비스 연계 필수.
IN인도CCA (Controller of Certifying Authorities)정부 부처Aadhaar 등 정부 전자서명 체계와 통합.
RU러시아Ministry of Digital Development정부GOST 기반 자체 암호 체계 및 인증 인프라 운영.
FR프랑스ANSSI, Certinomis정부 / 민간정부 전자 인증 및 기업용 SSL 발급.
DE독일T-Systems, D-TRUST (Bundesdruckerei)정부 / 정부 계열사전자ID, 세금 시스템 등과 연계된 루트 CA.
NO노르웨이Buypass AS민간 (정부 연계)무료/유료 인증서 발급. eIDAS 기반 유럽 공공 서비스 연계.
IT이탈리아Actalis (Aruba S.p.A.)민간무료 DV 인증서 제공, 유럽 공공 인증기관 등록.
GR그리스HARICA학술/연구 기관 연합Mozilla 루트 포함, 학술 중심에서 범용 확장 중.
TR터키Kamu SM (TUBITAK)정부 기관전자서명 기반 국가 인증 인프라 제공.
ES스페인FNMT-RCM스페인 조폐공사공공 서비스용 인증서, 정부 루트 CA 운영.


RankIssuerUsageMarket Share
1Let's Encrypt59.9%63.7%
2GlobalSign21.0%22.4%
3Sectigo5.6%5.9%
4GoDaddy Group3.9%4.1%
5DigiCert Group3.1%3.3%

W3Techs에서 2024년 7월 조사한 상위 5개 인증기관의 사용 점유율


5. 인증서 활용 사례

인증서는 다양한 분야에서 활용됩니다.

  · 사용자 인증 : 인터넷 뱅킹, 증권거래, 홈택스 로그인, VPN 접속

  · 전자서명 : 전자계약, 세금 신고, 공공 입찰

  · 데이터 암호화 : HTTPS 통신, 이메일 보안(S/MIME), 파일 암호화

  · 서버 및 장비 인증 : 웹 서버 인증서(예: Let’s Encrypt), API 인증, IoT 기기 인증

  · 코드 서명 : 소프트웨어 배포 시 무결성 보장

즉, 인증서는 단순히 “웹 보안”에 국한되지 않고, 현대 디지털 사회 전반에서 필수적인 보안 인프라로 기능하고 있습니다.


 

6. 정리

  · 인증서는 Root → Intermediate → Leaf 구조의 계층적 신뢰 체계를 기반으로 운영됩니다.

  · Root CA는 신뢰의 시작점으로서 오프라인에 철저히 보호되며, Intermediate CA를 통해 실제 발급이 이뤄집니다.

  · 국가마다 CA 운영 방식이 다르며, 민간·국가·하이브리드 모델이 존재합니다.

  · 인증서는 웹 보안뿐 아니라 전자계약, 금융, IoT 등 광범위한 분야에서 사용됩니다.



📧 nkm_biz@mdsit.co.kr      ✍️ 문의남기기