Certificate Transparency (CT)

개요

Certificate Transparency(CT)는 잘못 발급된 인증서나 악의적 인증서를 탐지하기 위해 공개 로그를 기반으로 한 인증서 투명성 관리 체계이다. Google이 주도적으로 개발한 CT는 모든 SSL/TLS 인증서의 발급 내역을 투명하게 공개함으로써, 신뢰할 수 있는 인증서 인프라(PKI)의 감시와 검증을 가능하게 한다.

---

1. 개념 및 정의

항목	내용	비교
개념	SSL/TLS 인증서 발급 내역을 공개 로그에 기록하는 시스템	전통적 PKI는 중앙집중 검증
목적	잘못 발급된 인증서 탐지 및 투명성 확보	신뢰 체계 강화
필요성	인증서 위조·오발급 사건 증가	DigiNotar, Symantec 사례 대응

---

2. 특징

특징	설명	비교
공개 로그 기반	모든 인증서 발급 내역을 전 세계적으로 검증 가능	중앙 기관 검증 대비 신뢰성 향상
실시간 검증 가능	브라우저 및 인증기관이 즉시 로그 확인	비공개 발급 차단
감사 투명성	로그를 통해 CA(인증기관) 신뢰도 평가 가능	PKI 생태계 신뢰 회복

---

3. 구성 요소

구성 요소	설명	예시
Log Server	인증서 발급 내역을 저장하는 공개 데이터베이스	Google CT Log, Cloudflare Nimbus
Monitor	로그를 모니터링하고 이상 발급 감지	Facebook, DigiCert Monitor
Auditor	로그의 무결성과 신뢰성 검증	Merkle Tree 기반 검증
CA (Certificate Authority)	인증서 발급 주체로 CT 로그에 발급 내역 제출	DigiCert, Let's Encrypt

---

4. 기술 요소

기술	설명	예시
Merkle Tree	로그 데이터의 무결성 보장 구조	블록체인 유사 구조
SCT (Signed Certificate Timestamp)	로그 서버가 발급하는 서명된 타임스탬프	브라우저 검증 시 사용
TLS Extension	브라우저와 서버 간 SCT 검증 프로토콜	RFC 6962
Certificate Transparency API	로그 검색 및 검증 API	Google CT API

---

5. 장점 및 이점

구분	설명	예시
투명성 확보	모든 인증서 발급을 공공 로그로 관리	무단 발급 탐지
신뢰도 향상	CA의 발급 절차 공개로 신뢰 강화	Google Chrome의 강제 CT 정책
위조 방지	발급 내역의 상호 검증 가능	피싱 사이트 인증서 차단
보안 감사 용이	로그 기반 추적 가능	GDPR 및 ISO27001 대응

---

6. 주요 활용 사례 및 고려사항

활용 사례	설명	고려사항
Chrome 브라우저 보안 정책	모든 인증서에 SCT 포함 의무화	RFC6962 준수 필수
대기업 인증 인프라	내부 CA의 CT 로그 등록으로 투명성 확보	개인정보 노출 방지 필요
보안 감사 시스템	외부 감사용 인증서 로그 추적	로그 위·변조 방지
SSL 관리 솔루션	인증서 수명 주기 관리 통합	자동화 API 연동 필요

---

7. 결론

Certificate Transparency(CT)는 SSL/TLS 인증서의 신뢰성을 획기적으로 강화하는 공개 검증 체계로, PKI 생태계의 투명성과 보안성을 높이는 핵심 기술이다. CT를 통해 모든 발급 내역이 공개되고 검증 가능해짐에 따라, 전 세계 인터넷 신뢰 인프라가 한층 강화되고 있다.