리디북스는 서비스 초기부터 HTTPS를 지원하였으며 2016년 9월부터는 HTTP 지원을 중단한 상태로 운영하고 있습니다. HTTPS에 사용되는 인증서는 주기적인 재발급이 필요한데, 이번에는 보안이 강화된 EV SSL 인증서 발급을 시도해 보았습니다. “EV SSL 인증서는 비싸고 발급받기 까다롭다”라는 인식이 있는데 실제로는 어떨지 궁금했기 때문입니다.

결론적으로 10만 원이 조금 넘는 비용과 22일의 시간이 걸렸습니다. 가격이 비쌀 것이라 예상했지만 그렇지 않았고, 최대 1주일 정도로 예상했으나 그렇지 않았습니다. 시간이 오래 걸린 대부분의 이유는 사전 준비가 부족했기 때문이었으며 진행 과정상 크게 어려운 점은 없었습니다.

만약 EV SSL 인증서 도입을 고려하고 있다면 도움이 될만한, 저희가 겪었던 과정 그리고 팁을 정리해 보았습니다.


업체 가격 비교

리디북스는 SSL 인증서 구매에 해외대행사를 이용하고 있습니다. 그전에는 국내 업체를 이용하였으나 해외의 대행사에 비해 가격이 5배 이상 비싸기 때문에 더 이상 이용하지 않고 있습니다. EV SSL 인증서를 선택할 경우 업체별 가격 차이는 더 크게 났습니다.

저희가 선택한 인증서는 단일 도메인만 지원하는 Comodo EV SSL 인증서였는데, 2017년 3월 기준 업체별 가격을 비교해보니 아래와 같았습니다.

업체 가격
COMODO 공식 $449.00(~52만원)
COMODO 한국 공식 77만원
국내 A사 86만원
국내 B사 120만원
해외 C사 $95(~11만원)

유효기간은 모두 동일하게 1년입니다. 2년짜리로 구매할 경우 가격 차이는 더 크게 벌어지는데, 그럼에도 불구하고 환불 정책이나 워런티는 모두 동일했습니다.

발급에 걸리는 시간은 업체에 따라 조금씩 달라질 수 있다고 합니다. 저희가 선택한 C사의 경우 사이트에는 1-7일의 기간이 필요하다고 되어있으나, 실제로는 최대 1달까지 걸린다는 답변을 받았습니다. 따라서 EV SSL 인증서를 준비할 계획이라면 1달의 여유를 가지고 진행하는 것이 안전합니다.

COMODO 측에 필요한 신청서 전달하기

대행사에 금액을 결제하고 나면, 아래의 서류를 영어로 작성하여 COMODO에 직접 전달해야 합니다.

  1. 신청서 (EV Certificate Request)
  2. 계약 동의서 (COMODO Certificate Subscriber Agreement)

서류 작성을 완료하기까지 20분 정도의 시간이면 충분합니다. 하지만 잘못된 정보가 기입되거나 COMODO 측에서 추가 확인을 필요로 하는 경우라면 서류 확인만 1주일 이상 걸릴 수 있습니다. 서로 영업시간이 다르고 요청이 즉시 처리되지 않기 때문에 간단한 의사소통에도 하루가 걸리기 때문입니다.

COMODO 측에서는 위 정보를 바탕으로 D-U-N-S® 번호를 통해 회사를 조회하는데, 이때 D-U-N-S 상의 정보와 서류에 기입된 정보가 일치해야 합니다. D-U-N-S 번호는 국제적으로 통용되는 사업자 등록번호입니다. 만약 애플 앱스토어에 회사를 등록한 적이 있다면 이미 발급이 되어있을 것입니다. 그렇지 않다면 역시 애플 개발자 페이지에서 무료로 등록할 수 있는데, 최대 2영업일이 걸린다고 합니다.

팁: 메일을 보내기 전에 회사명, 주소, 연락처 정보가 일치하는지 확인하고 D-U-N-S 번호도 함께 전달하면 시간을 많이 아낄 수 있습니다.

사업자 등록번호 인증

COMODO 측에서 서류 확인이 완료되면 이 사실을 대행사 측에 통보하여 이후 절차를 진행하게 됩니다. 이 과정에서 공정거래위원회에서 조회가 가능한 사업자 등록번호를 추가로 요청받게 됩니다.

이때 주의해야 할 점이 있는데, 이후에 진행되는 전화 인증을 위해서 COMODO가 위 링크에 보여지는 번호로 전화를 한다는 것입니다. 리디 주식회사의 경우 전화번호란에 국가번호(+82)가 포함되어 있지 않았는데, COMODO 측에서 이를 잘못된 전화번호로 간주하는 바람에 절차가 지연되었습니다.

팁: 미리 사업자 등록번호를 전달한다면 2~3영업일을 아낄 수 있습니다. 그리고 미리 국가번호(Country code)를 포함한 전화번호를 알려주어 혼선을 피하는 것이 좋습니다.

전화번호 인증

COMODO 측에서 마지막으로 확인하는 것이 회사의 전화번호입니다. 지정된 시간에 걸려오는 전화를 반드시 받아야 하며 발신을 통한 인증은 불가능합니다. 전화 시간 약속은 대행사가 조율해 주는데, COMODO 인증부서의 영업시간은 오전 4시 ~ 오후 8시로 매우 길지만 한국 시간 기준으로는 오후 6시 ~ (다음날)오전 10시까지 인 점을 고려해야 합니다.

전화 통화는 간단한 영어로 진행되며, 아래의 내용을 확인받았습니다.

  • 요청자의 이름
  • 요청자의 신원
  • 주문번호(Order Number)

요청자의 신원은 신청 서류에 작성한 개인정보를 말해서 확인하였고, 직책(Job Title)은 인사담당자와의 직접 통화를 하여 확인하였습니다.

팁: COMODO 인증부서에 직접 전화를 하여 약속을 잡으면 시간을 절약할 수 있습니다. 그리고 인사담당자와 직접 통화를 요청할 수 있으니 함께 기다리는 것이 좋습니다.

적용

위 과정을 모두 마무리하면 COMODO로부터 인증서를 전달받을 수 있습니다. 참고로 COMODO는 ridibooks.com 단일 도메인 인증서를 신청하면 www. 가 붙은 도메인에 대해서도 SAN(Subject Alternative Name)으로 추가해주므로 멀티도메인 인증서를 신청할 필요는 없습니다.

EV SSL이 적용된 모습

예전처럼 크게 강조되는 모습의 주소창은 아니지만, 회사명을 표시할 수 있게 되었습니다!

대부분의 웹서비스는 아직까지 EV SSL 인증서가 필요하다고 생각하지 않습니다. 하지만 국내 포털을 제외하면 HTTPS는 대세가 되었으며 더 이상 특별하지 않습니다.

전자상거래 및 핀테크로 발생되는 거래액은 그 규모가 빠르게 커지고 있으며 정교하게 설계된 피싱 사이트로 인한 피해도 증가하고 있습니다. 이를 막기 위해 EV SSL 인증서를 도입하는 사례가 조금씩 늘어날 것이라 생각하며, 이 글이 그러한 변화에 도움이 되기를 바랍니다.