용어 사전

Let's Encrypt란 무엇인가 — HTTPS를 자동화하는 무료 인증 기관(CA)

Let's Encrypt는 TLS/SSL 인증서를 발급하는 무료 인증 기관(CA)입니다. ACME가 도메인 통제를 자동으로 검증해 발급과 갱신이 무인화되며, 인증서 유효기간은 90일입니다. 작동 원리와 갱신 정지 사고를 막는 법.

게시 2026-06-29 업데이트 2026-06-29 3분 읽기

"HTTPS를 적용하고 싶지만 인증서는 비싸고 다루기 까다롭다" — Let's Encrypt는 그 전제를 바꿔 놓았습니다. 무료이며, 발급부터 갱신까지 완전히 자동화할 수 있습니다. 방어자의 관점에서 작동 원리를 살펴봅니다.

작동 원리: 도메인 통제를 자동으로 증명한다(ACME)

전통적인 인증서는 신청하고, 신원 서류를 제출하고, 기다리는 — 모두 손으로 하는 과정이었습니다. Let's Encrypt는 이를 **ACME(Automatic Certificate Management Environment)**로 대체합니다. 전체 교환을 기계 대 기계 단계로 바꾸는 프로토콜입니다.

1. 챌린지: CA가 "이 도메인을 통제한다면 이 값을 특정 위치에 놓을 수 있을 것"이라고 요구한다

2. 증명: 서버가 그 값을 웹 경로(HTTP-01) 또는 DNS 레코드(DNS-01)에 놓는다

3. 발급: 검증되면 CA가 인증서를 발급한다. 만료가 다가오면 2~3단계가 자동으로 반복된다

ACME의 기본: 서버가 도메인을 통제하고 있음을 그 자리에서 증명하고, 인증서를 자동으로 발급받는다.

핵심은 이것이 도메인 통제(도메인 검증, DV)만 검증한다는 점입니다. 기업의 법적 실재 여부는 심사하지 않으며, 그래서 과정이 가벼워 완전히 자동화할 수 있습니다. 암호화 자체는 유료 인증서보다 약하지 않습니다.

90일 수명이 자동화를 강제한다

Let's Encrypt 인증서는 유효기간이 90일입니다. 이 짧은 구간은 의도된 것입니다.

유출된 키의 피해 범위를 줄인다

서버의 개인 키가 유출되더라도, 단기 인증서는 그것이 악용될 수 있는 구간을 좁힙니다 — 폐기가 지연되더라도 스스로 만료됩니다.

자동 갱신을 기본값으로 만든다

90일은 손으로 갱신하기에 비현실적이므로 운영자는 자동화할 수밖에 없습니다 — 이는 업계 전체를 "인증서는 자동으로 로테이션하는 것"이라는 방향으로 밀어붙였습니다. 실무에서 갱신 도구는 만료 약 30일 전부터 시도를 시작합니다.

그래서 진짜 일은 모니터링이다

자동 갱신은 조용히 멈출 수 있습니다 — 망가진 cron, 바뀐 권한, 더 이상 통과하지 않는 도메인 확인. 알아채지 못하면 90일 뒤에 만료됩니다. 방어 습관은 갱신 성공 여부와 남은 일수를 모니터링하는 것입니다.

저희의 견해: 저희도 이렇게 운영합니다(자동 TLS)

본 사이트는 Caddy 웹 서버 위에서 운영되며, 도메인을 가리키기만 하면 Let's Encrypt 인증서를 자동으로 발급하고 갱신합니다(인증서 설정이 거의 없습니다). "인증서를 신경 쓰지 않아도 되는 것"이 목표입니다: 사람이 손으로 만지는 지점이 적을수록, 교체를 잊어 발생하는 만료 사고도 줄어듭니다. 대신 certbot을 cron으로 돌린다면, 안전한 방법은 그 cron이 실제로 아직 돌고 있는지를 모니터링하는 것입니다 — 그저 돌고 있으리라 믿지 마십시오.

가장 흔한 사고: 갱신 정지, 그리고 만료

HTTPS와 관련해 팀이 가장 자주 부딪히는 것은 공격이 아니라 만료된 인증서입니다. 만료되면 브라우저는 전체 화면 경고를 띄우고 방문자는 거의 언제나 떠납니다. 원인은 거의 항상 "갱신 자동화가 망가졌는데 아무도 알아채지 못했다"입니다.

바로 그래서 자신의 인증서 만료를 주기적으로 들여다보는 방법을 갖춰야 합니다. 본 사이트의 사이트 보안 점검은 소유를 확인한 사이트에 대해 다른 점검들과 함께 TLS 인증서(남은 일수, 만료, 구식 프로토콜)를 확인합니다. 갱신을 자동화한 뒤, 그 자동화가 살아 있는지 바깥에서 검증하십시오 — 이 두 겹의 습관이 만료 사고를 거의 완전히 막아 줍니다.

이어서 읽기

사고에서 배우기: Heartbleed (전 세계의 키를 위협한 TLS/OpenSSL 결함)
자신의 사이트 점검: 사이트 보안 점검 (TLS 인증서, 헤더, 노출된 파일을 한 보고서로)
토대 다지기: 개인 개발자를 위한 보안 베이스라인 체크리스트

FAQ

QLet's Encrypt는 정말 무료인가요? 유료 인증서와 무엇이 다른가요?

발급과 갱신 모두 무료입니다. Let's Encrypt는 도메인 검증(DV)만 수행합니다 — 도메인을 통제하고 있는지를 자동으로 확인합니다. 암호화 강도는 유료 인증서와 동일하며, 브라우저에 표시되는 자물쇠도 같습니다. 차이는 기업의 법적 실체를 심사하는 조직/확장 검증(OV/EV) 단계가 없고, 보증(warranty)이 없다는 점입니다. 개인 사이트나 소규모 서비스에서 HTTPS를 제공하기에는 무료 DV 인증서로 거의 충분합니다.

Q인증서 유효기간이 90일뿐인 이유는 무엇인가요? 번거롭지 않나요?

짧은 수명은 약점이 아니라 설계상의 선택입니다. 유출된 개인 키가 악용될 수 있는 기간을 제한하고, 갱신을 자동화하는 문화를 강제합니다. 번거로움을 피하려면 갱신을 자동화하면 됩니다(대부분의 도구는 만료 약 30일 전부터 자동으로 갱신을 시작합니다). 진짜 위험은 그 반대 — 1년에 한 번 손으로 인증서를 교체하다가 잊어버리고 만료시키는 것입니다.

Q설정에는 어떤 도구를 사용하나요?

널리 쓰이는 것은 certbot(Apache/Nginx와 함께 많이 사용)과 Caddy(인증서 설정 없이 HTTPS를 제공하고 자동 갱신하는 웹 서버)입니다. acme.sh와 Traefik도 ACME를 지원합니다. 와일드카드 인증서(*.example.com)가 필요하다면, DNS 레코드에 검증 값을 넣는 DNS-01 방식으로 발급받습니다.