웹사이트와 방문자 브라우저간 암호화 통신(HTTPS)에 필요한 세계 SSL/TLS인증서 시장 판도가 확 바뀌게 됐다. 시만텍이 세계 시장 점유율 3위였던 해당 사업을 6위인 디지써트(DigiCert)에 팔기로 했다.
이달초 시만텍은 자사의 '웹사이트보안 및 관련 PKI솔루션' 부문을 디지써트에 매각한다는 계획을 발표했다. 양사는 디지써트가 이 사업을 넘겨받는 대가로 시만텍에 9억5천만달러 현금과 회사 지분 30%를 건넨다는 조건에 합의했다.
양사가 예상하는 거래 완료 시점은 오는 12월 31일 마감하는 시만텍의 2018 회계연도 3분기 이내다. 예정대로 거래가 진행될 경우 시만텍은 차세대 요충지로 삼은 '클라우드보안' 분야에 사업역량을 집중시킬 것으로 보인다. [☞관련기사 바로가기]
그렉 클라크 시만텍 CEO는 인증서 사업 매각 거래가 "시만텍의 '통합 사이버 디펜스 플랫폼'으로 클라우드 세대를 위한 정제된 보호 기술로 엔터프라이즈에 주력케 해줄 것"이라고 언급했다. 그간 부진했던 인증서 사업을 정리하는 모양새다.
소프트웨어 품질관리 컨설팅업체 Q석세스의 웹기반서비스사업조직 'W3테크'에서 집계하는 인증서 시장점유율을 보면 1년전인 2016년 8월 기준 시만텍의 인증서 시장점유율은 23.0%로 세계 2위였다.
이후 시만텍 점유율은 지속 하락해, 2017년 8월 11일 현재 13.9%(3위)다. 1년전 점유율 11.4%로 3위였던 아이덴트러스트(IdenTrust)가 그간 꾸준히 점유율을 늘려 2위 업체가 됐다. [☞W3테크 통계 바로가기]
같은 통계에서 시만텍의 인증서 사업을 인수하는 디지써트의 현재 시장 점유율은 2.2%로 업계 6위다. 기존 시만텍 인증서 고객 기반을 온전히 흡수한다고 가정할 경우 디지써트가 점유율 16.1%를 차지하게 된다. 하지만 이는 비현실적인 가정이다.
■시만텍 인증서 고객-사업 파트너 불확실성 커져
디지써트 측은 시만텍 고객사들이 인증서 인프라를 "모든 산업표준과 브라우저 요구사항을 만족하는 새 플랫폼"으로 옮기고 자신들이 "고객 이익을 위해 CA 영역에서 미래 혁신을 위한 기반을 제공"하겠다고 강조했다.
시만텍의 클라크 CEO는 디지써트를 "현대적인 웹사이트 PKI플랫폼을 제공하는 회사"로 표현하며 "우리 고객들의 성공적인 (인증서 인프라 사업자) 전환에 깊이 헌신하겠다"고 말했지만, 실제로 그렇게 될 수 있을지는 상황을 더 지켜봐야 한다.
디지써트는 인증서 시장에서 시만텍보다 훨씬 작은 회사다. 미국 디지써트 인력 규모는 225명인데, 사업 이관 후엔 1천명 이상 규모가 된다. 이는 시만텍의 인증서 사업조직, 발급 및 운영 시스템, 기존 고객 응대 프로세스, 인증서 사업 파트너 등을 디지써트가 온전히 이관받기가 말처럼 쉽지 않을 수 있다는 의미다.
시만텍이 디지써트에 인증서 사업조직 매각을 발표하자, 코모도, 글로벌사인 등 다른 경쟁사와 그 국내외 공급 파트너들이 이를 기회 삼아 고객 확보에 나섰다. 기존 시만텍 고객에게 타사 인증서 무상제공 등, 전환시 프로모션 혜택을 내거는 식이다.
점유율뿐아니라 기존 시만텍 인증서 사업 파트너의 계약관계가 디지써트로 승계될 수 있을지도 불분명하다. 국내 시만텍 인증서 공급업체의 파트너 지위도 마찬가지다. 본사 발표에는 이런 사항이 구체적으로 제시되지 않았다.
디지써트가 기존 시만텍 인증서 사업 파트너의 역할을 이어받아 보장하더라도 파트너들에겐 우려요소가 남는다. 시만텍에 비해 낮은 글로벌 인지도와 마케팅 인프라를 감수해야 할 전망이다.
■시만텍, 구글-모질라 '인증서 부정발급' 문제제기 부담 해소
시만텍은 인증서 시장에서 인증서 발급과 신뢰를 보증하는 CA 자격을 포기한 셈이지만, 전략적으로 나쁘지 않은 거래다. 앞서 봤듯 시장 점유율은 하락세였고, 약 2년전부터 수차례 불거진 SSL/TLS인증서 부정발급 문제제기의 부담을 털 수 있기 때문이다.
시만텍의 인증서 부정발급 논란은 지난 2015년 10월로 거슬러올라간다. 당시 시만텍이 구글 도메인(google.com)용 인증서를 잘못 발급했다는 점을 구글 측이 발견해 공동 조사를 진행했다. 그 결과 담당조직 모르게 거기서 관리하는 도메인용 인증서 수백건, 그리고 아예 등록된 적도 없는 도메인용 인증서가 2천458건이 발급됐음을 파악했다.
구글은 지난 3월 인증서 부정 발급 문제를 재차 제기했다. 모질라가 지난 1월 동일하게 문제제기한 내용이었다. 이들은 부정 발급된 인증서 127건을 발견했고, 지난 수년간 발급된 인증서 가운데 3만건에 '잠재적으로' 문제가 있어 보인다고 추정했다. 문제의 인증서 127건은 한국의 시만텍 인증서 발급대행 사업자 '한국전자인증(CrossCert)'이 발급한 것이었다.
일련의 사건은 인터넷 업계에서 상당히 심각하게 인식됐다. 시만텍이 인증서의 신뢰도를 보증하는 인증기관(CA)이었기 때문이다. 구글 크롬이나 모질라 파이어폭스를 비롯, 브라우저마다 사용자를 보호하기 위해 '믿을만한 CA'와 '악성 웹사이트 차단목록'을 만들어 관리하고 있다.
주요 CA의 인증서 관련정보는 사용자 브라우저에 미리 저장돼 있다. 덕분에 브라우저는 어떤 웹사이트를 믿을만한지, 방문자와 웹서버간 HTTPS 통신을 수행해도 괜찮은지 판단할 수 있다. 브라우저 업체가 믿지 않는 CA의 인증서를 쓴 웹사이트에 접속하면 주소창 자물쇠 아이콘 등에 보안 경고가 뜬다. 어떤 CA의 인증서에 문제가 있다고 여겨지면, 그걸 쓴 웹사이트에도 보안상 안전하지 않다는 '낙인'을 얻게 된다.
관련기사
- HTTPS 암호화통신 100% 확산 가능할까2017.08.11
- 시만텍 "구글 인증서 수명제한, 다른 문제 초래"2017.08.11
- 구글의 '시만텍 불신' 빌미 된 한국 파트너2017.08.11
- 구글, 시만텍 인증서 보안수준 평가절하2017.08.11
구글은 자사가 제기한 인증서 부정발급 이슈에 시만텍의 대처가 미흡했다고 주장해 왔다. 이에 시만텍과 그 파트너가 발급한 인증서를 크롬 브라우저에서 신뢰하지 않겠다고 예고했다.
시만텍이 반발해 구글이 크롬 브라우저에 이를 적용하는 시점을 당초 공지보다 다소 늦추긴 했지만, 최종적으로 내년 4월 출시되는 크롬66 버전부터 2016년 6월 1일 이전 발급된 시만텍 인증서를 신뢰하지 않는다. 크롬70 버전은 그 이후 발급된 인증서를 포함, 모든 시만텍 인증서를 신뢰하지 않는다.