Pak Min gi

About

Series

Category

SSL/TLS 인증서 종류: DV, OV, EV 완벽 비교 가이드

2025년 12월 09일

devops

# SSL# TLS# Certificate# Security# DV# OV# EV

SSL/TLS 인증서 검증 레벨

SSL/TLS 인증서는 검증 수준에 따라 세 가지로 나뉩니다. 검증이 철저할수록 신뢰도는 높지만, 발급 시간과 비용도 증가합니다.

인증서 종류 개요

검증 레벨 검증 내용 발급 시간 비용 ACME 지원
DV 도메인 소유권만 즉시~수 분 무료~저렴
OV 도메인 + 조직 정보 1-3일 중간
EV 도메인 + 조직 + 법인 검증 1-2주 비싸

DV (Domain Validation) 인증서

개념

DV 인증서는 도메인 소유권만 검증하는 가장 기본적인 인증서입니다. “이 도메인이 정말 당신 것이 맞나요?”만 확인합니다.

검증 과정

도메인CA (Certificate Authority)사용자도메인CA (Certificate Authority)사용자HTTP-01, DNS-01, Email 등1. example.com 인증서 신청2. 도메인 소유권 검증3. 검증 완료4. 인증서 발급 (즉시)

검증 방법:

  • HTTP-01: http://example.com/.well-known/acme-challenge/ 경로에 파일 배치
  • DNS-01: _acme-challenge.example.com TXT 레코드 추가
  • Email: admin@example.com, webmaster@example.com 등으로 확인 이메일 발송

특징

장점 ✅

  • 즉시 발급: 자동화 가능, 몇 분 내 발급
  • 무료: Let’s Encrypt, ZeroSSL 등 무료 제공
  • ACME 지원: cert-manager 등으로 자동 관리
  • 간편함: 서류 제출 불필요

단점 ❌

  • 낮은 신뢰도: 도메인 소유만 증명 (조직 정보 없음)
  • 피싱 위험: 악의적 사용자도 쉽게 발급 가능
  • 브라우저 표시 제한: 회사명 표시 안 됨

브라우저 표시

Chrome/Firefox:

🔒 안전함 | https://example.com

인증서 정보 (클릭 시):

발급 대상: example.com
발급자: Let's Encrypt
유효기간: 2025-01-01 ~ 2025-04-01

조직 정보 없음 - 단순히 “도메인이 암호화되었다”만 표시

사용 사례

적합한 경우:

  • 개인 블로그, 포트폴리오
  • 스타트업 초기 서비스
  • 내부 개발/테스트 환경
  • API 서버 (B2B, 서비스 간 통신)
  • 소규모 E-Commerce

부적합한 경우:

  • 대형 금융 기관
  • 정부 기관
  • 고객 신뢰가 중요한 서비스
  • 법적 책임이 큰 서비스

주요 제공업체

제공업체 가격 유효기간 자동화
Let’s Encrypt 무료 90일 ✅ ACME
ZeroSSL 무료 90일 ✅ ACME
Buypass 무료 180일 ✅ ACME
Cloudflare 무료 (CDN 사용 시) 15년 ✅ Auto
GoDaddy ~$70/년 1년
Namecheap ~$9/년 1년

실무 설정 (Kubernetes)

apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: dv-cert
spec:
  secretName: dv-tls
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
    - example.com
    - www.example.com

OV (Organization Validation) 인증서

개념

OV 인증서는 도메인 소유권 + 조직의 실존 여부를 검증합니다. “이 도메인을 운영하는 회사가 진짜로 존재하나요?”를 확인합니다.

검증 과정

전화 확인사업자 등록 DBCA신청자전화 확인사업자 등록 DBCA신청자사업자등록증, 법인등기부등본1. 인증서 신청 + 서류 제출2. 사업자 등록 확인3. 조직 실존 확인4. 회사 전화번호로 확인5. 담당자 신원 확인6. 인증서 발급 (1-3일)

검증 항목:

  1. 도메인 소유권: DV와 동일한 방식
  2. 조직 실존 확인:
    • 사업자 등록번호 확인
    • 법인 등기부 등본
    • Dun & Bradstreet 같은 기업 정보 DB 조회
  3. 전화 확인:
    • 공개된 회사 전화번호로 연락
    • 담당자 신원 확인
    • 인증서 신청 의사 확인

특징

장점 ✅

  • 조직 정보 표시: 인증서에 회사명 포함
  • 중간 수준 신뢰도: 기업 실존 증명
  • EV보다 저렴: 비용 대비 신뢰도 양호
  • 발급 속도: EV보다 빠름 (1-3일)

단점 ❌

  • 수동 검증: 서류 제출 필요
  • 발급 지연: 즉시 발급 불가
  • 갱신 번거로움: 매년 서류 재제출
  • ACME 미지원: 자동화 불가
  • 브라우저 표시 제한: 주소창에 회사명 표시 안 됨 (2020년 이후)

브라우저 표시

Chrome/Firefox (2020년 이전):

🔒 Acme Inc. | https://example.com

현재 (2020년 이후):

🔒 안전함 | https://example.com

중요: 2020년 이후 Chrome/Firefox는 주소창에 회사명을 표시하지 않습니다. 사용자가 인증서 상세 정보를 클릭해야 회사명을 볼 수 있습니다.

인증서 정보 (클릭 시):

발급 대상: example.com
조직명: Acme Inc.
주소: 123 Main St, San Francisco, CA, USA
발급자: DigiCert
유효기간: 2025-01-01 ~ 2026-01-01

사용 사례

적합한 경우:

  • 중소기업 공식 웹사이트
  • B2B 서비스
  • 기업 인트라넷
  • 파트너사 신뢰가 중요한 서비스
  • 정부 기관 (EV 불필요한 경우)

부적합한 경우:

  • 개인 프로젝트 (비용 부담)
  • 스타트업 MVP (과한 검증)
  • 자주 변경되는 도메인
  • 자동화가 필수인 환경

주요 제공업체 및 가격

제공업체 가격 (연간) 특징
DigiCert $218 업계 1위, 신뢰도 최고
Sectigo $88 가성비 좋음
GeoTrust $149 DigiCert 자회사
Thawte $149 DigiCert 자회사
GlobalSign $249 유럽 기업 선호

신청 방법 (예시: DigiCert)

# 1. CSR 생성
openssl req -new -newkey rsa:2048 -nodes \
  -keyout example.com.key \
  -out example.com.csr \
  -subj "/C=KR/ST=Seoul/L=Gangnam/O=Acme Inc/CN=example.com"

# 2. DigiCert 웹사이트에서 CSR 업로드

# 3. 서류 제출
# - 사업자 등록증
# - 법인 등기부 등본 (법인인 경우)
# - 신청자 신분증

# 4. 전화 확인 대기

# 5. 인증서 다운로드 (1-3일 후)

# 6. Kubernetes Secret 생성
kubectl create secret tls ov-cert \
  --cert=example.com.crt \
  --key=example.com.key

EV (Extended Validation) 인증서

개념

EV 인증서는 가장 엄격한 검증을 거치는 인증서입니다. “이 회사는 법적으로 실존하며, 신청자가 진짜 해당 조직의 대표/담당자인가?”를 철저히 확인합니다.

검증 과정

전화/방문 확인정부 기관법인 등기소CA신청자전화/방문 확인정부 기관법인 등기소CA신청자법인등기부, 사업자등록증,담당자 신분증, 재직증명서1. 인증서 신청 + 상세 서류2. 법인 등기 확인3. 법인 실존 및 주소 확인4. 정부 DB 조회5. 사업자 등록 확인6. 대표 전화 확인7. 신청자 재직 및 권한 확인8. 추가 서류 요청 (필요 시)9. 추가 서류 제출10. 인증서 발급 (1-2주)

검증 항목 (매우 엄격):

  1. 법인 실존 확인:
    • 법인 등기부 등본 (공증 필요)
    • 사업자 등록증
    • 정부 기관 DB 교차 검증
  2. 물리적 주소 확인:
    • 실제 사무실 존재 확인
    • 우편물 발송 또는 방문 확인
  3. 신청자 신원 확인:
    • 재직 증명서
    • 신분증 사본
    • 인감 증명서 (일부 CA)
  4. 전화 확인:
    • 공개된 회사 대표 전화로 연락
    • 신청자 본인 확인
    • 인증서 발급 권한 확인

특징

장점 ✅

  • 최고 신뢰도: 법인 실존 완벽 증명
  • 브랜드 신뢰: 금융권, 대기업 필수
  • 법적 보호: 보험 적용 (최대 $1.5M)
  • 피싱 방지: 악의적 사용자 발급 불가

단점 ❌

  • 매우 비쌈: 연간 $300~$1,500
  • 발급 오래 걸림: 1-2주 소요
  • 복잡한 서류: 법인 등기부, 재직 증명 등
  • 갱신 번거로움: 매년 재검증
  • ACME 미지원: 완전 수동 프로세스
  • 브라우저 표시 약화: 2020년 이후 주소창 표시 제거

브라우저 표시 변화

Chrome (2019년 이전):

🔒 Acme Inc. [US] | https://example.com
  • 주소창에 회사명이 녹색으로 표시
  • 국가 코드 표시
  • 사용자가 즉시 인식 가능

Chrome (2020년 이후):

🔒 안전함 | https://example.com
  • DV/OV와 시각적 차이 없음
  • 사용자가 자물쇠 아이콘 클릭 → “인증서” 클릭 → 조직명 확인 필요

인증서 정보 (클릭 시):

발급 대상: example.com
조직명: Acme Inc.
법인 번호: 110111-1234567
주소: 123 Main St, Suite 500, San Francisco, CA 94102, USA
발급자: DigiCert Extended Validation
유효기간: 2025-01-01 ~ 2026-01-01
보험 금액: $1,500,000

EV 인증서의 쇠퇴

2020년 이후 Chrome과 Firefox가 주소창 녹색 바를 제거하면서 EV 인증서의 가치가 크게 하락했습니다.

이유:

  1. 사용자 혼란: 녹색 바가 실제 보안을 의미하지 않음
  2. 피싱 사이트도 EV 발급: Stripe 사칭 사이트가 EV 인증서 발급받은 사례
  3. Let’s Encrypt 대중화: 무료 DV 인증서로 충분한 암호화 제공

현재 상황:

  • 금융권, 정부 기관: 여전히 EV 필수 (내부 규정)
  • 일반 기업: DV/OV로 전환 추세
  • 스타트업: EV 불필요

사용 사례

EV가 필요한 경우:

  • 은행, 증권사, 보험사 (금융 규제)
  • 정부 기관 (공공 기관 규정)
  • 대기업 공식 사이트 (브랜드 이미지)
  • 결제 대행사 (PCI-DSS 요구사항)
  • 법적 책임이 큰 서비스

EV가 불필요한 경우:

  • 스타트업, 중소기업
  • 개인 프로젝트
  • 내부 도구
  • API 서버
  • 대부분의 웹사이트 (2020년 이후)

주요 제공업체 및 가격

제공업체 가격 (연간) 보험 금액 특징
DigiCert $295 $1,500,000 업계 표준
Sectigo $169 $1,750,000 가성비 좋음
GeoTrust $299 $1,500,000 DigiCert 자회사
Entrust $349 $2,000,000 정부/금융 선호
GlobalSign $599 $1,500,000 유럽 기업

비교표: DV vs OV vs EV

기능 비교

항목 DV OV EV
검증 내용 도메인 소유권 도메인 + 조직 실존 도메인 + 법인 + 물리 주소
발급 시간 즉시~수 분 1-3일 1-2주
필요 서류 없음 사업자등록증 법인등기부, 재직증명, 신분증
가격 (연간) 무료~$70 $88~$249 $169~$599
유효기간 90일~1년 1년 1년
ACME 지원
자동화 가능 불가능 불가능
조직명 표시 인증서 정보만 인증서 정보만
주소창 녹색 바 ❌ (2020년 이후)
보험 없음 없음~$10K $500K~$2M

암호화 수준 비교

중요: 세 가지 인증서 모두 암호화 강도는 동일합니다.

항목 DV OV EV
암호화 알고리즘 RSA 2048/4096, ECDSA 동일 동일
TLS 1.3 지원
Perfect Forward Secrecy
데이터 암호화 강도 동일 동일 동일

핵심: DV와 EV의 차이는 신뢰도이지, 보안 수준이 아닙니다.

사용 사례별 추천

Yes

No

Yes

Yes

No

No

Yes

No

Yes

No

인증서 필요

개인/소규모

프로젝트?

DV 인증서

금융/정부

기관?

EV 필수

규정?

EV 인증서

OV 인증서

B2B

서비스?

예산

여유?

실무 의사결정 가이드

시나리오별 추천

시나리오 1: 스타트업 MVP

상황:

  • 초기 서비스 런칭
  • 예산 제한
  • 빠른 배포 필요

추천: DV (Let’s Encrypt)

# cert-manager로 자동화
apiVersion: cert-manager.io/v1
kind: ClusterIssuer
metadata:
  name: letsencrypt-prod
spec:
  acme:
    server: https://acme-v02.api.letsencrypt.org/directory
    email: dev@startup.com
    privateKeySecretRef:
      name: letsencrypt-key
    solvers:
      - http01:
          ingress:
            class: nginx

이유:

  • 무료
  • 즉시 발급
  • 자동 갱신
  • 충분한 보안

시나리오 2: 중소기업 공식 사이트

상황:

  • B2B 고객 대상
  • 신뢰도 필요
  • 연간 예산 $100~$300

추천: OV

# DigiCert OV 신청
# 1. CSR 생성
openssl req -new -newkey rsa:2048 -nodes \
  -keyout company.com.key \
  -out company.com.csr

# 2. DigiCert 웹사이트에서 OV 신청
# 3. 사업자등록증 제출
# 4. 전화 확인 대기

이유:

  • 조직 정보 표시
  • 파트너사 신뢰
  • DV보다 전문적
  • EV보다 저렴/빠름

시나리오 3: 인터넷 뱅킹

상황:

  • 은행 공식 서비스
  • 금융 규제 준수
  • 최고 신뢰도 필요

추천: EV

# DigiCert EV 신청
# 1. CSR 생성
# 2. 상세 서류 준비:
#    - 법인 등기부 등본 (공증)
#    - 사업자 등록증
#    - 담당자 재직 증명서
#    - 신분증 사본
# 3. DigiCert에 제출
# 4. 법인 등기 확인 대기
# 5. 전화 확인
# 6. 1-2주 후 발급

이유:

  • 금융 규제 준수
  • 법적 보험 ($1.5M)
  • 브랜드 이미지
  • 내부 정책

시나리오 4: API 서버 (B2B)

상황:

  • 서비스 간 통신
  • 브라우저 접근 없음
  • 자동화 필요

추천: DV (Let’s Encrypt) + mTLS

# API 서버용 DV 인증서
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: api-cert
spec:
  secretName: api-tls
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
  dnsNames:
    - api.company.com
---
# 클라이언트 인증서 (mTLS)
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: client-cert
spec:
  secretName: client-tls
  isCA: false
  usages:
    - client auth
  issuerRef:
    name: internal-ca
    kind: ClusterIssuer
  commonName: partner-company

이유:

  • 브라우저 신뢰 불필요
  • 자동화 가능
  • 무료
  • mTLS로 추가 보안

시나리오 5: 정부 기관

상황:

  • 공공 서비스
  • 국민 대상
  • 법적 요구사항

추천: OV 또는 EV

# 내부 규정 확인 필요
# - EV 필수 규정: EV 발급
# - 규정 없음: OV로 충분

# 한국: 행정안전부 가이드라인 참고
# - 전자정부법 준수
# - 행정전자서명 인증서 (GPKI) 사용 가능

이유:

  • 공공 신뢰
  • 법적 근거
  • 내부 규정

2020년 이후 변화: EV의 쇠퇴

브라우저 UI 변경

Chrome 77 (2019년 9월) 이전:

┌────────────────────────────────────────┐
│ 🔒 Acme Inc. [US] | https://bank.com  │ ← 녹색 회사명
└────────────────────────────────────────┘

Chrome 77 이후:

┌────────────────────────────────────────┐
│ 🔒 안전함 | https://bank.com           │ ← DV와 동일
└────────────────────────────────────────┘

변경 이유

  1. 사용자 혼란:

    • 녹색 바 = 안전하다고 오해
    • 실제로는 “법인 검증됨”일 뿐, 사이트가 안전한지와 무관

  2. 피싱 사이트도 EV 발급:

    • 2017년: Stripe 사칭 사이트가 EV 발급 받음
    • “Stripe, Inc” vs “Stripe, Inc.” (마침표 하나 차이)
    • 사용자들이 구분 못함

  3. Let’s Encrypt 성공:

    • 무료 DV로 충분한 암호화
    • 95% 이상의 웹사이트가 HTTPS 전환
    • EV의 가치 하락

업계 반응

찬성 (브라우저 벤더, 보안 전문가):

  • Google, Mozilla: “녹색 바가 보안을 의미하지 않음”
  • EFF: “EV는 마케팅일 뿐, 실제 보안은 DV와 동일”

반대 (CA, 금융권):

  • DigiCert, Entrust: “EV 투자가 무용지물”
  • 은행 협회: “고객 신뢰 하락 우려”

결과:

  • 금융/정부: 여전히 EV 사용 (내부 규정)
  • 일반 기업: OV/DV로 전환
  • 신규 서비스: 거의 DV 사용

비용 대비 효과 분석

실제 비용 (2025년 기준)

규모 도메인 수 DV (연간) OV (연간) EV (연간)
소규모 1-3개 $0 $88 $295
중규모 5-10개 $0 $440 $1,475
대규모 20+개 $0 $1,760 $5,900

ROI 계산

시나리오: 전자상거래 사이트

항목 DV OV EV
인증서 비용 $0 $88 $295
운영 시간 0h (자동화) 4h (서류) 8h (서류+검증)
인건비 $0 $200 $400
총 비용 $0 $288 $695
전환율 증가 0% +0.1% +0.1%
매출 증가 $0 $1,000 $1,000
순이익 $0 $712 $305

결론: 대부분의 경우 OV가 가성비 최고

하지만 2020년 이후 브라우저 UI 변경으로 인해 실제 전환율 증가는 미미함.

자주 묻는 질문 (FAQ)

Q1: DV 인증서는 보안이 약한가요?

A: 아니요. 암호화 강도는 DV/OV/EV 모두 동일합니다. 차이는 “누가 운영하는지” 검증 수준이지, 데이터 암호화 수준이 아닙니다.

# DV와 EV 모두 동일한 암호화
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS 1.3, RSA 2048-bit

Q2: 개인 블로그에 OV/EV가 필요한가요?

A: 불필요합니다. Let’s Encrypt DV로 충분합니다. OV/EV는 법인만 발급 가능하며, 개인은 신청할 수 없습니다.

Q3: 고객이 EV를 요구하는데, 꼭 발급해야 하나요?

A: 고객에게 설명해보세요:

  • 2020년 이후 브라우저에서 녹색 바 제거
  • 암호화 강도는 DV와 동일
  • 비용 대비 효과 낮음

단, B2B 계약서에 명시되어 있다면 발급해야 합니다.

Q4: Wildcard 인증서는 어떤 검증 레벨인가요?

A: DV 또는 OV 모두 가능합니다.

# DV Wildcard (Let's Encrypt)
apiVersion: cert-manager.io/v1
kind: Certificate
metadata:
  name: wildcard-dv
spec:
  dnsNames:
    - "*.example.com"
  issuerRef:
    name: letsencrypt-prod
    kind: ClusterIssuer
# OV Wildcard (DigiCert)
# CSR 생성 시 CN=*.example.com
# OV 검증 과정 동일
# 가격: ~$300/년

EV Wildcard는 불가능합니다. (CA/Browser Forum 규정)

Q5: Kubernetes에서 OV/EV를 사용하려면?

A: cert-manager는 ACME(DV)만 자동화 가능합니다. OV/EV는 수동 발급 후 Secret으로 저장해야 합니다.

# 1. CA에서 수동 발급
# 2. 다운로드한 인증서를 Secret으로 생성
kubectl create secret tls ov-cert \
  --cert=cert.crt \
  --key=private.key \
  -n production

# 3. Ingress에서 사용
spec:
  tls:
    - hosts:
        - example.com
      secretName: ov-cert

Q6: 무료 OV/EV는 없나요?

A: 없습니다. OV/EV는 수동 검증이 필요하므로 인건비가 발생합니다. 모든 CA가 유료로 제공합니다.

Q7: SAN (Subject Alternative Name) 인증서는?

A: SAN은 하나의 인증서에 여러 도메인을 포함하는 방식으로, DV/OV/EV 모두 지원합니다.

# DV SAN (Let's Encrypt)
spec:
  dnsNames:
    - example.com
    - www.example.com
    - api.example.com
    - shop.example.com
# OV SAN (DigiCert)
# 기본 5개 도메인 포함
# 추가 도메인당 $20~$50

권장사항 정리

2025년 기준 추천

상황 추천 이유
개인/소규모 DV (Let’s Encrypt) 무료, 자동화, 충분함
스타트업 DV (Let’s Encrypt) 비용 절감, 빠른 배포
중소기업 DV 또는 OV 예산 있으면 OV (조직 신뢰)
B2B 서비스 OV 파트너사 신뢰
금융/정부 EV (규정 준수) 내부 정책/법규
API 서버 DV + mTLS 자동화, 클라이언트 인증

체크리스트

DV를 선택하세요:

  • 예산이 제한적
  • 빠른 배포가 필요
  • 자동화가 중요
  • 개인/스타트업
  • B2C 서비스

OV를 고려하세요:

  • B2B 파트너 신뢰 중요
  • 조직 정보 표시 필요
  • 연간 $100~$300 예산 있음
  • 중소기업 공식 사이트

EV가 필요한 경우:

  • 금융 규제 준수 필수
  • 정부 기관 (내부 규정)
  • 계약서에 명시
  • 법적 보험 필요

참고 자료

© 2025, 미나리와 함께 만들었음