CT 로그(Certificate Transparency)란?

2026-06-07 · 읽는 데 4분

누군가 내 도메인으로 몰래 인증서를 발급받으면 어떻게 알 수 있을까요? 그 답이 CT 로그입니다. SSLCheck의 Enterprise 기능인 "CT 로그 모니터링"의 바탕 개념을 정리했습니다.

Certificate Transparency란?

CT(Certificate Transparency)는 "발급되는 모든 SSL 인증서를 공개 장부에 기록하자"는 구글 주도의 보안 체계입니다. 인증기관(CA)은 인증서를 발급할 때 이를 누구나 열람할 수 있는 공개 로그에 등록해야 합니다.

이 로그는 한 번 적으면 바꿀 수 없는(append-only) 구조라, 인증서 발급 내역이 투명하게 남습니다. 오늘날 주요 브라우저는 CT 로그에 기록되지 않은 인증서를 신뢰하지 않습니다.

과거에 일부 CA가 실수로, 또는 해킹당해 엉뚱한 인증서를 발급한 사고가 있었습니다(예: 2011년 DigiNotar 사건). 공격자가 내 도메인용 인증서를 몰래 발급받으면, 가짜 사이트를 진짜처럼 위장할 수 있습니다.

문제는 도메인 주인이 그 사실을 알 방법이 없었다는 점입니다. CT는 모든 발급을 공개해, 도메인 주인이 "내가 발급하지 않은 인증서"를 발견할 수 있게 만들었습니다.

CT 로그를 주기적으로 살펴, 내 도메인으로 새 인증서가 발급되면 감지하는 것입니다.

내가 발급한 것(갱신·신규)이라면 정상입니다.
발급한 적이 없는데 기록이 떴다면 무단 발급 신호일 수 있습니다. 도메인 탈취, 내부자 오발급, CA 실수 등을 조기에 잡아낼 수 있습니다.

Enterprise 플랜에서 등록한 도메인의 CT 로그를 점검합니다. 최초 1회는 기준선만 저장하고, 이후 새 인증서가 로그에 나타나면 알림으로 알려드립니다. "내가 모르는 인증서가 내 도메인으로 발급됐다"는 것을 가장 빠르게 아는 방법 중 하나입니다.

SSLCheck가 만료 전에 이메일과 카카오톡으로 알려드립니다. 무료로 2개 도메인부터 시작하세요.