Let’s Encrypt가 첫 번째 IP 주소용 인증서를 발급했으며, IP 주소 인증서의 배경, 드문 이유, 활용 사례, 발급 방법과 정책을 설명합니다.
언어 ![]()
EnglishCatalàČeštinaDanskDeutschGreekEspañolSuomiFrançaisעבריתMagyarBahasa IndonesiaItaliano日本語한국어PolishPortuguês do BrasilРусскийසිංහලSrpskiSvenskaTamilThaiTürkçeУкраїнськаTiếng Việt简体中文繁體中文
기부 * 후원사가 되기 * 현재 후원사 및 지원 기관 * 참여하기 * 기부하기
소개 * Let's Encrypt * 자주 묻는 질문(FAQ) * 정책 및 법률 저장소 * 서비스 상태 * 통계 * 연락처 * 채용 * 연간 보고서 * Internet Security Research Group(ISRG)
Aaron Gable · 2025년 7월 1일
Let’s Encrypt가 2015년에 인증서 발급을 시작한 이래로, 사람들은 IP 주소에 대한 인증서를 발급받을 수 있는 기능을 반복적으로 요청해 왔습니다. 이 옵션은 일부 인증기관(CA)만이 제공해 왔습니다. 지금까지는 저희가 그 기능을 제공하지 않았기 때문에, 필요했던 분들은 다른 곳을 찾아야 했습니다.
오늘, 저희는 1월에 예고했던 대로 IP 주소에 대한 첫 번째 인증서를 발급했습니다. 엔지니어링 로드맵에 있는 다른 새로운 인증서 기능들과 마찬가지로, 이제 이 옵션을 더 많은 구독자들에게 점진적으로 확대 제공할 예정입니다.
IP 주소는 인터넷에서 사용되는 기본적인 숫자 주소입니다. 인터넷에 연결된 모든 장치는 IP 주소를 하나씩 가지고 있습니다(다만 현대의 운영 방식에서는, 하나의 가정 네트워크가 단일 공인 IP 주소를 공유하는 것처럼 다른 장치와 공유되는 경우도 있습니다). 인터넷 인프라는 이 주소를 사용해 통신을 올바른 목적지로 라우팅합니다. IP 주소는 IPv4와 IPv6 두 형태가 있으며, 일반적으로 54.215.62.21(IPv4) 또는 2600:1f1c:446:4900::65(IPv6)처럼 보입니다.
대부분의 인터넷 사용자는 IP 주소를 직접 보거나 참조할 일이 거의 없습니다. 대신 letsencrypt.org 같은 도메인 이름으로 인터넷 서비스를 가리키는 경우가 거의 전부입니다. 도메인 네임 시스템(DNS)은 특정 도메인 이름에 연결된 IP 주소를 소프트웨어가 찾을 수 있도록 해 주는 인터넷 인프라의 한 부분입니다. 예를 들어, 웹 브라우저는 DNS를 사용해 https://letsencrypt.org/ (Let’s Encrypt의 웹사이트)가 54.215.62.21과 2600:1f1c:446:4900::65를 포함한 여러 IP 주소에서 제공된다는 사실을 알아낼 수 있습니다. 이 글을 읽기 시작하기 전에 이미 백그라운드에서 이 과정이 일어났을 가능성이 큽니다. 브라우저가 실제로 저희 사이트에 연결해 이 글을 가져오려면, 저희의 IP 주소를 알아야 했기 때문입니다.
우리는 인터넷 서비스를 압도적으로 도메인 이름 기준으로 생각하고 말하기 때문에, Let’s Encrypt가 구독자들에게 제공하는 인증서에도 보통 도메인 이름이 식별자로 기재됩니다. 여러분이 저희를 “letsencrypt.org”로 알고 있지 “54.215.62.21”로 알고 있는 것은 아니니, 인증서에는 도메인 이름이 들어가는 것이 가장 자연스럽습니다. 결국 브라우저가 확인해야 하는 대상이 그것이기 때문입니다. 또한 이는 인터넷 서비스가 여러 위치에서 호스팅되거나, 호스팅 위치가 변경되더라도 서버마다 별도의 인증서가 반드시 필요하지 않도록 더 큰 유연성을 제공합니다.
원칙적으로는 도메인 이름 대신 IP 주소에 대해 인증서를 발급하지 못할 이유가 없습니다. 사실 인증서에 대한 기술 및 정책 표준은 처음부터 이를 허용해 왔고, 소수의 인증기관이 제한된 규모로 이 서비스를 제공해 왔습니다. Let’s Encrypt의 경우에는, 구독자들에게 이 옵션을 제공하기 전에 단명(Short-lived) 인증서 같은 다른 구성 요소들이 먼저 준비되기를 기다리는 편을 선택해 왔습니다.
첫째이자 가장 중요한 이유는, 인터넷 사용자가 보통 서비스를 IP 주소가 아니라 도메인 이름으로 인지하기 때문이며, IP 주소는 사전 고지 없이도 “뒤에서” 쉽게 바뀔 수 있기 때문입니다. 예를 들어 인기 사이트가 한 클라우드 호스팅 업체에서 다른 업체로 이전하고 DNS 레코드를 새 호스트를 가리키도록 업데이트할 수 있습니다. 대부분의 사용자는 사이트의 기반 IP 주소가 완전히 달라졌더라도 그 변화를 전혀 눈치채지 못할 것입니다.
둘째로, IP 주소가 이렇게 쉽게 바뀔 수 있기 때문에 IP 주소에 대한 “소유”의 감각—혹은 인증기관이 이를 증명(attest)할 수 있는 정도—은 도메인 이름에 비해 약한 편입니다. 집에서 가정용 초고속 인터넷 회선을 통해 무언가를 호스팅하고 있다면, 인터넷 서비스 제공자(ISP)는 여러분의 IP 주소가 시간이 지나도 동일하게 유지된다고 보장하지 않을 가능성이 큽니다. (즉, 대부분의 가정용 사용자는 “고정 IP 주소(static IP)”가 아니라 ISP로부터 “유동 IP 주소(dynamic IP)”를 할당받습니다.) 이런 경우에는, 그 주소가 경고 없이 자주 바뀔 수 있고, 기존 주소가 다른 사람에게 재할당될 수 있다는 가능성까지 고려해야 합니다.
셋째로, 대부분의 인터넷 서비스 운영자는 최종 사용자가 의도적으로 IP 주소로 직접 사이트에 접속할 것이라고 기대하지 않습니다. 어떤 경우에는, 하나의 IP 주소를 여러 웹사이트나 서로 다른 장치가 공유할 때 IP 주소만으로 접속하면 제대로 동작하지 않을 수도 있습니다. 그런 경우라면 IP 주소에 대한 인증서를 얻어도 이점이 크지 않습니다.
현재 대부분의 구독자는 기존의 도메인 이름 인증서만으로 충분하며 IP 주소 인증서가 필요하지 않을 것입니다. IP 주소 인증서가 필요한 구독자는 대개 이미 그 필요성을 알고 있습니다. 저희가 인지하고 있는 몇 가지 사용 사례는 다음과 같습니다.
호스팅 제공자의 기본 페이지: 누군가 개별 사이트 이름 대신 서버의 IP 주소를 브라우저에 붙여넣는 경우(현재는 보통 브라우저에서 오류가 발생함).
도메인 이름이 전혀 없는 상태에서 웹사이트에 접속하는 방법(도메인 이름을 사용하는 것에 비해 신뢰성과 편의성이 어느 정도 희생됨).
DNS over HTTPS(DoH) 또는 기타 인프라 서비스 보안. 인증서가 있으면 DoH 서버가 클라이언트에게 자신의 신원을 증명하기 훨씬 쉬워집니다. 이는 DoH 사용자나 클라이언트가 DoH 서버에 연결할 때 유효한 공개 신뢰(publicly-trusted) 인증서를 요구하도록 강제하는 것을 더 실현 가능하게 만들 수 있습니다.
도메인 이름 없이도, 일부 가정용 장치(예: NAS, IoT 장치)에 대한 원격 접근을 보호.
클라우드 호스팅 인프라 내부의 일시적(ephemeral) 연결 보안: 예를 들어 한 백엔드 클라우드 서버에서 다른 서버로의 연결, 또는 HTTPS로 새로 생성된/단명 백엔드 서버를 관리하기 위한 일시적 연결 등. 단, 해당 서버들이 최소 하나 이상의 공인 IP 주소를 사용할 수 있어야 합니다.
IP 주소 인증서는 현재 스테이징(Staging)에서 이용할 수 있습니다. 2025년 후반에는 단명 인증서가 정식(Prod)에서 일반 제공되는 것과 동시에, IP 주소 인증서도 정식 환경에서 일반 제공될 예정입니다. 일반 제공 이전에는, 피드백을 제공해 줄 수 있는 제한된 수의 파트너에게 허용 목록(allow list) 방식으로 발급을 허용할 수도 있습니다.
많은 Let’s Encrypt 클라이언트 애플리케이션은 이미 IP 주소에 대한 인증서 요청을 할 수 있을 것으로 보이지만, 일부 클라이언트 소프트웨어에서는 이를 지원하기 위해 작은 기술적 변경이 필요할 수 있습니다.
정책상, IP 주소를 포함하는 Let’s Encrypt 인증서는 단명 인증서여야 하며 유효 기간은 약 6일뿐입니다. 따라서 여러분의 ACME 클라이언트는 ACME Profiles 초안 사양을 지원해야 하고, shortlived 프로필을 요청하도록 설정해야 합니다. 그리고 아마 놀랍지 않겠지만, IP 주소에 대한 제어권을 증명하기 위해 DNS 챌린지 방식을 사용할 수는 없습니다. http-01 및 tls-alpn-01 방식만 사용할 수 있습니다.
클라이언트 소프트웨어가 이러한 정책과 호환되지 않는 세부 사항으로 IP 주소 인증서를 요청하면, ACME 서버는 해당 주문(order)을 거부합니다. 이 경우 클라이언트 애플리케이션을 업데이트하거나 재설정해야 할 수 있습니다. 클라이언트 애플리케이션 개발자든 최종 사용자든, 문제가 발생하면 Let’s Encrypt 커뮤니티 포럼에서 도움을 요청해 주세요.
Let’s Encrypt는 비영리 단체 Internet Security Research Group(ISRG)가 제공하는 무료, 자동화, 오픈 인증기관(CA)입니다. 올해의 비영리 활동에 대해서는 2025 연간 보고서에서 자세히 확인하실 수 있습니다.
법적 주소
548 Market St, PMB 77519
San Francisco, CA 94104-5401
USA
모든 우편물 또는 문의는 다음으로 보내 주세요:
PO Box 18666
Minneapolis, MN 55418-0666
USA