Let’s Encrypt, 미국 제재 대상 지역에서 인증서 사용 금지 [PDF]

Let’s Encrypt의 사명은 더 안전하고 프라이버시를 존중하는 웹을 만드는 것이라면서, 정작 그게 가장 필요한 나라에 사는 사람들은 제외되는 모양임
다만 이건 적성국에 SSL 기술을 수출하지 말라는 미국의 황당한 법적 요구에서 비롯된 것 같음. 예전 웹 브라우저가 40비트 암호화만 지원하는 “국제 친화” 버전과 128비트 암호화를 지원하는 “고급 보안” 버전으로 나뉘던 시절을 기억하는 사람도 있을 것임

Let’s Encrypt는 여전히 전 세계 거의 모든 취약한 집단에게 제공되고 있고, 가장 필요한 사람들도 포함된다고 봄. 다만 이 주제가 복잡해서 절대적으로 말하긴 조심스러움
제재 관련 차단의 대부분은 특정 제재 대상 국가의 정부에만 적용되고, 일반 국민에게 적용되는 것은 아님
이번 가입자 계약 업데이트는 법적 요구사항을 더 잘 반영하려는 것이었고, 제공하는 서비스의 큰 변화는 아님. 컴플라이언스 프로그램은 시간이 지나며 변하고, 약관에서 이를 더 잘 전달하는 것도 그 일부임. 여기 댓글들을 보면 문구를 더 이해하기 쉽게 만들 필요가 분명해 보이고, 그 부분은 개선하겠음
그리고 이건 “적성국에 SSL 기술을 수출하지 말라는 미국 법” 때문이 아님

PGP 코드가 책으로 인쇄되어 수출되던 시절을 실제로 기억함. 강한 키를 쓰는 암호화 소스 코드를 디지털 형태로 수출하는 건 금지됐지만, 책은 수정헌법 1조로 보호돼 괜찮았음
해외에서 그 인쇄물을 스캔해 소스를 복원하고 합법적으로 PGP를 빌드했음

요즘 기술 전반에서 미국 법체계가 거대한 분열과 디지털 철의 장막을 빠르게 세우는 느낌임. AI 모델부터 TLS 인증서 같은 더 일상적인 것까지 그럼
미국 기반의 많은 Linux 배포판이 이미 한동안 이런 노선을 따랐고, RedHat도 Let’s Encrypt와 꽤 비슷한 고지를 해왔음
의미 있는 오픈 프로젝트라면 결국 RISC-V처럼 이전할지, Let’s Encrypt와 다른 프로젝트들처럼 분리를 집행할지 경로를 선택해야 할 듯함

Let’s Encrypt가 유럽이나 미국 및 그 하위 동맹권 밖에 지사를 둘 수는 없었을까?
About 페이지에서 밝힌 목표와 배치됨. “공익을 위해 운영되는 서비스”, “도메인 이름을 가진 누구나 무료로 신뢰된 인증서를 얻을 수 있음”, “어느 한 조직의 통제를 넘어 커뮤니티에 이익을 주기 위한 공동 노력”이라고 해놓고, 이제는 자신들이 정치 조직의 통제 아래 있음을 인정한 셈임
2026-06-04에 가입자 계약에 추가된 문구는, 포괄적 미국 제재 대상 국가나 영토에 있거나 그 법에 따라 설립됐거나 통상 거주하는 사람·단체, 미국 또는 기타 적용 가능한 제재·수출통제법상 금지·제한 대상, 또는 그런 대상이 소유·통제하거나 대리하는 사람은 아니어야 하며, Let’s Encrypt 인증서와 ISRG 제공 서비스를 미국 수출통제 및 제재법에 맞게 사용해야 한다는 내용임

가능은 하지만, 그 지사가 해당 법을 따르지 않으면 미국 본부가 여전히 책임을 지게 됨

유럽에 있어서는 안 됨. 말한 것처럼 미국 하위 동맹권도 미국 자체보다 낫지 않기 때문임
차라리 Singapore나 Uruguay 같은 중립국으로 옮기는 편이 나음

Let’s Encrypt에 해당하는 비미국 서비스들도 있음

Let’s Encrypt는 지사로 쪼갤 수 있는 코드나 회사 같은 게 아님. 존재 기반은 브라우저와 운영체제와의 신뢰 관계에 있음
대체 루트를 만드는 기술 자체는 도메인 이름이나 IP 주소 체계처럼 거의 사소하지만, 그 대체 루트가 세계의 나머지 참여자에게 받아들여질 신뢰를 얻는 일이 훨씬 어려움
예를 들어 누군가 러시아판 Let’s Encrypt를 만들었다고 해보면, ACME 챌린지로 인증서를 요청하고 받을 수 있다는 기술적 측면은 기존 LE와 같을 수 있음. 하지만 어떤 브라우저도 이를 유효하다고 인정하지 않고, 어떤 운영체제도 유효하다고 보지 않을 것임. 러시아 정부가 정부 컴퓨터에 새 LE를 신뢰 대상으로 추가할 수는 있겠지만, 진짜 일은 세계의 다른 참여자들도 그렇게 하게 만드는 것임. 문제는 기술이 아니라 신뢰 위에 세워진 사회적 문제임
러시아가 우크라이나를 침공했을 때 IANA/ICANN이 러시아를 도메인 이름과 IP 주소에서 끊어야 하는지 큰 논의가 있었음. 결론은 그렇게 하지 않는 것이었는데, 상징적 이익은 작고 전체 시스템에 줄 피해가 특히 전쟁 이후까지 너무 크다고 봤기 때문임. 루트가 둘이면 도메인 이름이나 IP 주소가 갑자기 두 위치를 가질 수 있고, 나중에 고치고 싶어도 엄청난 고통이 됨. 인증 기관은 이 특성이 없어서 거의 무한한 수의 루트가 공존할 수 있고, 해시 충돌이 없다는 전제에서는 서로 충돌하지 않음. 러시아가 새 인증 기관을 띄우면 원하는 사람은 오늘부터 쓸 수 있고, 전쟁이 끝난 뒤에도 계속 쓸 수 있음

완전히 독립적인 단체가 훨씬 나은 선택지임. 프로토콜은 어차피 열려 있으니 다른 제공자로 가리키기만 하면 됨

Iran은 몇 달째 인터넷을 차단하고 있는데, 미국은 안전한 연결 생성을 금지한다니 정말 “효과적”임
러시아의 준정부 조직들은 러시아 주민을 감시하려고 검열 시스템인 TSPU에 천문학적인 루블을 쓰고 있는데, 미국은 접근 가능한 암호화를 금지해 현재 암호화된 트래픽도 엿볼 수 있게 만들어 그들을 도와주는 꼴임

Let’s Encrypt 인증서는 Iran과 Russia 모두에서 계속 사용 가능하며, 다만 Iran과 Russia 정부에는 제공되지 않음
관련 법을 준수해왔다는 점을 명확히 하려는 약관 업데이트일 뿐이고, 두 나라의 상황을 바꾼 것은 아님

[Iranian here] 완전히 동의함. 미국이 Iran의 시민과 기업이 AWS나 DigitalOcean 같은 클라우드 인프라를 쓰지 못하게 금지했던 일이 떠오름
그 결과 사람들과 기업들이 정부가 후원하는 로컬 클라우드 서비스로 이동했고, 정부는 은행, 전자상거래, 온라인 택시 호출, 음식 배달 같은 필수 서비스는 중단하지 않으면서도 원할 때마다 인터넷 접근을 차단하기가 훨씬 쉬워졌음

TSPU는 감시용이 아니라 검열 집행과 VPN 없이 여기서 인터넷을 쓰는 경험을 비참하게 만드는 여러 기능을 위한 것임. 감시용은 SORM임
그리고 Roskomnadzor는 명백히 정부의 일부임

이 일은 디지털 인증서가 결국 인증 기관 소유자를 대신해 배제를 강제하는 수단이라는 직감에 힘을 실어줌
소프트웨어든 펌웨어든 하드웨어든, 이번처럼 SSL/TLS든, 디지털 인증서의 영향을 받는 것에 대해 사람들이 완전한 소유권과 통제권을 갖지 못하게 만드는 도구임. 위장한 디지털 폭정임

여기서는 인증 기관이 주된 통제권을 가진 것처럼 보이지만, 실제 통제는 인증 기관을 신뢰 대상으로 넣어둔 브라우저와 운영체제에 있음
사용자도 적어도 현재로서는 인증 기관을 추가하거나 제거할 수 있음. 스마트폰 같은 기기에서는 그 통제가 조금 덜 명확하긴 함
소프트웨어 패키지에 서명하는 디지털 인증서는 일부 제조사가 배제를 강제하는 데 사용함. Let’s Encrypt는 내가 알기로 그 영역에 있지 않지만, 그 경우 소유자는 어떤 인증 기관을 신뢰할지 결정할 권리가 없고 보통 제조사만 신뢰 대상으로 들어감. 기술적으로는 패키지에 서명하는 루트 인증서의 소유자라 하더라도, 그런 주체를 인증 기관이라고 불러야 하는지도 논쟁적임

늘 이를 신뢰 사슬로 봤고, 누구나 루트 인증서를 만들어 자신을 신뢰하는 사람들에게 배포할 수 있다고 생각함
대부분의 단순 서비스는 TLS가 필요 없을 수도 있지만, ISP가 통신을 엿보는 상황에서는 안전한 통신 방식이 필요하고, 현재 최선의 해법은 신뢰 사슬을 구축하는 방식임

신뢰 모델의 핵심은 애초에 사람을 배제하는 것임. 그게 명시된 목표임
신뢰 없이 암호화만 원한다면 자체 서명 인증서를 쓰면 됨

“디지털 폭정”은 주목적이 아니라 부작용이라고 봄. 디지털 인증서는 주로 특정 종류의 중간자 공격을 막기 위한 수단임

제재 대상과 거래하는 순간, 계약 전체를 위반하게 되어 모든 인증서가 폐기될 위험이 있어 보임. 제재 대상이 아닌 국가의 인증서까지 포함해서임

2.1 “Term”에는 “당신의 인증서 중 어느 하나라도 유효한 전체 기간” 동안 계약이 유지된다고 되어 있고, 3.1 “Warranties”에는 “Let’s Encrypt 인증서 하나를 요청, 수락 또는 사용함으로써”라고 되어 있어 범위가 넓어 보임

오늘 Iranian에게 인사했는데, Let’s Encrypt가 내 웹사이트를 폐기하는지 보겠음

이건 정말 나쁨. 최악에 가까움. 제재 대상 국가에서 모든 로컬 서비스가 멈추기 시작하면, 그 나라 정부는 모든 사용자에게 루트 인증서 설치를 강제하거나 로컬 서비스와 웹사이트 접근을 끊을 것임
그러면 그 루트 인증서를 중간자 공격에 사용할 수 있게 됨. 최악의 경우 대다수 사용자가 루트 인증서를 설치한 뒤, 국가 심층 패킷 검사 장비가 모든 트래픽에 중간자 공격을 걸고 중간자 공격이 불가능한 트래픽은 전부 차단할 수 있음

제재가 효과를 낸 셈이네

왜 다운보트를 받았는지 모르겠음. 러시아 정부는 이미 Yandex Browser를 이용해 은행용 정부 루트 인증서를 밀어붙이려 한 적이 있고, 이제 이런 일이 생김

이건 카나리아인가?
Greenland, Cuba, EU 같은 곳에서 Let’s Encrypt 인증서 하나를 새로 쓰거나 계속 쓰면 무슨 일이 생기는 걸까?
Let’s Encrypt가 소환장을 받은 건가?

ISRG가 소환장을 받았을 가능성 자체는 있음. 지금 미국 DOJ가 정치꾼과 무능한 광대들의 혼합물처럼 보이기 때문임. 하지만 별 의미는 없음. 핵심은 그들이 아는 것이 없다는 점임
그들에게 알려준 내용은 “subpoena” 철자도 모르고 발부할 줄도 몰라도 누구나 볼 수 있게 공개 로그에 기록되는 정보임
어떤 사람들은 인증 기관이 비밀을 갖고 있고, 사용자가 그 비밀을 만들어 인증 기관에 보냈거나 인증 기관이 만들어 사본을 줬기 때문에 미국 정부가 소환장으로 그 비밀을 얻을 수 있다고 상상함. 하지만 공개 키 기반 구조의 핵심은 공개 키 암호화를 쓴다는 데 있음. 여기저기에 모두가 비밀을 들고 있어도 괜찮았다면 이 전체 구조가 필요 없었음

Greenland도 EU도 미국의 제재 대상이 아님

이게 정말 새로운 일인가? 나한테는 암호화 기술에 대한 표준적인 미국 수출 제한처럼 보임. 이런 제한은 90년대부터 있었음
Let’s Encrypt가 미국 회사이거나, GitHub에 뭔가 올리거나, 주요 앱 스토어에 뭔가 게시한다면 미국의 암호 관련 수출 제한을 받게 됨. Google Play에 앱을 올릴 때마다 그 앱이 암호화를 어떻게 쓰는지 미국 정부에 신고하는 양식을 제출해야 했음
이런 제한은 1950년대 후반부터 시행되어 왔고, 컴퓨터 암호화와 관련해 길고 복잡한 역사가 있음. 이 문구는 미국 EAR 수출 요구사항을 준수하기 위해 필요한 상용 문구처럼 보임

인증서는 암호기술이 아니라 그냥 숫자임. 인증서를 요청하는 쪽은 이미 서버에 암호화 소프트웨어를 설치했고, 접속하려는 클라이언트도 마찬가지임
그 숫자에는 기술적으로 특별한 것이 없고, 신뢰 사슬이 축복했다는 사회적 계약의 영역에 있음

프라이버시를 진지하게 증진하려는 조직이라면 90년대나 50년대부터 미국을 피했어야 함. 그래도 안전한 관할권으로 재설립하기에 두 번째로 좋은 때는 오늘임

“sanction”이라는 단어는 참 마음에 듦. 자기 자신의 반의어임
“The committee sanctioned the new policy.”에서는 승인했다는 뜻이고, “The committee sanctioned the rogue nation.”에서는 제재했다는 뜻임

전통적인 영어에는 cleave 같은 자가반의어가 많음

웹 인증서의 약 60%를 단일 제공자에 몰아넣은 건 실수였을지도 모름

다행히 그 제공자를 쓰는 모두가 열린 프로토콜을 쓰고 있고, 전환도 아주 쉬움

그 전에는 모두 암호화되지 않았고 인증서를 얻으려면 돈을 내야 했음. 다시 그때로 돌아갈 수도 있겠지만, 이제는 암호화되지 않은 모든 연결이 중간자 공격을 당한다는 걸 아는 세상임. 지금 세상은 훨씬 더 적대적임