---
title: "SSL 인증서가 근본적으로 위험한 기술인 이유 — Bazel 인증서 만료 사고 분석"
published: 2025-12-27T22:41:22.000Z
canonical: https://jeff.news/article/1268
---
# SSL 인증서가 근본적으로 위험한 기술인 이유 — Bazel 인증서 만료 사고 분석

Google Bazel 팀의 SSL 인증서 만료 사고를 분석하며, SSL 인증서가 100% 하드 장애·운영 경험 부재·자연적 피드백 없음이라는 세 가지 특성으로 근본적으로 위험한 기술임을 설명함.

- 크리스마스 연휴인 박싱데이(12/26)에 Google Bazel 팀의 SSL 인증서가 만료됨. `bcr.bazel.build`랑 `releases.bazel.build` 둘 다 먹통이 되면서 Bazel 사용자들 빌드가 일제히 깨져버린 사건임

- 원인은 자동 갱신 시스템이 새로운 서브도메인 추가 때문에 망가졌는데, 갱신 실패 알림이 안 왔던 거임. 자동화를 믿고 있었는데 자동화가 조용히 죽어있었던 전형적인 케이스

- SSL 인증서가 근본적으로 위험한 기술인 이유가 명쾌함: **운영 경험을 쌓을 기회가 없음.** 자동 갱신이 잘 돌아가면 아무도 인증서를 직접 다룰 일이 없고, 문제가 터지면 처음부터 삽질을 시작해야 함

- 실제로 Bazel 팀에서도 해당 영역에 익숙하지 않은 멤버들이 급하게 문서 읽고 권한 확보하느라 허둥댄 것으로 보고됨

> [!WARNING]
> SSL 인증서의 장애 모드는 점진적 저하(graceful degradation)의 정반대임. 1분 전까지 100% 정상이다가 다음 1분에 100% 장애. 중간이 없음

- 다른 인프라 장애는 보통 서서히 악화되면서 신호를 주는데, 인증서 만료는 시간이라는 변수가 트리거이기 때문에 스테이징도, 카나리 배포도, 점진적 롤아웃도 불가능함. 사용자 코호트별로 만료 시점을 다르게 설정할 수도 없음

- 정리하면 SSL 인증서는 ① 예상 가능한 장애 모드(만료)가 있는데 ② 폭발 반경이 최대(100% 유저 하드 장애)이고 ③ 운영자에게 자연적인 피드백이 전혀 없는 기술임. 거기에 자동 갱신까지 쓰면 대응 인력의 경험치도 0에 수렴함

- 시니어 엔지니어한테 "만료된 SSL 인증서"라고 말하면 표정이 변하는 데는 다 이유가 있다는 거임

## 핵심 포인트

- 자동 갱신 시스템이 새 서브도메인 추가로 조용히 고장나고 알림도 안 옴
- SSL 인증서 장애는 점진적 저하 없이 1분 만에 100% 장애
- 자동 갱신은 운영 경험 축적을 막아 장애 시 대응 역량이 0
- 시간이 트리거이므로 스테이징이나 카나리 배포가 불가능

## 인사이트

자동화가 역설적으로 장애 대응 역량을 약화시키는 대표적 사례. 모니터링 없는 자동화는 자동화가 아니라 방치임