MVA(Mark Verifying Authority)란? VMC 발급 방식 이해하기
MVA 생태계의 작동 방식, VMC 발급 승인을 받은 인증 기관 목록, 그리고 승인되지 않은 CA에서 구매 시 BIMI 배포가 실패하는 이유를 알아봅니다.
인증서 체인: MVA(Mark Verifying Authority)란 무엇인가?
VMC(Verified Mark Certificate)는 아무 인증 기관(Certificate Authority)에서나 발급받을 수 있는 것이 아닙니다. VMC를 발급하려면 CA는 먼저 MVA(Mark Verifying Authority) 자격을 획득해야 합니다. 이 자격은 AuthIndicators Working Group(일반적으로 BIMI Group으로 알려진)이 정의한 엄격한 기술적, 운영적, 감사 요건을 충족한 경우에만 부여됩니다.
VMC를 구매하기 전에 MVA 생태계를 이해하는 것이 필수적입니다. 승인되지 않은 출처에서 구매하면 해당 인증서는 Gmail, Apple Mail 또는 기타 BIMI 지원 메일 클라이언트에서 인식되지 않으며, 브랜드 로고가 받은편지함에 표시되지 않습니다.
MVA(Mark Verifying Authority)란?
MVA(Mark Verifying Authority)는 AuthIndicators Working Group에 의해 VMC 발급을 공식 승인받은 인증 기관입니다. MVA는 두 가지 핵심 기능을 수행합니다:
- 상표 검증 — VMC를 요청하는 조직이 해당 로고와 연결된 상표의 정당한 소유자임을 확인합니다.
- 인증서 발급 — 검증된 상표를 SVG 로고 파일 및 도메인과 연결하는 암호화 서명된 VMC를 발급합니다.
Google 및 Apple과 같은 메일 수신자는 승인된 MVA가 발급한 VMC만 신뢰합니다. 인증서가 이 승인 목록 외부의 CA에서 발급된 경우, 전체 BIMI 검증이 조용히 실패합니다 — 로고가 표시되지 않으며 발신자에게 오류도 노출되지 않습니다.
2025년 기준 승인된 MVA 목록
AuthIndicators Working Group이 승인된 MVA의 공식 목록을 관리합니다. 2025년 기준, 세 개의 인증 기관이 MVA 자격을 보유하고 있습니다:
| MVA | 비고 | |---|---| | DigiCert | 최초 승인 MVA; DigiCert 브랜드로 VMC 발급 | | Sectigo | VMC 발급; S/MIME 및 코드 서명 분야에서 오랜 강점 보유 | | GlobalSign | VMC 발급; 엔터프라이즈 PKI 분야에서 강한 입지 |
중요: 이 목록은 새로운 CA가 승인 절차를 완료함에 따라 변경됩니다. 구매 전에 항상 AuthIndicators Working Group에서 현재 MVA 자격을 확인하세요.
CA가 MVA가 되는 과정
승인 과정은 의도적으로 까다롭습니다. CA는 BIMI Group이 MVA 자격을 부여하기 전에 아래의 모든 요건을 충족해야 합니다.
1. CPS(Certification Practice Statement) 공개
CA는 CPS(Certification Practice Statement)를 공개해야 합니다. 이는 VMC의 발급, 관리, 폐기 및 갱신 방법을 정확히 기술하는 상세한 공개 문서입니다. CPS는 VMC 발급 절차와 상표 검증 워크플로우를 구체적으로 다루어야 합니다.
2. CT(Certificate Transparency) 로그 기록
발급된 모든 VMC는 Certificate Transparency 로그에 제출되어야 합니다. 이는 발급된 모든 인증서의 공개적으로 감사 가능하고 추가 전용인 기록입니다. 이를 통해 메일 수신자, 연구자 및 도메인 소유자가 잘못 발급되거나 사기성 인증서를 탐지할 수 있습니다.
3. 인증서 폐기 인프라 구축
CA는 CRL(Certificate Revocation Lists) 또는 이에 상응하는 OCSP 응답기를 운영하고 유지해야 하며, 이를 통해 손상되거나 잘못 발급된 VMC를 신속하게 폐기할 수 있습니다. 메일 수신자는 로고를 표시하기 전에 폐기 상태를 확인합니다.
4. WebTrust VMC 감사 통과
CA는 공인된 제3자 감사인이 수행하는 WebTrust for VMC 감사를 의뢰하고 통과해야 합니다. WebTrust 감사는 CA의 실제 관행이 공개된 CPS와 일치하는지 평가합니다. 이 감사는 매년 반복되어 지속적인 규정 준수 부담을 생성합니다.
5. CCADB 등록
CA는 CCADB(Common CA Database)에 등록되어야 합니다. 이는 Mozilla, Microsoft, Apple, Google이 신뢰할 수 있는 인증 기관을 추적하기 위해 사용하는 공유 저장소입니다. CCADB 등록은 주요 플랫폼 벤더의 신뢰를 얻고자 하는 모든 CA의 필수 조건입니다.
VMC 가격이 1,000달러 이상인 이유
위에서 설명한 규정 준수 인프라는 구축 및 유지에 많은 비용이 듭니다. 승인된 각 MVA는 다음을 수행해야 합니다:
- 연간 WebTrust 감사 비용 부담(일반적으로 감사 주기당 수만 달러)
- 고가용성 CT 로그 제출 파이프라인 운영
- 24/7 CRL 및 OCSP 인프라 유지
- 글로벌 상표 등록부 전반에 걸쳐 IP 소유권을 검증할 수 있는 상표 검증 팀 운영
- CCADB 등록 유지 및 브라우저/메일 플랫폼 벤더의 정책 변경에 대응
이러한 비용은 구매자에게 전가됩니다. 연간 1,000~1,500달러 시장 가격보다 낮은 가격의 VMC는 경고 신호로 간주해야 합니다 — 발급 CA가 전체 MVA 승인 절차를 완료하지 않았을 수 있습니다.
VMC 구매 시 이것이 중요한 이유
승인된 MVA만이 인정되는 인증서를 생성합니다
Gmail과 Apple Mail은 BIMI 로고를 표시하기 전에 전체 인증서 체인을 검증합니다. 발급 CA가 승인된 MVA 목록에 없으면 체인 검증이 실패하고 로고가 표시되지 않습니다. 대체 표시도, 경고도, 부분 표시도 없습니다.
상표 검증은 형식이 아닌 법적 요건입니다
MVA는 공식 상표 등록부(USPTO, EUIPO, WIPO 등)를 통해 상표 소유권을 확인해야 합니다. 이 단계는 메일 생태계와 귀사의 브랜드 모두를 보호합니다. 적절한 상표 검증 없이 발급된 VMC는 규정을 준수하지 않으며 폐기될 수 있습니다.
폐기는 언제든 발생할 수 있습니다
MVA가 인증서가 잘못 발급되었음을 발견하거나 상표 등록이 만료되면 VMC가 폐기될 수 있습니다. 메일 수신자가 거의 실시간으로 폐기 상태를 확인하기 때문에, 폐기된 VMC는 모든 받은편지함에서 즉시 로고가 사라지게 합니다.
핵심 요약
- MVA 자격은 AuthIndicators Working Group이 부여하며, CA가 자체적으로 선언하는 것이 아닙니다.
- 현재 세 개의 MVA가 승인되어 있습니다: DigiCert, Sectigo, GlobalSign.
- 승인 과정에는 공개된 CPS, CT 로깅, CRL 인프라, WebTrust 감사 및 CCADB 등록이 필요합니다.
- 높은 VMC 가격은 실제 규정 준수 비용을 반영합니다 — 임의적인 마진이 아닙니다.
- 구매 전에 항상 MVA 자격을 확인하세요. 승인되지 않은 CA의 인증서는 Gmail 또는 Apple Mail에서 작동하지 않습니다.
다음 단계
VMC를 구매하기 전에 BIMI 기반이 갖춰져 있는지 확인하세요:
- DMARC 적용 — 도메인에
p=quarantine또는p=rejectDMARC 정책이 설정되어 있어야 합니다. - SVG 로고 준수 — 로고가 BIMI SVG Tiny P/S 프로필을 준수해야 합니다.
- 상표 등록 — 로고가 선택한 MVA가 인정하는 관할권에서 상표로 등록되어 있어야 합니다.
makeBIMI.com 및 veriBIMI.com으로 시작하기
- makeBIMI.com — 로고를 BIMI 호환 SVG Tiny PS 파일로 무료 변환하고, VMC 신청 전에 도메인에 대한 전체 DMARC 감사를 실행하세요.
- veriBIMI.com — 엔터프라이즈 팀을 위한 CA 중립적 VMC 중개 서비스. 단일 플랫폼에서 벤더 종속 없이 모든 승인된 MVA(DigiCert, Sectigo, GlobalSign)의 가격과 발급 일정을 비교하세요.