SSL/TLS가 필요한 이유

SSL/TLS란?

SSL/TLS는 보안에 대한 프로토콜 규약이자 인증서명, 보안서 등으로 사용된다.

보안이 왜 중요할까?

네트워크를 통해 파일과 데이터를 전송하는데 암호화 되어있지않고, 평문으로 데이터를 보내면 중요한 정보가 유출이 될 위험이 있다. 또한 SSL/TLS 인증서를 통한 인증 방식이 없다면 외부자로부터 데이터를 변조 당하거나, 조작되거나, 신뢰성에 대한 문제 등 다양한 문제점이 발생할 수 있다.

SSL와 TLS의 차이점

SSL은 몇 가지 보안 결함이 있는 오래된 기술이다. 전송 계층 보안(TLS)은 기존 SSL 취약성을 수정하는 업그레이드된 SSL 버전이다. TLS는 더 효율적으로 인증하고 암호화된 통신 채널을 계속 지원된다. TLS는 SSL의 직접적인 후속이며 이제 모든 버전의 SSL이 더 이상 사용되지 않는다. 하지만 TLS 연결을 설명하는 데 SSL이라는 용어가 많이 사용된다. 대부분의 경우 SSL 및 SSL/TLS라는 용어 모두 TLS 프로토콜과 TLS 인증서를 나타낸다.

SSL/TLS은 어디서 활용할까?

SSL/TLS 프로토콜은 다양한 서비스에서 활용된다. 브라우저, 이메일 서비스, 파일 전송, 클라우드 서비스, API 통신, 모바일 애플리케이션 등 네트워크 통신의 보안을 제공하는 범용적인 솔루션으로, 다양한 네트워크 프로토콜과 통합되어 사용된다. SSL/TLS 인증서는 확장 검증 인증서, 조직에서 검증한 인증서, 도메인에서 검증한 인증서등 다양한 인증서가 있다. 각 상황에 맞게 필요한 인증서를 설치하여 보안 인증을 진행할 수 있다.

SSL/TLS는 어떻게 사용할까?

SSL/TLS 인증서는 인증기관(CA)에서 발급 받아서 웹서버 등에 설치하여 사용할 수 있다.

SSL/TLS 인증을 어떻게 진행할까?

클라이언트와 서버간에 연결을 진행한다는 가정하에 설명하자면
1. 클라이언트가 SSL/TLS가 설치된 웹서버에 파일을 요청한다.
2. 브라우저가 웹서버가 안전한 상태인지 확인한다.
3. 웹서버에서 SSL/TLS 인증서와 함께 공개키를 클라이언트에게 전달한다.
4. 브라우저는 안전한 서버라는 것을 확인한 후 공개키를 사용하여 비밀 세션키를 웹서버에 전달한다.
5. 개인키를 사용하여 비밀세션키를 복호화하고, 이 과정에서 세션키를 추출하고 대칭키로 사용한다.
6. 이제 세션키를 다시 클라이언트에게 전달하고, 클라이언트는 이 세션키를 활용해 세션이 종료될 때까지 서버에 세션키를 통해 연결할 수 있다.
이 과정을 SSL 핸드쉐이크라고 한다.

SSL/TLS 인증서의 유효 기간은?

SSL/TLS 인증서의 최대 유효 기간은 13개월이다.

대칭키와 비대칭키란?

대칭키는 한 개의 키를 사용하여 암호화 및 복호화를 진행하는 것을 말한다.
비대칭키는 두 개의 키를 사용하고, 하나는 공개키로 하나는 개인키로 인증할 때 사용된다.
위의 SSL 핸드쉐이크 과정에서 세션키가 대칭키라고 할 수 있고, 공개키가 비대칭키라고 할 수 있다.

추가적으로 알아야 할 사항

SFTP가 SSL을 사용한다고 많이 착각하는데, SFTP는 SSH 프로토콜을 기반으로 작동한다.