본문 바로가기
IT 이론/정보보호

SSL/TLS 프로토콜

by 지식id 2016. 10. 11.
반응형

웹 브라우저와 웹 서버 간에 안전한 정보 전송을 위해 사용되는 암호화 프로토콜이다.

우선 SSL과 TLS라는 이름에 대해 짚고 넘어가자. SSL(Secure Socket Layer)은 넷스케이프사에서 개발한 보안 프로토콜로, IETF에서 이를 국제 표준화 하는 과정에서 SSL이 모 기업의 상용 제품과 이름이 같다는 이유로 TLS(Transport Layer Security)로 이름을 바꾸어 버린다. SSL3.0이 나온 직후 개명되었으므로 그냥 TLS1.0을 SSL3.0이나 SSL3.01정도로 보면 된다. 말 그대로 개명이지 구조적인 변화나 기술적인 진보가 이루어 진 것은 아니므로 그냥 같은 개념으로 보면 된다. 이 글에서는 그냥 SSL로 통칭한다.

SSL은 앞서 설명한 Diffie-Helman Key ExchangeRSA Method가 모두 활용된다. 디피-헬만 법은 단독으로 사용하기엔 여러 취약점이 있고 RSA는 실시간 정보교환에 사용하기엔 암호화/복호화가 느리다는 단점이 있다.

SSL은 이 두 방식의 장점을 취하고 단점을 보완한다. 기본적으로 디피-헬만의 비밀키를 이용해서 오고 가는 데이터를 암호화하되 이 비밀키를 RSA법을 이용하여 교환하는 것이다. 이렇게 하면 실시간성 데이터는 빠르게 암호화/복호화 하면서 그 기반이 되는 비밀키는 안전하게 보호될 수 있는 것이다.

하지만 이렇게만 하면 디피-헬만법의 취약점이었던 신분위장 공격에 여전히 취약하게 된다. 이를 해결하기 위해 SSL에선 공인된 제 3자인 인증기관을 이용한다. 웹 사이트가 인증기관에 인증을 받은 후 인증기관의 비밀키로 암호화된 인증서를 이용자에게 전송한다. 이용자는 크롬, 익스플로러등의 웹 브라우저에 내장된 인증기관의 공개키로 이를 복호화하여 올바른 웹사이트인지 확인할 수 있는 것이다.

이러한 인증기관을 CA라 부르고 CA가 발급해 주는 인증서에는 DV, OV, EV 3가지가 있다.

DV(Domain Validation) : 실제 도메인의 소유주인지만 확인한다.
OV(Organization Validation) : 신청시 업체로부터 담당자(신청자)의 정보와 사용자 등록을 받음으로써 기업의 실체가 인증된다.
EV(Extended Validation) : 업체의 사업자등록증과 기업 신용정보 등 기업의 신뢰도까지 검증하여 피싱, 파밍을 방지할 수 있다.


반응형

댓글