웹사이트를 구축하는 데 있어서 안전한 SSL 인증서를 사용하는 것은 매우 중요합니다.
SSL 인증은 웹 사이트와 사용자 간의 안전한 통신을 제공하는 데 사용되는 프로토콜입니다. SSL은 Secure Sockets Layer의 약자로, 데이터를 암호화하여 보호하고 인증서를 사용하여 웹 사이트의 신원을 확인하는 역할을 합니다. SSL 인증은 HTTPS 프로토콜을 통해 웹 사이트와 브라우저 간에 암호화된 연결을 설정하여 데이터를 안전하게 전송합니다.
SSL 인증은 다음과 같은 주요 구성 요소로 구성됩니다:
- 개인 키(Private Key): 개인 키는 웹 사이트의 암호화와 복호화를 수행하는 비밀 키입니다. 이 개인 키는 웹 서버에서 생성되며, 웹 사이트 신원의 일부로 사용됩니다.
- 공개 키(Public Key): 공개 키는 개인 키와 쌍을 이루는 키로, 웹 사이트의 암호화된 데이터를 해독하는 데 사용됩니다. 공개 키는 SSL 인증서에 포함되어 방문자의 브라우저에 제공됩니다.
- SSL 인증서(Certificate): SSL 인증서는 웹 사이트의 신원을 확인하는 역할을 합니다. 인증서는 인증 기관(Certificate Authority, CA)에 의해 발행되며, 웹 사이트의 도메인 이름, 소유자 정보, 인증서의 유효 기간 등을 포함합니다. 브라우저는 인증서를 사용하여 웹 사이트의 신뢰성을 검증하고, 암호화된 연결을 설정합니다.
SSL 인증의 작동 방식은 다음과 같습니다:
- 클라이언트 요청: 사용자가 웹 브라우저를 사용하여 SSL로 보호된 웹 사이트에 접속하면, 클라이언트(브라우저)는 웹 서버에 암호화된 연결을 요청합니다. 이 요청은 HTTPS 프로토콜을 통해 이루어집니다.
- 서버 인증서 제공: 웹 서버는 클라이언트에게 공개키 암호화를 위한 인증서를 제공합니다. 이 인증서에는 웹 사이트의 정보와 공개 키가 포함되어 있습니다.
- 인증서 확인: 클라이언트는 웹 서버가 발행한 인증서의 유효성을 확인하기 위해 브라우저에 내장된 신뢰할 수 있는 인증 기관(Certificate Authority, CA)의 공개 키를 사용합니다. 브라우저는 인증서의 서명을 확인하고 인증서가 유효한지 검증합니다. 또한, 인증서에 포함된 도메인 이름이 실제로 웹 사이트의 도메인과 일치하는지도 확인합니다.
- 공개 키 교환: 클라이언트는 웹 서버의 공개 키를 사용하여 세션 키라고 불리는 임시 키를 암호화합니다. 이 세션 키는 웹 브라우저와 웹 서버 간의 통신에 사용될 대칭 암호화 방식의 키입니다.
- 연결 암호화: 클라이언트는 세션 키로 암호화된 데이터를 웹 서버로 보냅니다. 웹 서버는 해당 세션 키를 사용하여 데이터를 복호화합니다. 이를 통해 데이터는 두 당사자 간에 안전하게 전송되며, 제삼자가 데이터를 감청하거나 조작하는 것을 방지합니다.
위의 단계를 통해 SSL 인증은 웹 사이트와 사용자 간의 안전한 통신을 보장합니다. 암호화된 연결을 통해 사용자의 개인 정보, 로그인 자격 증명, 결제 정보 등이 보호되고 데이터의 무결성이 유지됩니다.
ISMS 인증의 점검항목 중에서도 "2.7.1 암호정책 적용"의 점검항목의 내용도 SSL 인증과 관련이 되어 있습니다.
| ISMS 점검항목 |
| 2.7.1 암호정책 적용 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. |
| 관련 법규 |
| 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무) 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화) |
우리는 웹 서버에 SSL 인증서를 적용하여 HTTPS로 접속이 정상적으로 이루어졌으니 안전하다고 판단합니다.
하지만 그렇지 않습니다. 웹 사이트에 접속하는 기기의 브라우저의 버전에 따라서 SSL 인정서에 적용되는 암호화 알고리즘이 다르게 적용됩니다. 일반적 및 법규에 따르면 제일 안전한 암호화 알고리즘은 SHA256 이상이어야 합니다.
그럼 웹 사이트의 SSL 인증서가 안전한지 확인은 어떻게 해야 할까요?
SSLLab의 SSL Server Test 사이트를 소개합니다. 제가 사용한 사이트 중에서 회원가입 없이 사용할 수 있고 제공하는 보고서도 요약이 잘 되어 있고 많이 사용합니다.
https://www.ssllabs.com/ssltest/index.html
SSL Server Test (Powered by Qualys SSL Labs)
SSL Server Test This free online service performs a deep analysis of the configuration of any SSL web server on the public Internet. Please note that the information you submit here is used only to provide you the service. We don't use the domain names or
www.ssllabs.com
SSL Server Test 메인 페이지에 검사할 도메인을 입력 후, "Submit"를 클릭합니다. 그리고 결과가 나올 때까지 기다립니다.
그러면 다음과 같이 결과가 나옵니다. 전체적 레벨이 표시 되고 페이지의 아래로 이동하면 약점이 발견된 부분이 나옵니다. 이를 통해 문제점을 개선하면 됩니다.
'IT Tools' 카테고리의 다른 글
| MS Word에서 안 쓰는 스타일 제거하는 방법 (0) | 2023.06.08 |
|---|---|
| GTmetrix-Site 성능 측정 및 보고서 생성을 도와주는 온라인 도구 (0) | 2023.06.05 |
| Google 관리 콘솔 도구 상자에 대해서 알아보기 (0) | 2023.06.01 |
| Ubuntu에서 Python 개발환경 설치 및 설정 방법 (0) | 2023.05.31 |
| 차세대 이미지 형식(AVIF, WebP)에 대해서 알아보기 (0) | 2023.05.26 |
