검수요청.png검수요청.png

SSL

위키원
(보안 소켓 계층에서 넘어옴)
이동: 둘러보기, 검색
SSL1.jpg
SSL2.png

SSL(에스에스엘)은 "Secure Socket Layer"의 약자로서, 네트워크를 통한 데이터 통신에서 전송 정보를 보호하기 위해 사용하는 보안 유지 프로토콜이다. 보안소켓계층이라고 한다. 미국의 넷스케이프(Netscape) 회사가 웹서버웹브라우저 사이에 데이터를 안전하게 주고받기 위해 개발하였다. 에스에스엘이라고 읽는다. SSL의 소스코드를 공개한 것을 OpenSSL이라고 한다. SSL 3.0 버전을 기초로 TLS를 만들었다.

개요[편집]

SSL(Secure Sockets Layer) 인증서는 웹사이트의 신원을 확인하는 디지털 인증서이며 SSL 기술을 이용하여 서버에 전송되는 정보를 암호화한다. 암호화는 데이터를 판독할 수 없는 포맷으로 변환하는 과정이며 이 포맷은 적합한 암호 해독 키로만 판독 가능한 포맷으로 되돌릴 수 있다. 인증서는 웹에서 비즈니스를 할 때 온라인 독립체의 자격 증명을 확립하는 전자여권을 제공한다. 인터넷 사용자가 웹 서버에 자격 증명 정보를 보내려고 할 때 해당 사용자의 브라우저는 서버의 디지털 인증서에 접근하여 보안 연결을 설정한다.[1]

SSL인증서의 정보[편집]

  • 인증서 보유자의 이름
  • 인증서의 일련 번호 및 만료일
  • 인증서 보유자의 공개 키 사본
  • 인증서 발행 기관의 디지털 서명[1]

작동원리[편집]

SSL은 기본적으로 다음의 작업을 수행한다.

  • 서버 인증 : 사용자의 웹 브라우저가 웹 사이트에 접속할 때 웹 서버를 인증하는 단계로 SSL을 지원하는 웹 브라우저는 표준 공용키 암호화 방식을 이용해 서버의 인증서가 신뢰할 수 있는 인증기관(CA)에서 발급받은 것 인지를 인증하는 기능을 가지고 있다.
  • 암호화 : 클라이언트와 서버 사이에 주고받는 모든 데이터가 전송 과정에서 내용이 변경되는 것을 방지하기 위해 해쉬 알고리즘을 적용한다.
  • 클라이언트 인증 : 웹 서버가 사용자를 인증하는 작업이며, SSL서버 인증과 동일한 기법으로 클라이언트의 인증서를 검증한다.[2]

SSL에서 웹 서버와 웹 브라우저 사이에 주고받을 데이터를 암호화하는 방법에는 2가지 방법이 있다.

  • 대칭키 암호화 방식 : 대칭키 암호 알고리즘을 사용하는 방식으로, 송신자와 수신자가 공유키를 사용해야 한다. 송신자는 보낼 데이터를 공유키를 사용해 암호화하여 데이터를 전달하고, 수신자는 받은 데이터를 공유키를 사용해 복호화하여 데이터를 해석한다. 이 방식은 공유키가 유출된다면 누구나 데이터를 복호화 할 수 있다는 단점이 있다.
  • 공개키 암호화 방식 : 이 방식은 대칭키 암호화 방식의 단점을 보완한 것으로, 공개키 암호 알고리즘을 사용한다. 송신자는 보낼 데이터를 공개키로 암호화하고, 수신자는 받은 데이터를 비밀키로 복호화하는 방식이다. 이 경우 수신자의 비밀키가 유출되지 않는다면, 데이터가 유출될 가능성이 매우 희박하다.

사용 목적[편집]

  • 정보 유출 방지(Sniffing Prevention) : 네트워크를 공동으로 쓰는 PC방, 회사, 학교 등에서 간단한 스니핑 툴로 인해 개인정보가 누출되기 쉬운데 SSL인증서를 설치하면 모든 정보가 암호화되어 정보가 유출되더라도 상관없다. 특히 전자상거래 상에서는 정보 유출 방지를 위해 반드시 기본적으로 SSL을 적용해야하는 필수 요소입니다.
  • 위조 사이트 방지(Phishing Prevention) : 피싱이란 개인정보와 낚시의 합성어로 개인정보를 낚는다는 의미이다. SSL 보안서버 인증서를 구축한 사이트는 SSL인증서 발급 전 신뢰받은 인증기관에 의해 진짜 사이트임을 미리 확인 받게 되는데 인증을 받지 않으면 유사사이트에 대해서 SSL인증서를 발급받을 수 없기 때문에 SSl 인증서를 발급받게 되었을 시 클라이언트의 신뢰를 얻을 수 있습니다.
  • 데이터변조 방지(Data Modulation Prevention) : 각종 통신 환경을 이용하여 컴퓨터내의 정보 또는 데이터의 전송결과를 임의로 변조하는 범죄의 일종으로 제 3자의 악의적인 개입으로 인하여 데이터 값이 변조될 가능성이 매우 크다. 직장 내 급여변경, 온라인 이체 시 금액변조, 학생의 성적 기록변조 등이 있는데 이러한 악의적인 데이터의 변조를 SSL보안서버 구축을 통해서 봉쇄할 수 있다.
  • 기업 신뢰도 향상(Improved Business Confidence) : 정식으로 기업실체성인증을 받고 보안인증마크를 설치함으로써 기업자체에 대한 신뢰성을 향상 시킬 수 있다. 또한, 보안 접속체크박스 등의 안내로 보안 및 고객정보를 소중히 다루는 기업이라는 가시적인 홍보 효과까지 얻을 수 있다.[3]

종류[편집]

  • 싱글(Single) 인증서 : 2010년까지는 호스트 네임의 'www'여보에 따라 별도의 인증서로 인식하였지만, 2011년 인증기관의 정책이 변경됨에 따라 'www'호스트에 한해 인증서의 DNS Name 'www'가 있는 도메인과 없는 도메인 모두 인증이 되도록 변경되었다. 하지만, 두가지 도메인을 모두 사용하려면, 인증서 신청시에 반드시 'www'호스트부분을 함께 붙여서 신청해야만 한다. 싱글인증서의 기본적인 암호화 강도는 128~256bit이다.
  • 글로벌(SGC) 인증서 : 글로벌(SGC) 인증서는 암호화강도가 강제로 256bit까지 끌어올려 암호화되는 인증서이며, 형식은 싱글인증서와 같다. 인증기관에서는 SGC 인증서라고 표시하지만, 국내에 들어오면서 글로벌(Global)로 이름이 붙여졌다.
  • 와일드카드(WildCard) 인증서 : 호스트네임이 많거나, 추가될 가능성이 있는경우 많이 사용하며, 서브도메인의 변경에만 사용이 가능하므로, 메인 도메인이 변경될 경우는 멀티인증서를 구매해야 한다.
  • 멀티(MDC) 인증서 : 하나의 서버에 여러개의 도메인을 사용하는 호스팅 업체 및 웹 솔루션 업체에서 많이 채택하고 있으며, 관리하는 도메인의 개수가 많은 경우 사용하게 된다. 하나의 인증서에 많은 도메인이 등록되기 때문에 설치 시 포트를 별도로 나누지 않아도 되는 장점이 있다.
  • EV(Green Bar) 인증서 : EV(Extended Validation) 인증서는 https 통신구간에서 주소창이 녹색으로 변하는 인증서이다. 형식은 싱글인증서와 동일하며, 국내에서는 다음, 네이버 등에서 사용되고 있다. 발급시 DUNS 등록 등 조건이 까다롭고 가장 강력한 기업실체성 인증으로 인증서가 발급된다. 최근 금융권 및 대기업 중요사이트 등에서 도입하여 사용중이다.[3]

발급서류[편집]

  • 메일인증 심사(DV) : 메일인증은 기업실체성 인증보다 간편하고 쉽게 회사를 인증하기 위해 채택된 도메인 권한 인증 방법이다. 도메인 등록 시의 메일주소 또는 인증기관에서 지정한 메일주소로 인증기관에서 발송하는 인증메일을 수신하는 방식으로 이루어진다.
  1. 도메인 등록시의 메일주소로 인증기관에서 발송하는 인증메일을 수신하여 '승인'버튼 클릭
  2. 인증기관에서 지정한 메일주소로 인증기관에서 발송하는 인증메일을 수신하여, '승인'버튼 클릭
  • 서류인증 심사(OV) : 서류인증은 기업이 실제로 존재하는 지에 대한 여부를 국세청 에서 확인하는 기업 실체성 인증의 첫번째 단계이다.
  1. 영문사업자등록증은 기업이 실제로 존재하는 지에 대한 여부를 국세청에서 확인하는 기업 실체성 인증이다.
  2. 전화번호 검색 후 출력되는 웹 페이지를 캡쳐하여 전화영수증 서류를 만든다.
  3. 글로벌사인(Globalsign) 영문 회사명 주식회사 표기
  4. Digicert 서류심사[3]

법적 근거[편집]

정보통신망 이용촉진 및 정보보호 등에 관한 법률
제2조(정의)
6. "개인정보"란 생존하는 개인에 관한 정보로서 성명/주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호?문자?음성?음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.
 
제28조(개인정보의 보호조치)
① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 
기준에 따라 다음 각 호의 기술적/관리적 조치를 하여야한다.
4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치

제76조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과 한다. <개정 2011.3.29, 2012.2.17>
3. 제28조제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적ㆍ관리적 조치를 하지 아니한 자

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령
제15조(개인정보의 보호조치)
④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장ㆍ전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치[전문개정 2009.1.28]

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙
제9조 (개인정보의 보호조치)
② 법 제28조제1항 및 제67조제1항에 따른 개인정보의 안전성 확보에 필요한 기술적 조치는 다음 각 호와 같다. 
5. 그 밖에 개인정보의 안전성 확보에 필요한 기술적 보호조치,

개인정보의 기술적/관리적 보호조치 기준 [방송통신위원회 고시 제2012-50호]
제6조(개인정보의 암호화)
③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송/수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송/수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송/수신하는 기능[4]

각주[편집]

  1. 1.0 1.1 GoDaddy 공식 홈페이지 - https://kr.godaddy.com/help/ssl-542
  2. KimWhale, 〈SSL인증서 종류 및 특징〉, 《티스토리》
  3. 3.0 3.1 3.2 유서트(UCERT) 공식 홈페이지 - https://www.ucert.co.kr/index.html
  4. 써트코리아(CERT KOREA) 공식 홈페이지 - https://www.certkorea.co.kr/ssl/sp.php?p=11

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 SSL 문서는 데이터에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.