- 목차
SSL/TLS 인증서란?
SSL/TLS 인증서는 웹 사이트와 사용자 간의 암호화된 연결을 제공하는 SSL/TLS 프로토콜에서 사용되는 디지털 보안 인증서이다. SSL/TLS는 Secure Sockets Layer와 Transport Layer Security (OSI7 계층 중 전송 계층 보안)를 의미하는 용어로, 컴퓨터 시스템이 인터넷에서 안전하게 서로 통신할 수 있도록 하는 프로토콜 또는 통신 규약이다.
인증서는 웹 사이트의 신원을 확인하고, 사용자의 개인 정보가 제3자에게 노출되지 않도록 보호하는 역할을 한다.
웹 사이트 관리자는 자신의 고유 식별 정보와 함께 공개키를 포함한 인증서를 발급받아 서버에 적용하고, 사용자는 웹 사이트에 접속하면 브라우저는 웹 사이트의 인증서를 검증하고, 해당 웹 사이트가 실제로 고유한 도메인의 소유자임을 확인하여 사이트를 이용하는 방식이다.
SSL 인증서 설치는 왜 하는가?
예를 들어 사이트 이용자가 A라는 사이트에 접속하여 로그인 아이디와 패스워드를 입력하여 로그인을 한다고 가정해 보자. 사용자 pc의 브라우저에 로그인 정보가 입력되고 로그인 버튼을 클릭하면 아이디와 패스워드가 패킷단위로 서버로 전송되고 서버의 DB에 아이디 패스워드가 맞다고 인식되면 로그인이 되는 구조이다. 하지만 해커가 사용자 pc에 악성 파일을 심거나 네트워크상 패킷을 가로채서 패킷 내용을 확인하면 아이디와 패스워드 정보가 해커에게 넘어간다. SSL을 사용하면 서버로 전송되는 패킷이 암호화하기 때문에 해커가 패킷을 가로채도 암호화된 패킷 정보를 가로챈 것이기 때문에 복호화 키가 없다면 해커는 아이디와 패스워드를 확인할 수 없게 된다. SSL을 사이트에 적용하면 로그인정보뿐만 아니라 홈페이지에서 이용하는 모든 개인정보 (카드번호, 로그인정보, 패스워드 등)가 암호화되어 통신되기 때문에 민감한 정보 유출문제를 예방할 수 있다.
즉 "클라이언트와 서버 간의 통신을 암호화하기 위해 SSL 인증서를 설치해야 한다."
그리고 최근 구글, MS, 애플등에서 제공되는 브라우저 보안 정책으로 인해 http와 https 가 혼합된 페이지나 https 아닌 연결을 보안 정책상 차단하고 있다. 앞으로 수년 후에는 https로 통신하지 않는 웹사이트는 운영하지 못하게 될 가능성이 높다. 원활한 사이트 운영을 위해서라면 보안 인증서를 꼭 설치해야 한다.
보안인증서 설치 의무 법 규정
국내에서는 2012년 8월 18일 정보통신망 이용 촉진 및 정보보호 등에 관한 법률 개정령 시행으로 개인정보를 취급하는 모든 웹사이트에 SSL 설치가 의무화되었고 관련 기관에서 웹사이트 운영자들에게 메일을 보내 보안 인증서 설치 권고를 지속적으로 해오고 있다.
로그인, 개인정보수집, 결제가 이루어지는 웹페이지를 운영한다면 무조건 설치해야 한다.
위반 시 3년 이하의 징역이나 3000만 원 이하의 과태료가 부과된다.
SSL 동작 방식
SSL은 웹 브라우저와 서버 간의 통신에 사용되며, HTTPS 프로토콜을 사용한다. HTTPS는 HTTP 프로토콜과 SSL/TLS 프로토콜을 결합한 것이다. SSL은 공개키 암호화 방식을 사용한다. 클라이언트와 서버는 각각 공개키와 개인키를 가지고 있으며, 클라이언트는 서버의 공개키를 사용하여 데이터를 암호화하고, 서버는 자신의 개인키를 사용하여 데이터를 복호화한다.
SSL 인증서에 포함되는 정보
웹사이트에서 인증서 정보를 확인하는 방법은 https:// 프로토콜을 사용하는 웹사이트에 접속하여 브라우저의 자물쇠 모양을 클릭하면 인증서 정보를 확인할 수 있다.
인증서정보에는 여러 가지 정보들이 포함되는데 대표적으로 발급 기관의 정보, 웹 사이트 정보(도메인, 회사명), 공개키(암호화 및 복호화에 사용) 정보들이 포함된다.
일반 정보 탭에서는 발급도메인, 발급 기관, 인증서유효기간을 볼 수 있다. 인증서 유효기간이 지나면 사이트 접속 시 신뢰할 수 없는 인증서라는 에러가 발생되고 사이트 접속이 안되기 때문에 만료일 전에 인증서 관리를 잘해야 한다.
참고로 인증서 발급은 13개월 이상 발급받을 수 없기 때문에 만료일 1개월 전쯤 새로운 인증서를 발급받아 관리를 해주는 게 중요하다.
세부 정보 탭에서는 인증서의 암호화 기술과 관련정보들을 좀 더 자세히 볼 수 있다.
인증서 종류에 따라 표기되는 항목이 다르게 보일 수 있다.
인증서의 종류
인증서의 종류는 보안 수준에 따라 분류할 수도 있다.
EV (Extended Validation)
OV (Organization Validation)
EV 인증서는 높은 수준의 보안을 제공하는 사이트에서 판매되는 인증서이며 특이한 점은 주소창에 녹색표시가 된다.
그렇다고 OV와 다른 방식의 알고리즘을 사용하는 것은 아니기 때문에 보안상 EV 가 더 뛰어난 것은 아니다.
사용 방법에 따른 방식으로 분류하면 크세 3가지 유형이다.
단일 도메인 인증서
하나의 도메인만 사용할 수 있는 인증서이다.
발급 기관에 따라 www. 를 붙여 사용할 수 있게 발급되기도 한다.
gbminnote.com 도메인으로 인증서를 발급받았다면 다른 도메인은 사용할 수 없다.
ex) gbminnote.com, (www.gbminnote.com)
와일드카드 인증서
*.gbminnote.com 형식으로 발급하는 인증서이다.
와일드카드 인증서를 발급받으면 하나의 인증서로 생성된 서브도메인에 인증서를 모두 적용할 수 있다.
ex) blog.gbminnote.com, iis.gbminnote.com, tech.gbminnote.com
다중(멀티) 도메인 인증서
하나의 인증서에 2개 이상의 서로 다른 도메인을 발급할 수 있다.
다중 도메인 인증서 정보는 기본정보에는 대표로 발급된 도메인의 정보가 표기되며 DNS정보에 추가된 도메인 명이 들어가 있다.
발급 업체에 따라 발급 개수 제한이나 비용이 발생될 수 있다.
ex) gbminnote.com, tistory.com, amazon.com