웹 보안 프로토콜

기본 적으로 웹 서버와 웹 클라이언트 간의 사용자 인증 방법만으로는 보안을 위해 필요한 요구 사항들을 만족시킬 수 없다. 웹 보안을 위해 사용되는 주요 프로토콜로는 응용 계층에서 동작하는 메일 보안을 위한 PGP, PEM , S/MIME과 HTTP보안을 위한 HTTPS, 원격 로그인 시 통신을 암호화하는 SSH, 전송 계층과 세션 계층 사이에서 동작하는 SSL/TLS, 네트워크 계층에서 동작하는 IPSec 등이 있다.

 

1. 이메일 보안

 

 인터넷에서 많이 이용되고 있는 이메일은 송신자에서 수신자에 이르기까지 많은 위험과 취약점을 가지고 있어서 그 내용의 보안을 보장할 수 없다. 내용을 암호화함으로써 중간에서 가로채더라도 다른 사람이 알아볼 수 없게 만드는 것이 있는다.  따라서 메일 보안을 위해 PGP,PEM, S/MIME 등의 여러 도구들을 제공하고 있다.

 보안 메일이란 보내고자 하는 내용을 암호 알고리즘을 이용하여 암호화함으로써 이메일 보안 도구들은 데이터 기반 인증, 메시지의 무결성, 데이터 기반 부인 봉쇄, 메시지의 기밀성과 같은 기능을 제공한다.

 

 

 

2. SSL

 

 SSL(Secure Sockets Layer)은 거의 대부분의 웹 브라우저에서 지원해 주는 기능으로 웹 페이지 보안에서 많이 사용된다.

웹 브라우저와 웹 서버 간에 데이터를 안전하게 주고 받기 위한 업계 표준 프로토콜이다. SSL은 웹뿐만 아니라 파일 전송 규약 등 다른 TCP/IP 애플리케이션에 전용할 수 있으며, 웹 브라우저와 웹 서버 간에 서로 상대의 신원을 확인하는 인증 기능과 둘 사이의 모든 데이터가 암호화되는 기능이 있다. 클라이언트가 웹 브라우저를 이용하여 자신의 개인 정보를 웹 서버에 전달하는 경우에도 해당 내용이 웹서버에서만 확인 가능하기 때문에 웹 브라우저를 통한 신뢰성 있는 통신을 지원한다.  SSL이 적용된 웹 페이지의 특징으로는 URL이 https로 시작되며 http가 사용하는 80번 포트가 아닌 433번 포트를 사용한다.

 

통신 절차는 다음과 같다. 

 

 1. 웹 브라우저가 웹 서버에게 SSL을 적용한 웹 페이지를 요청하면 웹 서버는 웹 브라우저에게 공개 키와 인증서를 발행한다. -> 이때 브라우저는 증명서가 신뢰할 수 있는지 확인하고 신뢰할 수 없다면 빨간색 알람을 노출시켜준다.

그 후 대칭 키 방식의 암호통신을 위한 세션 키를 생성한다.

2. 웹 브라우저에서 데이터는 세션 키로, 세션 키는 공개 키로 암호화하여 암호화된 세션키와 데이터를 웹 서버에 전송한다. 

3. 웹 서버는 암호화된 세션 키를 비밀 키로 해제하고 암호화된 데이터는 세션 키로 해제한다.

4. 이러한 과정을 거쳐 웹 브라우저와 서버 사이에 공개 키 암호화 기술을 이용한 안전한 통신 채널이 설정된다.

5. 이후 부터는 공유된 세션 키를 이용하여 대칭 키 방식의 암호화 송/수신이 수행된다.

 

이렇게 되면 웹 브라우저와 서버 사이에는 정규의 HTTP 프로토콜 접속이 이루어지며, 전송할 정보는 통신망을 경유하여 전달될 때 하위 SSL 계층의 암호화 통신에 의해 보호받을 수 있다.

 

 

3. TLS

 

TLS(Transport Layer Security)는 2개의 통신 프로그램 사이에서 개인의 정보 보호와 데이터의 무결성을 제공하기 위해 만들어졌다. TLS는 응용 프로토콜에 독립적이며 전송 계층을 기반으로 개발되었기 때문에 어떤 응용프로그램이라도 TLS를 이용해 안전한 통신을 구축할 수 있다.

 

 

4.IPSec

 보안에 취약한 인터넷에서 인증이나 암호화를 수행하여 안전한 통신을 실현하기 위한 통신규약이다.  데이터 송신자의 인증을 허용하는 인증 헤더와 송신자의 인증 및 데이터 암호화를 함께 지원하는 ESP를 통해 보안 서비스를 제공한다.

다른 프로토콜과 달리 3계층인 네트워크 계층에서 동작하며 TCP/UDP 등의 프로토콜을 보호하기 위해 사용된다.

 

IPSec는 사용될 암호화 인증 키들을 생성하기 위해서 보안 결합 설정에 사용되는 IKE 프로토콜을 사용한다.