SSL이란 무엇입니까?

평균적인 비즈니스 거래를 생각할 때 무엇을 떠올릴 수 있습니까? 동네 식료품점의 계산대가 떠오릅니까? 아니면 길 끝에 있는 레모네이드 가판대가 떠오릅니까?

아무래도 웹사이트를 떠올리지는 않을 것입니다. 그러나 그 어느 때보다 더 많은 거래가 디지털 방식으로 이루어지고 있습니다. 실제로 글로벌 전자상거래 매출은 2027년까지 8조 달러를 돌파할 예정이며, 이는 2023년 대비 42% 증가한 수치입니다.

여기서 문제가 발생합니다. 온라인 거래에는 잠재적으로 안전하지 않은 장치 및 네트워크를 통해 중요한 정보가 이동하는 경우가 많습니다. 따라서 디지털 상호 작용은 비공개로 안전하게 유지되어야 합니다. 다행히도 이것이 디지털 인증서 및 보안 소켓 계층(SSL)이 하는 일입니다.

익숙하지 않으십니까? 걱정하지 마세요. Entrust가 도와드리겠습니다. SSL 보안, 암호화의 중요성, 조직에 적합한 디지털 인증서를 선택하는 방법에 대해 자세히 알아보려면 계속 읽어보세요.

전송 계층 보안(TLS)이란 무엇입니까?

모든 의도와 목적을 감안했을 때 전송 계층 보안은 기존 SSL 보안 프로토콜의 현대적인 후속 제품입니다. 그러나 많은 사람들은 "SSL"이라는 이름을 실제로 TLS를 얘기할 때 사용합니다. 요즘에는 SSL/TLS 암호화와 같은 두문자어 조합도 볼 수 있습니다.

그러나 이 둘은 눈에 띄는 차이가 있기 때문에 무조건 바꿔서 사용할 수 있다고 할 수는 없습니다.

간단히 말해서 TLS 암호화는 이전 암호화보다 더 안전합니다. 수년 동안 SSL 보안에는 여러 버전이 있어 왔으며 각 버전에는 나중에 밝혀질 취약점이 있습니다. 이것이 바로 SSL이 1996년 이후로 업데이트되지 않고 현재 "더 이상 사용되지 않는" 것으로 간주되는 이유입니다.

따라서 TLS는 여전히 "SSL"로 불리더라도 오늘날 시장의 기본 보안 프로토콜입니다. 최신 버전인 전송 계층 보안 1.3은 이전 버전이 가지고 있던 약점을 대부분 수정하여 가장 안전한 연결을 제공합니다. 실제로 미국 국립기술표준연구소(NIST)는 모든 정부 TLS 서버 및 클라이언트에 TLS 1.2 지원을 요구하고 있으며 2024년에는 TLS 1.3을 채택할 것을 기관에 권장하고 있습니다.

디지털 인증서란 무엇입니까?

디지털 인증서는 암호화 및 Public Key Infrastructure(PKI)를 통해 장치, 웹 서버, 사용자 또는 기타 엔터티의 신뢰성을 입증하는 전자 문서입니다. 디지털 인증서는 조직이 신뢰할 수 있는 엔터티만 해당 네트워크에 액세스할 수 있도록 하는 데 유용한 툴입니다.

이후에 설명하겠지만 디지털 인증서는 웹 브라우저에 대한 웹사이트의 신뢰성을 확인하는 데도 일반적으로 사용되어 SSL이 암호화된 연결을 설정할 수 있습니다. 이 특정 유형의 인증서는 "SSL 인증서" 또는 "TLS 인증서"로 알려져 있습니다. 이 부분에 대해서는 나중에 자세히 살펴봅니다.

웹사이트 소유자로서 SSL 및 TLS 인증서는 최신 사이버 보안에 도전하는 점점 더 대담해지는 위협 벡터로부터 조직, 고객, 직원을 보호하는 데 필요합니다. 암호화가 부족한 웹사이트 및 서버는 공격에 취약합니다. 이는 중요한 데이터의 보고가 위험에 처할 수 있음을 의미합니다.

실제로 웹사이트 도메인 소유권을 가볍게 여겨서는 안 됩니다. SSL 또는 TLS 인증서를 배포하는 데는 여러 가지 이유가 있습니다.

• 데이터 보안: SSL 보안은 권한이 없는 사용자가 중요한 정보에 액세스할 수 없도록 방지하고, 의도된 수신자만 액세스할 수 있도록 합니다. 이는 로그인 자격증명, 금융 데이터, 개인 정보 및 기타 중요한 대상을 보호하는 데 특히 중요합니다.
• 피싱 방지: 또한 디지털 인증서는 피싱과 같은 특정 유형의 사이버 공격도 방지합니다. 해커는 일반적으로 의심을 하지 않는 피해자를 속여 위조된 웹사이트를 실제 웹사이트라고 믿고 민감한 데이터를 입력하게 만듭니다. 그러나 TLS 인증서는 웹 서버를 인증하여 해당 도메인이 합법적인지 사용자에게 알려 줄 수 있습니다.
• ID 보안: SSL 보안은 개인 정보 제출에 사용되는 사용자 이름, 비밀번호, 양식을 암호화하여 고객에게 보다 안전한 환경을 제공합니다.
• 고객 유지 및 전환: 웹사이트를 방문하는 잠재 고객의 경우 결제 프로세스가 보안 연결을 통해 보호된다는 사실을 알면 구매를 완료할 가능성이 더 높습니다. SSL 보안을 사용하면 소비자 중 83% 이상을 떠나게 하는 것으로 알려진 데이터 침해를 방지할 수 있습니다.
• 검색 엔진 순위: Google은 실제로 SSL 인증서가 없는 사이트를 보안이 설정되지 않은 사이트로 표시하여 처벌을 적용합니다. 이는 검색 엔진 최적화(SEO) 순위 및 웹사이트 가시성에 부정적인 영향을 줄 수 있습니다.
• 규정 준수: 점점 높아지는 요구 사항으로 인해 비즈니스는 보안 커뮤니케이션을 진지하게 고려해야 한다는 압박을 받고 있습니다. 예를 들어, 유럽의 개인정보보호 규정(GDPR)에서는 암호화에 대한 엄격한 표준을 구현합니다. GDPR 규칙을 위반하는 기업에는 2천만 유로 또는 직전 회계연도 전 세계 연간 매출의 4% 중 더 높은 금액으로 벌금이 부과됩니다.

SSL 암호화가 중요하다는 것은 분명합니다. 그런데 SSL은 어떻게 작동할까요? 이에 대해 자세하게 단계별로 설명해 보겠습니다.

일반적으로 프로세스는 다음과 같습니다.

1. 브라우저 또는 서버는 SSL을 통해 웹사이트(예: 웹 서버)에 안전하게 연결하려고 시도합니다. 웹 클라이언트는 서버에 메시지를 보내 프로세스를 시작합니다.
2. 이에 대한 응답으로 웹사이트는 공개 키로 알려진 SSL 인증서 사본을 다시 보냅니다.
3. 브라우저/서버는 SSL 인증서를 신뢰하는지 여부를 확인합니다. 신뢰하면 암호화된 개인 키를 생성하여 웹 사이트로 다시 보냅니다.
4. 웹 서버는 개인 키를 수신하고 해독합니다. 그런 다음 암호화된 연결을 생성하고 콘텐츠를 클라이언트에 다시 전달합니다.
5. 마지막으로 클라이언트는 콘텐츠의 암호를 해독하고 안전하게 세션을 시작할 수 있습니다.

이러한 프로세스를 흔히 "SSL 핸드셰이크"라고 합니다. 그 이유는 무엇일까요? 기본적으로 양측이 서로 신뢰를 구축하는 합의이기 때문입니다. 표면적으로는 긴 시련처럼 보일 수 있지만 실제로는 몇 밀리초 내로 완료됩니다. 실질적으로 최종 사용자 경험에는 거의 영향을 미치지 않습니다.

특히 SSL은 SSL 또는 TLS 인증서가 있는 웹사이트에서만 추가할 수 있습니다. 이러한 인증서는 웹사이트 소유자를 인증하고 확인하는 배지 역할을 합니다. TLS 인증서의 중요한 측면 중 하나는 암호화를 가능하게 하는 메커니즘인 웹사이트의 공개 키입니다.

장치는 공개 키를 확인하고 이를 사용해 웹 서버와 함께 보안 암호화 키를 생성합니다. 동시에 웹 서버에는 공개 키로 암호화된 데이터를 해독하는 데 사용되는 개인 키가 있으며 이 키는 항상 비밀로 유지됩니다.

정말 키가 많습니다. 다시 정의를 요약하면 다음과 같습니다.

• SSL 핸드셰이크: 보안 연결을 설정하는 두 당사자(일반적으로 브라우저/서버 및 웹 서버) 간의 협상입니다.
• 공개 키: 특정 수신자를 위한 메시지를 암호화하는 데 사용되는 암호화 키로, 두 번째 툴(예: 개인 키)을 통해서만 해독할 수 있습니다.
• 개인 키: 이 키는 비밀 키라고도 하며, 데이터를 암호화하고 해독하여 보안 세션을 시작하는 데 사용됩니다.

디지털 인증서는 유형 및 검증 수준에 따라 분류할 수 있습니다. 먼저 세 가지 주요 SSL 및 TLS 인증서 유형을 살펴보겠습니다.

1. 단일 도메인: 이름에서 알 수 있듯이 단일 도메인 SSL 인증서는 하나의 웹사이트에만 적용됩니다. 이는 발급된 웹사이트의 하위 도메인을 포함하여 다른 도메인을 인증하는 데 사용할 수 없습니다.
2. 와일드카드: 마찬가지로, 와일드카드 인증서는 하나의 도메인에만 적용되지만 해당하는 하위 도메인도 포함할 수 있습니다. 따라서 이를 사용하여 중요한 정보를 보호하고 상위 도메인에 속한 모든 항목을 인증할 수 있습니다.
3. 다중 도메인: 이와 대조적으로 다중 도메인 SSL은 하나의 SSL 인증에 관련되지 않은 여러 도메인을 나열할 수 있습니다.

또한 디지털 인증서에는 Certificate Authority(CA)에서 도메인 소유권을 입증하는 데 사용하는 다양한 검증 수준도 함께 제공됩니다. 최소한의 검증부터 엄격한 신원 조사에 이르기까지 다양한 스펙트럼으로 존재합니다. 각각에 대해 좀 더 자세히 살펴보겠습니다.

EV(Extended Validation) SSL 인증서

대부분의 온라인 사용자는 도메인 검증은 물론 엔터티를 특정한 물리적 위치에 연결하는 교차 확인을 포함하여 가장 포괄적인 검증 확인을 제공하기 때문에 EV SSL 인증서를 선호합니다.

이러한 유형의 확인은 해당 웹사이트에서 거래하는 동안 사기가 발생하는 경우 고객에게 구제책을 제공하는 상세한 문서 흔적을 남깁니다.

OV(Organization Validated) SSL 인증서

OV 인증서를 획득한 도메인은 다소 덜 엄격한 프로세스를 거칩니다. CA는 인증서를 요청하는 사람이나 비즈니스에 연락하지만 대상에 대해 완전한 신원 조사를 완료하지는 않습니다.

도메인 소유권 외에도 기업을 검증하고 대부분의 주요 웹 브라우저에서 인증서 세부 정보를 볼 수 있으므로 사용자는 자신이 방문한 사이트가 합법적인지 확인할 수 있습니다.

DV(Domain Validated) SSL 인증서

DV 인증서로 보안이 설정된 웹사이트는 주소 표시줄에 잠긴 자물쇠만 표시되지만 조직 세부 정보는 존재하지 않기 때문에 표시되지 않습니다. 이러한 인증서는 도메인 소유권만 검증하고 익명으로 획득할 수 있으며 도메인을 개인, 장소 또는 엔터티에 연결하지 않습니다.

디지털 인증서는 여러 형태와 크기로 제공되며 다양한 수준의 보호와 보증을 제공합니다. 비즈니스 요구 사항에 맞는 SSL/TLS 인증서를 선택하는 것이 중요하며, 그렇지 않은 경우 잠재적인 공격 및 규정 준수 위반에 노출될 위험이 증가할 수 있습니다.

먼저, 조직에 필요한 검증 수준을 고려해야 합니다. 해당 업계에 엄격한 데이터 보호 및 암호화 표준이 있습니까? 대상 고객이 원하는 보증 유형은 무엇입니까? 어떤 유형의 개인 정보를 수집합니까? 이러한 질문을 통해 올바른 길을 찾을 수 있습니다.

다음으로 특정 목적에 필요한 인증서 유형을 선택해야 합니다. 자문해 보세요. 주요 용도가 무엇입니까? 표준 웹 서버 요청이 있거나 교환 클러스터가 이를 처리합니까? 다중 도메인 인증서가 필요합니까?

아직 잘 모르겠습니까? 자세한 안내를 확인하려면 Entrust의 SSL 인증서 선택 툴을 사용해 보세요.

인증서 취득

선택 범위를 좁힌 후에는 Entrust와 같은 공인 Certificate Authority에 인증서 서명 요청(CSR)을 제출해야 합니다.

또한 인증서에 포함된 모든 도메인에 대해 도메인 소유자의 권한이 필요합니다. 도메인 이름이 요청 기업, 해당 상위 조직 또는 자회사 중 하나에 등록되지 않은 경우 CA는 인증서 요청을 처리할 수 없습니다. 비즈니스 전화번호와 고위 리더의 연락처 정보를 제공해야 합니다. 전체적으로 다음이 필요합니다.

• 유효한 결제 정보
• 인가 담당자 연락처 정보
• 기술 담당자 정보
• 청구 담당자 정보
• 완료된 CSR
• 모든 도메인 목록

Entrust에서는 다양한 SSL/TLS 인증서에 대한 유연하고 편리한 액세스를 제공하므로, 조직에 가장 적합한 선택을 하는 데 도움을 드릴 수 있습니다.

Entrust는 Certificate Authority(CA) 보안 위원회 및 CA/브라우저 포럼의 창립 회원사입니다. Entrust의 디지털 보안 전문가는 TLS/SSL, Document Signing, 코드 서명 인증서 및 인증서 관리에 대한 업계 표준 개발에 적극적으로 기여합니다.

단순한 리더십 그 이상으로, Entrust는 광범위한 기업 요구 사항에 맞는 강력하고 신뢰할 수 있는 디지털 인증서 포트폴리오를 제공합니다. Entrust의 수상 경력에 빛나는 인증서 플랫폼을 통해 다음과 같은 이점을 얻을 수 있습니다.

• 수상 경력에 빛나는 지원
• 범용 브라우저 호환성
• 무제한 재발급
• 무제한 서버 라이선싱
• 128-256비트 암호화
• 모든 Entrust 인증서는 널리 사용되는 x.509 국제 공개 키 인프라(PKI)를 따릅니다.