1. 개념
1) SSL (Secure Sockets Layer)
SSL은 '보안 소켓 계층' 이라고 불리는 암호화 기반 인터넷 프로토콜이다. 1995년 Netscape 사에서 처음 개발되었으며, 인터넷 통신에서 개인 정보 보호, 인증, 데이터 무결성을 보장한다. 즉, 네트워크상의 두 디바이스 또는 애플리케이션 간에 보안 연결을 생성한다.
SSL은 'Certificate Authority (CA)' 라는 디지털 인증서 발급 엔티티로부터 클라이언트와 서버의 인증을 하는데 사용된다.
특히 OSI 7계층 중 전송계층(4계층)과 응용계층(7계층) 사이에서 보안 관련 역할을 수행한다. 하지만 SSL은 오래된 기술이며, 보안적 결함이 몇몇 발견되어 현재는 이를 개선한 TLS를 사용한다.
2) TLS (Transport Layer Security)
TLS는 '전송 계층 보안' 이라고 불리는 보안 프로토콜이며, SSL의 최종 버전인 3.0과 TLS의 최초 버전의 차이가 크지 않다.
TLS는 웹 브라우저처럼 웹 응용 프로그램과 서버 간의 커뮤니케이션 뿐만 아니라 이메일, 메시지, VoIP 등을 암호화하기 위해 사용한다.
결론적으로 TLS는 SSL의 개선된 버전이며, 명칭만 다르다고 할 수 있다. 그럼에도 완전히 동일하진 않으며, 유사점과 차이점이 존재한다.이러한 SSL/TLS를 사용하는 웹사이트 URL에는 'http://'가 아닌 보안 기술이 적용된 'https://'를 사용한다.
2. 유사점
1. HTTPS에서 사용
HTTP 는 네트워크를 통한 클라이언트 - 서버 간 통신을 위한 규칙이다. 이 위에 보안 기술인 SSL/TLS를 설정하여 HTTPS가 적용된 'https://'로 사용된다.
2. 다양한 암호 통신 방법에 활용
대칭 키 암호화, 공개 키 암호화, 일방향 해시 함수, 메시지 인증 코드, 의사 난수 생성기, 전자서명 등을 조합하여 암호화 통신을 수행한다.
3. 특정 암호화 기술에 의존하지 않음
암호 도구 목록 (Cipher Suite)을 변경하여 강렬한 알고리즘을 사용한다.
3. 차이점
1. SSL/TLS handshake
SSL handshake는 명시적 연결, TLS handshake는 암시적 연결이다. 또한 SSL handshake 프로세스가 많았기에 TL는 추가 단계를 제거하고 총 암호 그룹 수를 줄여 프로세스 속도를 높였다.
2. 알림 메시지
SSL/TLS는 알림 메시지를 통해 오류와 경고를 전달한다. SSL에는 '경고' 및 '치명적'이라는 두 가지 유형만 존재한다. 경고는 연결을 지속할 수 있으나 치명적 알림은 연결을 즉시 종료해야 한다. 또한 SSL 알림 메시지는 암호화되지 않는다. 반면 TLS에는 세션 종료를 알리는 '닫기 알림'이라는 유형이 추가로 존재하며, 추가 보안을 위해 암호화된다.
3. 메시지 인증
SSL/TLS 모두 메시지의 기밀성과 무결성 확인을 위해 암호화 기술 중 하나인 메시지 인증 코드(MAC)을 사용한다. SSL은 MAC 생성시 MD5 알고리즘을, TLS는 해시 기반 메시지 인증 코드(HMAC)를 사용한다.
4. 암호 그룹
암호 그룹에는 키 교환 알고리즘, 검증 알고리즘, 대량 암호화 알고리즘, MAC 알고리즘 등이 포함된다. SSL은 알려진 보안 취약점이 있는 이전 알고리즘을 지원한다. 이러한 문제로 TLS는 고급 암호화 알고리즘을 사용하도록 개선되었다.
| SSL | TLS | |
| 의미 | Secure Sockets Layer (보안 소켓 계층) | Transport Layer Security (전송 계층 보안) |
| 버전 | SSL 1.0, SSL 2.0, SSL 3.0 | TLS 1.0, TLS 1.1, TLS 1.2, TLS 1.3 |
| 알림 메시지 | 경고, 치명적 -> 암호화되지 않음 | 여러 유형 -> 암호화됨 |
| 메시지 인증 | MAC | HMAC |
| 암호 그룹 | 보안 취약점이 있는 이전 알고리즘 지원 | 고급 암호화 알고리즘 지원 |
| 핸드셰이크 | 복잡하고 느림 | 단계가 적고 연결 속도가 빠름 |
4. 필요성
TLS 암호화 기술은 클라이언트 - 서버 뿐만 아니라 인터넷 통신에서 데이터 유출 및 악의적인 공격으로부터 웹 애플리케이션을 보호할 수 있다. TLS의 필요성은 다음과 같은 이유이다.
1. 기밀성 (Confidentiality) 보장
TLS는 통신하는 양쪽 간의 데이터를 암호화하여 제 3자라 정보를 탈취하거나 엿보는 것을 방지하여 기밀성을 보장한다. 특히 금융 거래, 로그인 정보, 개인 메일 등의 데이터는 기밀성을 유지해야 한다.
2. 무결성 (Integrity) 보장
데이터 무결성은 데이터가 전송 중에 변경되지 않음을 보장한다. TLS는 데이터의 무결성을 보호하여 중간에 데이터가 수정되거나 손상되는 것을 방지한다. 이는 데이터 전송 중에 발생할 수 있는 공격을 방어하는 데에 중요하다.
3. 인증 (Authentication)
TLS는 통신 상대방의 신원을 확인하고 검증하는데 사용된다. 이를 통해 사용자가 의도치 않게 피싱 사이트에 접속하는 등 위험을 줄일 수 있다. 즉, 웹 사이트, 서버, 애플리케이션 등의 신원을 확인하여 안전하게 통신하도록 도와준다.
4. 보안 표준 준수
많은 규제 기관 및 보안 표준이 데이터의 안전한 전송을 요구한다. TLS는 이러한 규제 및 표준을 준수함으로써 기업이 법적 요구사항을 충족하고, 고객 데이터를 안전하게 유지할 수 있도록 도와준다.
참고 : https://aws.amazon.com/ko/compare/the-difference-between-ssl-and-tls/
