Article
데일리시큐, 웹보안 강화 위해 최상위 신뢰도의 EV SSL인증서 전격 적용 - 데일리시큐
국내 대표 정보보안 전문매체 데일리시큐가 최근 웹사이트 보안강화와 사용자 보호를 위해 최상위 레벨의 신뢰수준을 제공하는 디지서트(DigiCert)의 EV SSL인증서를 전격 적용했다. SSL 인증서는
www.dailysecu.com
데일리시큐, 웹보안 강화 위해 최상위 신뢰도의 EV SSL인증서 전격 적용
데일리시큐, 길민권, 2019.01.04 15:24
Resurch
▶ SSL 인증서
- SSL: 보안 소켓 계층으로 서버와 클라이언트 사이에 암호화된 링크를 구성하기 위한 표준 기술
- CA: SSL 인증서를 발급하는 공인된 민간 기업들(Certificate Authority)
- SSL 인증서: SSL방식에 사용하는 전자화된 문서
- 인증서를 얻으려면 서버에서 CSG(인증서 서명 요청)을 생성해야 함
- 인증 기관은 CSR 데이터 파일을 사용해 키 자체를 훼손하지 않고 개인 키에 맞는 데이터 구조를 생성
▶ SSL 인증서 종류
- DV인증서: 도메인 존재 여부만 확인하여 발급
- OV인증서: 인증서 발급시 기업을 확인하여 발급(사업자등록증, 신청자)
- EV인증서: 발급 기관의 실체성을 확인하여 발급(사업자등록증, 신청자 교차 확인)
▶ SSL 인증서 기능
- 정보 유출 방지: 표준 암호화 기법을 사용하여 전송자의 메세지 안전하게 보호
- 기업 실체성 확인: 인증서 발급 대상 기관에 대해 실체성을 확인
- 위조사이트 방지: 인증서 발급 대상 기관에 대해 신용 평가 정보를 확인
- SSL 인증서의 암호화키(세션키, 대칭키) 전달 방법은 공개키, 대칭키 방식
▶ Https
- SSL을 적용하여 보안을 강화한 HTTP
- 서버와 클라이언트 사이의 모든 통신 내용이 암호화
- SSL/TLS 프로토콜을 통해 세션 데이터를 암호화, TCP/IP 포트는 443, SSL 프로토콜 위에서 HTTPS 프로토콜이 동작
- 웹사이트의 무결성을 보장_ 침입자의 악의적인 조작 불가
- 모든 사이트에서 텍스트를 암호화해서 주고 받으면 과부하가 걸려 속도가 느려질 수 있음
Summary
- SSL 인증서는 암호화 수준에 따라 가장 낮은 수준의 DV부터 OV 그리고 최상위 레벨인 EV 등으로 신뢰도를 구분
- 뢰성이 떨어지는 DV인증서는 피싱에 악용될 수 있어 선진국 정부기관이나 금융기관, 대기업들은 EV인증서를 의무적으로 적용
- 구글 크롬은 https가 아닌 사이트에는 주소창 앞쪽에 'Not secure'를 표기
- 파이어폭스도 http에서는 위치정보서비스를 중단했고 애플사도 CT(인증서 유효성) 확인을 시작
- 마이크로소프트사는 위험사이트의 DV인증서에 대해 폐기를 진행
- 브라우저 시장에서 https에 대한 요구는 강력하며 향후 더욱 강화될 전망
- 미국은 'HTTPS-Only' 정책을 통해 정부기관과 웹사이트 대부분이 HTdTPS로만 서비스를 제공
