니케이 네트워크 2025/12 TLS(Transport Layer Security)
Nikkei Network
요약
닛케이 NETWORK_2512호
TLS(Transport Layer Security)
인터넷을 통해 주고 받는 데이터를 암호화
네트워크 보안 프로토콜 TLS를 한마디로 설명하면 “인터넷에서 안전하게 통신하기 위한 암호화 기술”(디지서트 재팬의 하야시(林) 시니어 프로덕트 마케팅 매니저)이다. 다양한 용도로 사용되고 있으며, 웹사이트 조회 등에 사용되는 HTTPS(Hypertext Transfer Protocol Secure)의 암호화가 대표적 사례이다.
HTTP(Hypertext Transfer Protocol)에서는 평문으로 통신하기 때문에 데이터 도청을 방지할 수 없다. 통신 상대를 서로 인증하지 않으며, 위조 방지 기능도 없다. 사칭이나 데이터 변조 위험도 있다.
비유하자면, HTTP는 강이다. 흐르는 물을 직접 만지거나, 그 안에 있는 생물을 외부에서 볼 수 있다. 하지만, TLS가 도입된 HTTPS는 암거(暗渠)나 지하수로와 같이 물의 흐름을 볼 수 없다. 물속을 볼 수 없고, 지하수로를 흐르는 물을 보거나 만질 수 없도록 암호화하는 것이 TLS이다.
TLS는 SSL(Secure Sockets Layer)의 후속 모델로서 개발되었다. 그래서 TLS를 사용할 때 서비스 명칭 등에 SSL이라는 표현이 남아 있는 경우가 있다. 최신 버전은 RFC(Request for Comments) 8446으로 표준화된 TLS 1.3이다. 이전 버전에는 취약성이 발견되어 TLS 1.0/1.1 사용은 권장되지 않고 있다.
TLS는 공통키 암호, 공개키 암호 등의 기술을 결합해 사용한다. TLS를 사용한 통신에 대해 웹 서버와 웹 브라우저 간 통신을 예로 들어 살펴보자. 클라이언트가 웹 서버에 접속하면, 웹 서버가 서버 인증서를 전송한다.
-- 인증서를 기반으로 상대방의 신뢰성을 확인 --
서버 인증서는 인증기관 또는 CA(Certificate Authority)라고 불리는 기관이 발행하는 전자 인증서이다. 전자 인증서는 네트워크상에서 기업이나 개인의 실재성, 신뢰성 등을 보증한다. CA는 전자 인증서의 발행 및 관리를 담당하며, 그 신뢰성을 제3자로서 보증한다.
클라이언트는 연결되는 상대가 실제 존재하고 신뢰할 수 있는지를 전송된 서버 인증서의 전자 서명을 기반으로 확인한다. 이 전자 서명은 서버 인증서에 기재된 데이터의 해시값에 CA의 비밀키를 사용해 연산한 것이다. 이것에 대해 다시 공개키를 사용해 다른 연산을 실시하고, 일정한 값이 나오면 올바른 비밀키가 사용된, 즉 정당한 통신 상대임을 확인할 수 있는 구조이다.
CA는 계층 구조로 되어 있으며, 상위 CA가 하위 CA의 전자 인증서에 전자 서명을 해 신뢰성을 보장한다. 최상위의 루트 CA는 스스로 자신의 전자 인증서를 발행한다. 즉, 클라이언트가 자신이 받은 서버 인증서의 신뢰성을 확인할 때에는 전자 서명을 기반으로 발행처의 CA를 찾아내 최상위 루트 CA까지 신뢰할 수 있는지를 확인해야 한다. 이 때문에 OS(Operating System)나 애플리케이션 소프트웨어는 신뢰할 수 있는 루트 CA의 리스트를 사전에 가지고 있는 것이 일반적이다.
데이터 자체를 암호화할 때에는 AEAD(Authorized Encryption with Associated Data)라고 하는 공통키 암호를 사용한다. TLS 1.3에서는 통신 별로 새로운 비밀키와 공개키를 생성하고, 이것들을 사용해 공통키를 암호화해 주고받는다. AEAD에서는 평문에 헤더 등의 부가 정보와 랜덤 데이터(논스)를 추가하고, 공통키를 사용해 암호화한다. 이때, 암호문과 인증 태그를 생성한다. 암호문과 인증 태그, 앞서 말한 부가 정보와 논스 등을 웹 서버에 보내면, 웹 서버 측에서는 사전에 공유한 공통키를 사용해 복호화를 시도한다. 위조된 경우, 복호화에 실패하기 때문에 데이터 변조를 감지할 수 있다.
-- 끝 --
Copyright © 2025 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.
목차
목차_닛케이 NETWORK_25.12호
특집 1
‘거대한 LAN’을 어떻게 만들 것인가?
타워맨션의 네트워크
Part 1. 인트로덕션
타워맨션 전체의 LAN 구축, 네트워크 연결은 ‘모든 세대 일괄 계약’으로
Part 2. 네트워크 구성
긴 세로 배선은 광케이블로 커버, 프라이버시 확보는 VLAN으로
Part 3. 특징적 서비스
현재는 오버스팩이지만 10Gbps를 선행 도입, 네트워크의 ‘복원력’도 강화
Part 4. 사례
주민이 직접 네트워크를 유지·개선, 회선 대역을 60배로 증강
뉴스로 이해
NEWS close-up 1
아사히 그룹 홀딩스, 랜섬웨어 피해
NEWS close-up 2
NTT-ME, 컨테이너형 데이터센터 시장에 참여
NEWS close-up 3
생성 AI로 정교해진 피싱 사기
월간 랜섬 트러블
일본정책금융공사가 설정 미스, ‘고등학생 비즈니스플랜 그랑프리’ 접수 사이트에서
월간 랜섬 리포트
2025년 9월에 랜섬 피해 100건 증가, 아사히GHD를 노린 ‘Qilin’이 가장 많아
현장을 알다
당사자가 말하는 문제로부터의 탈출
모니터링 서버의 통신 불안정, 프록시 설정이 철저히 이루어지지 않아
엔지니어의 옆모습
기술 사양의 배경 및 이유를 깊이 이해, 고객 가치를 숙고해 제안·구축
NEC 네트워크 SI 서비스 통괄부의 고하루 프로페셔널
인터넷은 왜 연결되는가
‘연결되는 곳’의 서버를 이해
악성 소프트웨어 철저 해부
LockBit에서 유출된 데이터를 통해 배우다
특집 2
국내에서도 피해가 이어지고 있다
랜섬웨어의 공격 수법을 분석
특별 리포트
미국 Fortinet, 2026년 5월에 기술 지원 종료
SSL‑VPN은 한계인가?
네트워크스페셜리스트 시험을 통해 배우는 네트워크 기술의 기본
IPv6
기초부터 배운다
전문가가 말하는 초급자의 질문
‘디폴트 루트’란?
그림으로 보면 알 수 있는 네트워크 필수 키워드
TLS
테크놀로지 온고지신
100% 신뢰할 수 없는 ‘AI에 의한 요약
-- 끝 --
Copyright © 2025 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.