리팩토링하는 블로그

Network

SSL VS SSH

Debin 2022. 3. 31.
반응형

이번 UMC Sever 파트 AWS EC2 인스턴스 실습을 하면서 유독 자주 보인 이 두 단어에 대해 정리해보겠습니다.

만약 안보셨다면 이 게시글 부터 쭈욱 정주행하시는 것을 추천..!!ㅎㅎ

https://devdebin.tistory.com/129?category=1010886 

 

2주차 실습 : AWS EC2 인스턴스 생성

솔직히 고해하자면 저번주에 여자친구와 1주년, 고등학교 친구들과 MT로 인해 너무나도 바쁜 나머지....(핑계) AWS EC2 인스턴스 생성에 대해 그냥 넘어가버렸다. 3주차 실습은 ec2 인스턴스 생성을

devdebin.tistory.com

 

무튼 ...생긴 것도 매우 비슷하게 생겼네.... 먼저 SSH에 대해 정리해보겠습니다.

 

1.  SSH 

SSH란?

SSH는 Secure Shell의 줄임말로, 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜이다. 포트 번호는 22번이다.

쉘은 CLI 환경을 떠올리면 되겠다. 기존 원격 접속은 텔넷(Telnet)이라는 방식을 사용했는데, 암호화를 제공하지 않기 때문에 보안상 취약했다. 누구나 쉽게 원격 접속 과정에서 옮겨지는 비밀번호나 파일 내용 등의 데이터를 탈취할 수 있었다고 한다.

그래서 등장한 것이 SSH 프로토콜이다. 현재는  클라우드 서비스에서 제공하는 서버는 기본적으로 원격 접속을 해서 접근하고 사용한다.

그래서 AWS, MS azure 같은 클라우드 서비스 제공 회사들은 서버 생성시 필수적으로 SSH 보안 과정을 거친다.

SSH는 통신 과정에서 모든 것이 암호화 되어, 통신이 노출된다고 하더라도 이해할 수 없는 암호화된 문자로 보인다!

 

SSH 작동 방식

SSH를 구성하는 가장 핵심 키워드는 KEY(열쇠)다. 사용자(클라이언트)와 서버(호스트)는 각각의 키를 보유하고 있으며, 이 키를 이용해 연결 상대를 인증하고 안전하게 데이터를 주고 받는다. 여기서 키를 생성하는 방식이 두 가지가 있다.

바로 대칭키와 비대칭키(공개 키) 방식이다. 이제 각각의 방식들에 대해 알아보자.

 

비대칭키 

비대칭키 방식에서는 서버 또는 사용자가 Key pair(키 쌍)을 생성한다. 키 페어는 공개 키와 개인키의 두 가지로 이루어진다.

공개 키와 개인 키는 서로 다른 키로 서로 페어인 키들로만 암호화한 메시지를 복호화가 가능하다.

다른 페어의 키들과는 이런 과정을 진행할 수 없다.

 

쉽게 예시를 가지고 생각을 해보자!

사용자가 키 페어를 생성했고, 서버에게 공개 키를 주었다.

공개 키는 말 그대로 '공개' 키므로 누구나 가질 수 있다.

개인 키는 말 그대로 개인이 소장하며 누구한테도 보여주면 안되는 중요한 키(파일)이다. 사용자가 가지고 있다.

 

서버의 공개 키를 사용해 암호화된 인증 메시지를 클라이언트에게 보낸다.

공개 키를 사용해 암호화된 메시지는 오직 페어인 개인 키를 사용해 복호화할 수 있다.

이런 논리를 사용해 서버와 클라이언트 간 사이를 증명할 수 있다.

 

암호화된 메시지를 받으면 클라이언트는 개인키를 이용해 그것을 풀고 서버에게 제출한다.

버는 사용자에게 전송받은 값을 자신이 암호화하기 전 원본 메시지와 비교한다.

만약 두 값이 맞다면, 서버는 사용자를 페어 키의 주인으로 인지하고 접속을 허용한다.

이렇게 최초 접속 시 사용자와 서버 간의 인증 절차가 비대칭키 방식을 이용해 완료된다.

이러면 SSH 세션이 시작된다!!!

 

참고

  • 보통 공개 키의 경우 .pub, 개인 키의 경우 .pem의 파일 형식을 띄운다.
  • 우리는 AWS Ec2 인스턴스를 생성하면서 .pem 파일을 다운받았다. 

대칭키

사용자 또는 서버는 하나의 대칭 키를 만들어 서로 공유한다.

공유된 대칭 키를 이용해 보낼 메시지를 암호화하면, 받은 쪽에서 동일한 대칭 키로 메시지의 복호화를 진행해 정보를 습득한다.

결론적으로 암호화, 복호화 할 때 사용하는 키가 동일하기 때문에 대칭 키라고 하는 것이다. 

이 키를 안전하게 전달하는 것이 제일 중요한 포인트라고 한다.

 

보통 정보 교환이 완료되면 교환 당시 썼던 대칭 키는 폐기되고, 나중에 다시 접속할 때마다 새로운 대칭 키를 생성해서 사용한다.

또한 비대칭키 방식으로 서로를 인증하면 대칭 키 방식을 사용해 정보를 주고 받는다.

이러한 방식들을 이용해 원격 접속 과정이 SSH를 통해 안전하게 이루어진다.

 

 

2. SSL

SSL에 대해 알아보자.

  • SSL(Secure Sockets Layer)은 암호화 기반 인터넷 보안 프로토콜이다.
  • SSL은 기밀성, 데이터 무결성, 서버 인증과 클라이언트 인증을 통해 TCP를 향상시켰다고 한다.
  • SSL/TLS을 적용하는 웹사이트는 HTTPS 프로토콜을 사용한다.
  • HTTPS는 HTTP를 SSL/TLS를 적용해서 통신 과정에 암호화를 더해 보안성을 높인 프로토콜다..
  • TLS는 SSL의 좀 더 발전한 모습이라고 이해할 수 있겠다.

 

우리가 저번 AWS 실습에서 많이 본 SSL 인증서란 무엇일까??

SSL 인증서는 클라이언트와 서버간의 통신을 제3자가 보증해주는 전자화된 문서다.

우리의 경우는 Let's Encrypt 가 3자다. 즉 CA(certificate authority), 인증기관이다.

SSL 인증서에는 서버 공개키와 서비스의 정보가 들어가 있다.

 

클라이언트가 서버에 접속한 직후에 서버는 클라이언트에게 이 인증서 정보를 전달한다.

클라이언트는 이 인증서 정보가 신뢰할 수 있는 것인지를 검증 한 후에 다음 절차를 수행하게 된다.

SSL과 SSL 디지털 인증서를 이용했을 때의 이점은 아래와 같다.

  • 통신 내용이 공격자에게 노출되는 것을 막을 수 있다. 
  • 클라이언트가 접속하려는 서버가 신뢰 할 수 있는 서버인지를 판단할 수 있다.
  • 통신 내용의 악의적인 변경을 방지할 수 있다.

SSL 인증서는 공개 키와 개인 키라는 키 쌍을 갖고 있다. 이 키들이 함께 작용하여 암호화된 연결을 수립한다.

SSL의 통신 과정은 크게 3가지로 이루어진다.

  1. 핸드 셰이킹
  2. 세션
  3. 세션 종료

SSL 핸드셰이크는 암호화를 사용하는 통신 세션을 실행하는 프로세스다.

먼저 SSL 핸드셰이크에 대해 알아보자.

핸드 셰이크는 대칭 키 방식, 비 대칭키 방식을 모두 사용한다.

 

첫 번째 단계 : TCP 연결

먼저 SSL은 TCP 바탕으로 TCP 3 way hand shaking 으로 TCP 연결이 만들어지면 SSL 핸드셰이크가 시작된다.

 

두 번째 단계  : 클라이언트 헬로 메시지

클라이언트가 서버로 헬로 메시지를 전송하면서 SSL 핸드셰이크를 시작한다.

이 메시지에는 클라이언트가 지원하는 SSL/TLS 버전, 지원하는 암호화 알고리즘의 목록과 랜덤한 바이트 문자열을 보낸다.

 

세 번째 단계  : 서버 헬로 메시지

서버가 클라이언트에게 헬로 메시지를 전송한다. 즉 응답이라고 볼 수 있겠다.

서버는 클라이언트가 지원하는 암호화 알고리즘 목록에서 한 가지 알고리즘을 선택하고, 서버의 SSL 인증서, 그리고 서버에서 생성한 또 다른 무작위 바이트 문자열을 모두 담아 클라이언트에게 전송한다. (선택 알고리즘, SSL 인증서, 무작위 문자열 전송)

 

네 번째 단계  : 인증과 예비 마스터 암호

이를 통해 서버가 인증서에 명시된 서버인지, 그리고 클라이언트가 상호 작용 중인 서버가 실제 해당 도메인의 소유자인지를 확인한다.

 

클라이언트가 서버의 SSL 인증서를 인증서 내장된 CA(발행 기관) 리스트를 통해 검증한다. 

만약 CA리스트에 인증서가 없다면 사용자에게 경고 메시지를 출력한다.

인증서가 CA에 의해서 발급된 것인지 확인하기 위해서 클라이언트에 내장된 CA의 공개키를 이용해서 인증서를 복호화한다.

복호화에 성공한다면 인증서는 CA의 개인키로 암호화된 문서임이 보증된 것이다.

왜냐면 CA의 개인키로 암호화 된 것을 CA 공개키로 복호화 했기 때문이다!!!!!

 

클라이언트는 SSL 인증서를 통해 서버의 공개 키를 알아 낸다.

이제 PMS(Pre-Master-Secret)를 생성한다.

PMS는 서버의 무작위 바이트 문자열과 클라이언트의 무작위 바이트 문자열을 바탕으로 만들어진다.

PMS는 서버의 공개키를 통해 암호화되어 서버에게 전달된다.

PMS는 이후에 세션 단계 에서 암호화하기 위해 사용할 것이며 암호화 기법이 대칭키이므로 절대로 노출되어서는 안된다.

 

다섯 번째 단계  : 서버의 개인 키 사용

클라이언트는 서버의 공개키로 암호화된 PMS를 서버로 보낸다.

그러면 서버는 자신의 개인키를 사용해 PMS를 복호화한다. 이제 서버와 클라이언트는 PMS를 공유하게 되었다.

 

여섯 번째 단계  : 세션 키 생성

서버와 클라이언트는 일련의 과정(SSL 표준에 지정된 키 유도 함수)을 거쳐 PMS를 Master Secret 값으로 만든다.

그리고 Master Secretf를 사용해 Session Key를 만든다.

 

일곱 번째 단계  : 클라이언트, 서버 준비 완료 후 안전한 대칭 암호화 성공

클라이언트가 세션 키로 암호화된 완료 메시지를 보내고, 서버가 세션 키로 암호화된 완료 메시지를 보낸다.

이제 서버와 클라이언트는 데이터를 대칭키 방식으로 암호화한 후에 주고 받는다.

이렇게 해서 세션키를 클라이언트와 서버가 모두 공유하게 되었다. SSL 핸드셰이킹을 완료한 것이다.

 

이번에는 핸드 셰이킹 다음 단계인 셰션 단계다.

세션은 실제로 서버와 클라이언트가 데이터를 주고 받는 단계다.

이 단계에서 핵심은 정보를 상대방에게 전송하기 전에 세션 키 값을 이용해서 대칭키 방식으로 암호화 한다는 점이다.

암호화된 정보는 상대방에게 전송되고, 상대방도 세션키 값을 알고 있기 때문에 암호를 복호화할 수 있다.

 

대칭키를 사용하는 이유는 무엇일까? 공개키(비대칭키) 방식은 많은 비용이 들기 때문이다. 사용자의 트래픽이 많은 서버일 수록 엄청난 비용을 지불하게 된다. 반대로 대칭키는 암호를 푸는 열쇠인 대칭키를 상대에게 전송해야 하는데, 암호화가 되지 않은 인터넷을 통해서 키를 전송하는 것은 위험하다.

따라서 데이터를 안전하게 주고 받을 수 있는 공개 키 방식으로 대칭 키를 암호화하고, 실제 데이터를 주고 받을 때는 대칭키를 이용한다.

 

마지막 세션 종료 단계는 데이터의 전송이 끝나면 SSL 통신이 끝났음을 서로에게 알려주고 대칭 키인 세션 키를 폐기한다.

 

 

이상으로 SSH VS SSL 포스팅을 마칩니다.

부족하거나 틀린 부분이 있다면 알려주시면 감사드리겠습니다!

 

 

 

 

 

 

 

 

 

 

참고 자료

https://www.digicert.com/kr/what-is-an-ssl-certificate

https://library.gabia.com/contents/infrahosting/9002/

https://www.cloudflare.com/ko-kr/learning/ssl/what-is-ssl/

https://opentutorials.org/course/228/4894

https://www.cloudflare.com/ko-kr/learning/ssl/what-happens-in-a-tls-handshake/

반응형

댓글

티스토리툴바