본문바로가기

닫기

[IT KEYWORD] SSL이란?

2021.09.27



SSL은 Secure Socket Layer 의 약자로, Certificate Authority(CA)라 불리는 서드 파티로부터 서버와 클라이언트 인증 시 사용됩니다. 
SSL의 탄생 배경은 기존 http:// 와 같은 형태로 웹 기반 통신이 평문으로 패킷을 주고받기에 안전을 보장할 수 없어 이를 보완하기 위해 SSL이라는 하나의 인터넷 통신 프로토콜 규약을 만들었습니다. 

[SSL 아키텍처 구조를 나타내는 그림]

통신 규약 글자의 앞머리를 따서 SSL이라 칭하고, 이를 바탕으로 만들어진 소프트웨어가 웹서버에서 탑재하고 이를 보안 서버라고 부릅니다.
SSL를 통해 페이지 로드 시간을 줄일 수 있으며 위험 요소로부터 데이터를 안전하게 보호하고 변조되지 않도록 유지합니다.
SSL을 통해서 암호화된 통신을 제공하려는 서비스는 CA(Certificate authority)를 통해서 인증서를 구입해야 합니다. CA는 서비스의 신뢰성을 다양한 방법으로 평가하게 됩니다.
 
(적용 예시)

공인된 CA가 제공하는 인증서를 사용한다면 브라우저의 주소창에 안전하다는 좌물쇠 모양의 표시가 활성화됩니다. 

SSO의 필요성
우리는 필요에 따라 중요도 높은 정보를 인터넷을 통해 입력하고 처리합니다. 예를 들어 쇼핑몰에서 상품 구매 시 결제를 위해 입력해야 하는 신용카드 정보나 개인정보 등은 데이터 패킷 형태로 통신하게 되는데요. 이 때 정보 유출이나 스니핑과 같은 악의적인 행위를 방지하기 위해 SSL을 통하여 통신하는 것이 안전합니다. 

1)스니핑 방지
네트워크를 공동으로 쓰는 PC방이나 회사 등에서 스니핑으로 인해 개인정보가 유출되기 쉽습니다. SSL 인증서를 설치하면 모든 정보가 암호화되어 유출 가능성이 매우 희박입니다. 특히, 전자상거래 상에서는 필수적으로 적용해야 합니다. 

2) 피싱 방지
SSL 보안서버 인증서를 구축한 사이트는 인증기관에 의해 신뢰할 수 있는 사이트로 인증 받습니다. 인증 받지 못한 유사 사이트의 경우 피싱 위험이 있기 때문에 SSL은 클라이언트의 신뢰도를 얻을 수 있는 가장 중요한 요소입니다. 

3) 데이터변조 방지
각종 통신 환경을 이용하여 컴퓨터내의 정보 또는 데이터 전송결과를 임의로 변조하는 상황을 방지 할 수 있습니다. 

SSO의 통신 과정
SSL은 암호화된 데이터를 전송하기 위해서 공개키와 대칭키를 혼합해서 사용합니다. 즉 클라이언트와 서버가 주고받는 실제 정보는 대칭키 방식으로 암호화하고, 대칭키 방식으로 암호화된 실제 정보를 복호화할 때 사용할 대칭키는 공개키 방식으로 암호화해서 클라이언트와 서버가 주고 받게 됩니다.
 



SSO의 암호화 방식
암호를 만드는 행위인 암호화를 할 때 사용하는 일종의 비밀번호를 키(key)라고 합니다. 이 키에 따라서 암호화된 결과가 달라지기 때문에 키를 모르면 암호를 푸는 행위인 복호화를 할 수 없습니다. SSL은 대칭키, 공개키 암호화 방식을 사용합니다.

1) 대칭키 암호화 방식
대칭키는 동일한 키로 암호화와 복호화를 같이 할 수 있는 방식의 암호화 기법을 의미합니다. 즉 암호화를 할 때 1234라는 값을 사용했다면 복호화를 할 때 1234라는 값을 입력해야 합니다.
단, 최초 통신시 암호화, 복호화에 사용할 키를 주고받으므로 통신 속도가 빠르다는 장점이 있지만 처음 키를 공유할 때 암호화해버리면 상대방도 키가 뭔지 알 수 없기 때문에 암호화하지 않고 키를 전송하는데 이때 보안상 취약점이 생기며 이를 '키분배의 문제' 라고 합니다.

2) 비대칭키 암호화 방식
클라이언트와 서버 모두 다른 키를 가지고 데이터를 암호화, 복호화 하는 방식을 말합니다. 비대칭키 암호화 방식에서는 Public Key와 Asymmetric Key를 사용하는데 Public Key는 누구에게나 공개되어도 상관없는 키를 뜻하며 이 키를 가지고 데이터를 암호화할 때 사용하고, Asymmetric Key는 공개되어서는 안되는 비대칭키(사설키)를 말하며 데이터를 복호화 할 때 사용합니다.
따라서, 비대칭키 암호화 방식은 클라이언트, 서버 모두 공개키, 사설키를 가지고 있으며 데이터를 암호화할 때는 상대에게 공개키를 요청하여 데이터를 암호화하고, 복호화 할 는 자신의 사설키로 데이터를 복호화 하는 것입니다.
최초통신시 암호화, 복호화에 사용하는 모든 키를 평문으로 주고받을 때 발생하는 보안상 취약점(키분배의 문제)은 해결이 되지만 매 통신시 상대에게 공유키를 요청하는 이유로 통신속도가 느리다는 단점이 있습니다.
 
[출처]
https://12bme.tistory.com/80
https://opentutorials.org/course/228/4894#public

목록으로
맨 위로

개인정보처리취급방침

개인정보 수집 및 이용에 대한 안내

(주)이지미디어(이하 회사)는 이용자의 개인정보보호를 매우 중요시하며, 『정보통신망 이용촉진 및 정보보호에 관한 법률』, 『개인정보보호법』 등 개인정보보호 관련 규정을 준수하고 있습니다.회사는 본 개인정보취급방침을 통하여 이용자에게서 제공 받은 개인정보가 어떠한 용도 및 방식으로 이용되고 있으며, 개인정보보호를 위해 어떤 조치를 취하고 있는지 알려드립니다.
회사의 개인정보취급방침은 다음과 같은 내용을 담고 있습니다.

1. 개인정보의 수집 및 이용 목적
2. 수집하는 개인정보의 항목 및 수집방법
3. 개인정보의 제3자 제공
4. 개인정보의 보유 및 이용기간
5. 개인정보 파기절차와 방법
6. 이용자의 권리, 의무 및 행사방법
7. 개인정보의 기술적/관리적 보호 대책
8. 개인정보 자동수집 장치의 설치/운영 및 거부에 관한 사항
9. 개인정보보호 책임자 및 담당자 
10. 기타 부가방침

1. 개인정보의 수집 및 이용 목적

회사는 다음과 같은 목적을 위해 개인정보를 수집하고 이용합니다.
- 서비스 제공, 콘텐츠 제공, 웹 컨설팅 기초 자료 확보, 마케팅 활용, 상담 신청 처리 등을 위한 원활한 의사소통 경로 확보

2. 수집하는 개인정보의 항목 및 수집방법

회사는 다음과 같은 항목들을 수집하여 처리합니다.
- 필수항목 : 회사명, 담당자명, 핸드폰, 연락처, 이메일

3. 개인정보의 제3자 제공

회사는 이용자의 동의 없이 개인정보를 제3자에게 제공하지 않습니다. 다만, 관련 법령에 의한 경우는 예외로 합니다.

4. 개인정보의 보유 및 이용기간

회사는 원칙적으로 이용자의 개인정보 수집 및 이용목적이 달성되면 지체 없이 파기합니다.
관계법령의 규정에 의하여 보존할 필요가 있는 경우에는 일정기간 동안 보존합니다.
- 문의하기 : 1년(정보통신망법)

5. 개인정보 파기절차와 방법

회사가 보유하고 있는 개인정보에 대한 파기절차와 방법은 다음과 같습니다.

ㆍ파기절차 이용자가 견적 문의 등을 위해 입력하신 정보는 목적이 달성된 후 내부 방침 및 기타 관련 법령에 의한 정보보호 사유에 따라(보유 및 이용기간 참조) 일정 기간 저장된 후 파기합니다.

ㆍ파기방법 전자적 파일형태로 저장된 개인정보는 기록을 재생할 수 없는 기술적 방법을 사용하여 삭제합니다. 종이에 출력된 개인정보는 분쇄기로 분쇄하거나 소각을 통하여 파기합니다.

6. 이용자의 권리, 의무 및 행사방법

1) 정보주체는 회사에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.
- 개인정보 열람 요구
- 오류 등이 있을 경우 정정 요구
- 삭제 요구
- 처리정지 요구

2) 제1항에 따른 권리 행사는 회사에 대해 서면, 전화, 전자우편, 모사전송(FAX) 등을 통하여 하실 수 있으며 회사는 이에 대해 지체 없이 조치하겠습니다.

3) 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는 회사는 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.

4) 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 개인정보 보호법 시행규칙 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.

5) 정보주체는 개인정보보호법 등 관계법령을 위반하여 회사가 처리하고 있는 정보주체 본인이나 타인의 개인정보 및 사생활을 침해하여서는 아니 됩니다.

7. 개인정보의 기술적/관리적 보호 대책

회사는 개인정보보호법 제29조에 따라 이용자의 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 않도록 다음과 같은 기술적 대책을 마련하고 있습니다.

1) 회사는 해킹이나 컴퓨터 바이러스 등에 의해 이용자의 개인정보가 유출되거나 훼손되는 것을 막기 위해 최선을 다하고 있습니다. 개인정보의 훼손에 대비해서 자료를 수시로 백업하고 있고, 최신 백신프로그램을 이용하여 이용자들의 개인정보나 자료가 누출되거나 손상되지 않도록 방지하고 있으며, 암호화 통신 등을 통하여 네트워크상에서 개인정보를 안전하게 전송할 수 있도록 하고 있습니다.그리고 침입차단시스템을 이용하여 외부로부터의 무단 접근을 통제하고 있으며, 기타 시스템적으로 보안성을 확보하기 위한 가능한 모든 기술적 장치를 갖추려 노력하고 있습니다.

2) 담당자를 지정해 개인정보를 취급하는 직원을 최소화하며, 이를 위한 별도 비밀번호를 부여해 정기적으로 갱신하고 있습니다. 또한 담당자에 대한 수시 교육을 통하여 개인정보보호 준수를 강조하고 있습니다.

8. 개인정보 자동수집 장치의 설치/운영 및 거부에 관한 사항

회사는 이용자에게 맞춤 서비스 등을 제공하기 위해 이용자의 정보를 수시로 저장하고 불러오는 쿠키(Cookie)를 사용합니다.쿠키란 웹사이트를 운영하는 데 이용되는 서버가 이용자의 컴퓨터 브라우저에 보내는 소량의 정보며, 이용자의 컴퓨터 하드디스크에 저장됩니다. 쿠키는 이용자의 컴퓨터를 식별하지만 이용자 개개인을 식별하지 않습니다.
이용자는 쿠키 설치에 대한 선택권을 가지고 있습니다. 이용자가 사용하는 웹 브라우저의 옵션을 설정함으로써 모든 쿠키를 허용하거나, 쿠키를 저장할 때마다 확인을 거치거나, 모든 쿠키의 저장을 거부할 수 있습니다.

설정 방법의 예

1) Internet Explorer의 경우 : 웹 브라우저 상단의 도구 > 인터넷 옵션 > 개인정보 > 설정

2) Chrome의 경우 : 웹 브라우저 우측의 설정 > 화면 하단의 고급 설정 표시 > 개인정보의 콘텐츠 설정 버튼 > 쿠키

9. 개인정보보호 책임자 및 담당자

이용자는 언제든지 회사에게 개인정보 열람, 수정, 정보삭제, 처리정지를 요청할 수 있습니다. 정보삭제 또는 처리정지를 원하시는 경우 개인정보보호 담당자에게 서면, 전화, 이메일로 연락하시면 신속하게 조치하겠습니다.

개인정보 관리책임자

성명 이지성

직위 이사

E. lezis@easymedia.net

T. 02-869-3434

개인정보 관리담당자

성명 이준상

직위 부장

E. kokojoon@easymedia.net

T. 02-869-3434(108)

기타 개인정보 침해에 관한 상담이 필요한 경우에는 아래 기관에 문의하실 수 있습니다.
- 한국인터넷진흥원 개인정보침해신고센터 (privacy.kisa.or.kr / 국번 없이 118)
- 대검찰청 사이버수사과 (http://www.spo.go.kr / 국번 없이 1301)
- 경찰청 사이버안전국 (http://www.ctrc.go.kr / 국번 없이 182)

10. 기타 부가방침

회사는 본 개인정보취급방침의 내용 추가, 삭제 및 수정을 하는 경우 개정 최소 7일 전 홈페이지에 변경 사유 및 내용을 고지하겠습니다.

- 시행일자 : 2016년 8월 1일
닫기닫기