SSL 인증서가 사이트 보안을 지켜주는 방식

SSL(Secure Sockets Layer) 또는 그 후속 기술인 TLS(Transport Layer Security) 인증서는 웹사이트와 사용자 브라우저 간의 통신을 암호화하고, 사용자가 접속한 사이트가 신뢰할 수 있는 곳임을 인증하여 보안을 지켜줍니다. 웹사이트 주소 앞에 https://가 붙는 이유가 바로 이 인증서 덕분입니다.

SSL/TLS가 보안을 지켜주는 핵심적인 방식은 **암호화(Encryption)**와 인증(Authentication) 두 가지입니다.

1. 통신 내용의 암호화 (기밀성 확보)

SSL/TLS의 가장 중요한 역할은 사용자 브라우저와 웹 서버 사이를 오가는 모든 데이터를 제3자가 알아볼 수 없도록 암호화하는 것입니다. 이 과정은 **공개 키 암호화(Public Key Cryptography)**와 **대칭 키 암호화(Symmetric Key Cryptography)**를 혼합하여 사용합니다.

(1) 핸드셰이크: 암호화 규칙 정하기

사용자 브라우저가 https 주소로 접속을 시도하면 **TLS 핸드셰이크(Handshake)**라는 과정이 시작됩니다. (참고: 이미지는 잘못된 내용이 포함되어 있어 제외합니다.) 이 과정에서 브라우저와 서버는 다음과 같은 작업을 수행합니다.

• 서버 인증: 서버가 브라우저에게 자신의 **공개 키(Public Key)**가 포함된 SSL/TLS 인증서를 전송합니다.
• 키 교환: 브라우저는 이 공개 키를 사용하여 **세션 키(Session Key, 대칭 키)**를 암호화하여 서버에 다시 보냅니다. 오직 서버만이 자신의 **개인 키(Private Key)**로 이를 해독하여 세션 키를 얻을 수 있습니다.
• 목적: 복잡하고 느린 공개 키 암호화는 오직 **세션 키(대칭 키)**를 안전하게 교환하는 목적으로만 사용됩니다.

(2) 대칭 키를 이용한 실제 데이터 암호화

핸드셰이크 과정이 완료되면, 브라우저와 서버는 서로 공유하게 된 세션 키를 이용하여 데이터를 암호화합니다.

• 속도와 효율성: 대칭 키 암호화 방식은 공개 키 암호화보다 훨씬 빠르고 효율적입니다. 이 세션 키를 사용하여 실제 통신 내용(비밀번호, 카드 정보 등)을 암호화하여 전송합니다.
• 기밀성: 만약 데이터가 전송 도중 탈취되더라도, 공격자는 이 세션 키가 없으면 데이터를 해독할 수 없기 때문에 **통신의 기밀성(Confidentiality)**이 유지됩니다.

2. 웹사이트의 신뢰성 인증 (무결성 및 신뢰성 확보)

SSL/TLS 인증서는 해당 사이트가 사칭된 가짜 사이트가 아님을 보장하여 사용자를 보호합니다.

(1) 공인된 기관의 보증

• CA (인증 기관): SSL/TLS 인증서는 **CA(Certificate Authority)**라는 공인된 기관(예: Let’s Encrypt, DigiCert)에서 발급합니다.
• 신뢰 체인: 브라우저는 서버가 제시한 인증서가 자신이 미리 알고 있는 CA가 발급한 것인지 검증합니다. 이 검증이 통과되면, 브라우저는 해당 웹사이트가 신뢰할 수 있는 곳임을 보장하고 주소창에 자물쇠 모양을 표시합니다.

(2) 데이터 변조 방지 (무결성)

• 해시(Hash) 사용: SSL/TLS 통신 중 데이터가 전송될 때, 데이터와 함께 **해시 값(데이터의 고유 지문)**도 함께 전송됩니다.
• 변조 감지: 수신 측(브라우저 또는 서버)은 받은 데이터의 해시 값을 다시 계산하고, 함께 전송된 해시 값과 비교합니다. 두 값이 다르면 데이터가 전송 중에 **변조(Tampering)**되었다고 판단하고 해당 데이터를 폐기하여 **데이터 무결성(Integrity)**을 지켜줍니다.

3. SSL/TLS가 지켜주는 3대 보안 요소

SSL/TLS 인증서는 이처럼 암호화와 인증을 결합하여, 사용자가 안전하고 믿을 수 있는 환경에서 데이터를 주고받을 수 있도록 보장하는 웹 보안의 핵심 기술입니다.