주 의 사 항

이 가이드의 사용에는 어떠한 제한도 없지만 다음과 같은 사항에 주의

하여야 합니다.

※ 이 가이드의 내용 중 오류를 발견하 거나 내용에 대한 의견이 있을 때에는secureserver@kisa.or.kr로 해당 내용을 보내주시기 바랍니다.

문서 내에 언급된 상표, 제품명 등에 대한 권리는 각 상표또는 제품을 소유한 해당 기업에 있으며, 설명을 위해 특정회사 제품명이나 화면이 표시된 경우 보안서버 구축을 위한참고자료로써의 고유 목적 외에 어떠한 다른 목적도 없으며그렇게 이용해서도 안됩니다.

문서 내에 기술된예시등은일반사용자, 기업 등에 있을수있는 고유한 환경을 고려하지 않았으므로 실제 환경에서는그대로 적용되지 않을 수 있습니다. 그러므로 각 장에기술된 내용을 적용할 때에는 먼저 각 사용자, 기업의고유한 환경에 맞는지 확인할 필요가 있으며, 내용의 오류로인해 발생하는 피해에 대하여 본 가이드의 발행기관은책임을 지지 않습니다.

2007. 10.

발간사

최첨단의 정보화 사회를 맞이하여 사회 각 분야에서 인터넷과 정보통신기술의 사용이 일상화되면서, 모든경제주체의활동, 특히온라인상에서의경제활동이개인정보를매개로하여유지운 되고 있으며 대부분의 기업이 마케팅의 수단으로 개인정보을 수집 관리하는 것이 일반화되었습니다. 개인정보의 의미가 과거에는 단순한 신분정보에 지나지 않았으나 정보통신기술발전으로개인정보가대량으로수집 관리됨에따라전자상거래, 고객관리, 금융거래등을통한수익창출을위한자산적가치로서높게평가되고있습니다.

그러나눈부신기술발전의순기능못지않게역기능에대한우려가높아지고있습니다. 그 중불법적인개인정보의수집및유출은본인이알지못하는사이에개인정보가악용될수있기때문에특정 개인의 사회 경제적 활동에 치명적인 피해를 입힐 수 있습니다. 또한 2006년 조사 결과인터넷상에노출된주민번호가27만여명에이를정도로파급속도가매우빠르고동시에다수의피해자가발생할수있기때문에정보사회자체에대한불신으로이어질수있습니다.

올해세계경제포럼(WEF)에서발표한국가별보안서버보급률순위에따르면, 우리나라는 세계122개대상국중49위에머물러세계최고의정보인프라수준에비해정보보호에대한관심과투자는상대적으로미흡한것으로나타났습니다. 개인정보보호에대한사회적관심이높아지고있음에도불구하고개인정보를수집 관리하는업체들은여전히보안서버구축을외면하고있는것입니다.

본가이드는상대적으로이용자가많은포털, 게임등웹사이트에서중소규모의온라인쇼핑몰에이르기까지, 개인정보를취급하는정보통신서비스제공자들의개인정보보호에대한인식수준을높이고웹사이트운 자들이실제로보안서버를구축하는데도움을주고자합니다. 본가이드를통하여보안서버가이제는선택사항이아닌필수사항임을인지하고, 보다안전하게개인정보를관리할수있는기반을구축하는데도움이되기를기대합니다.

2007년10월한국정보보호진흥원장

가이드의구성

이가이드는사용자들의이해를돕기위하여다음과같이구성되어있습니다.

Ⅰ장과Ⅱ장은사용자들이반드시알아야하는기본적인사항들입니다. 꼭읽어보시고각업체의환경에적합한보안서버를선택해야합니다.

보안서버구축방법을선택하 다면, Ⅲ장~ Ⅴ장중상황에맞는내용을참조하시면됩니다.각 장에 소개되는 설치 방법과 오류시 대처방법을 숙지한 후 보안서버 구축 전문업체에연락하시면보다자세한안내를받을수있습니다.

Ⅵ장은 보안서버를 구축한 후, 실제 웹페이지에서 수정해야 할 내용에 관한 가이드입니다.웹페이지적용방법과실제사례를포함하고있으며, 보안서버가적용되었는지확인하는방법을알아보실수있습니다.

Ⅶ장은정보통신부에서추진하고있는보안서버구축확대에관한 FAQ를정리한것입니다.2005년부터현재까지웹사이트운 자들이자주질문하신내용을정리한것이므로우선궁금하신내용이있는지확인한후추가적인문의는보안서버안내홈페이지(www.kisa.or.kr→‘보안서버안내’)를참조하거나secureserver@kisa.or.kr로연락하시기바랍니다.

부록에는 국산 SSL 인증서 보안경고창 해결방법, 멀티도메인 SSL 인증서와 SSL 가속기에대한설명이포함되어있습니다.

목 차 내 용

Ⅰ. 보안서버란- 보안서버의정의및필요성- 보안서버관련규정

Ⅱ. 어떻게시작하지?- 보안서버의종류- 전문구축업체목록및연락처

Ⅲ. SSL 방식 보안서버구축하기- SSL 방식 보안서버소개및설치방법- 오류시대처방법및관리·운 상유의사항

Ⅳ. 응용프로그램방식보안서버구축하기- 응용프로그램방식소개및설치방법- 오류시대처방법및개발시점검항목

Ⅴ. 웹호스팅업체의보안서버구축하기- 웹호스팅서비스이용자와제공업체를위한보안서버구축절차

Ⅵ. 웹페이지수정및적용확인하기- 웹페이지적용방법및사례- 보안서버적용확인하는방법

부록- 국산 SSL 인증서보안경고창해결방법- 멀티도메인 SSL 인증서및 SSL 가속기소개

Ⅶ. 제도 관련 FAQ - 보안서버구축확대관련질문과답변

Contents

Ⅰ. 보안서버(Secure Server)란 131. 보안서버의 정의 ····················· 13

2. 보안서버 구축의 필요성 ·················· 13 가. 정보유출방지(sniffing 방지) ············ 13 나. 위조사이트방지(phishing 방지) ··········· 14 다. 기업의신뢰도향상 ··········· 14

3. 보안서버 관련 규정 ···················· 15

Ⅱ. 어떻게 시작하지? 161. 보안서버의 종류 ······················ 16

가. SSL 방식 ····················· 16나. 응용프로그램방식 ················· 17

2. 보안서버 구축 전문업체 ·················· 18

3. 보안서버 구축 절차 흐름도 ················· 19

Ⅲ. SSL 방식 보안서버 구축하기 201. 소개 및 보안서버 구축 절차 ················ 20

가. 개요 ······················· 20나. 보안서버구축절차 ················· 21

2. 설치 과정 ························· 23

2.1 IIS 서버에서 보안서버 구축하기 ············· 23가. 개인키생성및CSR 생성방법 ··········· 23나. SSL 설정 ····················· 28

2.2 Apache 서버에서 보안서버 구축하기 ········· 32가. Apache 서버에OpenSSL과mod_ssl의설치방법 ··· 32나. Apache 1.3.X 버전에서보안서버구축하기 ······ 34다. Apache 2.X 버전에서보안서버구축하기 ······ 37

Contents

2.3 Web2B 서버에서 보안서버 구축하기 ·········· 43가. 개인키생성및CSR 생성방법 ············ 43나. 인증서설치방법 ················· 45

2.4 iPlanet 서버에서 보안서버 구축하기 ·········· 48가. 개인키생성및CSR 생성방법 ············ 48나. 인증서설치방법 ················· 50

2.5 체인 인증서 설정하기 ················ 53

3. 오류 발생시 대처방법 ··················· 54

4. 웹사이트 운 ·관리상의 유의사항 ················ 61가. 인증서유효성의확보 ············ 61나. 위·변조웹사이트로의심받을가능성 ······· 62

5. Windows Vista에서 Internet Explorer 7 이용시 유의사항 ··· 63가. 보안경고의강화 ············ 63나. 인증서오류에대한설명강화 ······· 66다. 인증서프로토콜기본설정변화 ······· 69

Ⅳ. 응용프로그램 방식 보안서버 구축하기 701. 소개 및 보안서버 구축 절차 ················ 70

가. 개요 ······················· 70나. 보안서버구축절차 ················· 71 다. 프로토콜설명 ··················· 73

2. 설치 과정 ························· 74가. 클라이언트모듈설치 ················ 74나. 서버모듈설치 ················· 75다. 사이트접속 ·················· 75

3. 오류 발생시 대처방법 ··················· 78

4. 응용프로그램 방식의 보안서버 개발시 점검 항목 ········· 79

Contents

Ⅴ. 웹호스팅업체의 보안서버 구축하기 811. 보안서버 구축 절차 ···················· 81

2. 보안서버 구축 전 확인사항 체크 ··············· 82가. 보안서버구축지원방식확인 ············ 82 나. 발급도메인에대한정보확인 ············ 82다. CSR 생성및보안서버적용 ············ 84

3. 웹호스팅서비스 제공업체의 고려사항 ··········· 84가. 서비스제공서버에서개별인스턴스로서비스가가능한지여부 ·· 84 나. SSL 보안포트서비스가능여부 ··········· 85다. SSL 서비스가능여부 ··············· 86 라. 인증서신청하기 ················· 86

4. 보안서버 구축상태 확인 ················ 87

Ⅵ. 웹페이지 수정 및 적용 확인하기 891. 웹페이지 수정 방법 및 사례 ················ 89

가. 전체페이지암호화하기 ··············· 89 나. 페이지별암호화하기 ················ 92 다. 프레임별암호화하기 ················ 95라. 체크박스를이용한선별적암호화하기 ········ 102

2. 보안서버 적용 확인하기 ················ 104가. 보안서버적용확인방법 ··············· 104 나. 인증서의암호화상태확인방법 ··········· 107

Ⅶ. 제도 관련 FAQ 111

부록 A. 국산 SSL 인증서 보안경고창 해결방법 119부록 B. 멀티도메인 SSL 인증서 소개 131부록 C. SSL 가속기 소개 141부록 D. SSL 방식 보안서버 구축시 유의 사항 145

Contents

<그림 1-1> 보안서버 구축의 필요성 ······················· 14

<그림 2-1> SSL 방식의 보안서버 실행 확인 ··················· 16

<그림 2-2> 응용프로그램 방식의 보안서버 실행 확인 ··············· 17

<그림 2-3> 보안서버 구축 절차 흐름도 ····················· 19

<그림 3-1> SSL 방식의 보안서버 개념도····················· 20

<그림 3-2> SSL 방식 보안서버 구축 절차 ···················· 21

<그림 3-3> mod_ssl 설치 확인 예 ······················· 33

<그림 3-4> 보안경고창과 보안 경고 페이지 예 ·················· 62

<그림 3-5> 인증서 오류로 인한 보안 경고 페이지 예 ··············· 64

<그림 3-6> 보안 상태 표시줄이 빨간색으로 표시되는 예·············· 65

<그림 3-7> 인증서 오류 정보 확인 방법 ····················· 66

<그림 3-8> 인증서 오류 원인 확인 방법 ····················· 68

<그림 3-9> IE 7의 인증서 프로토콜 기본 설정 ·················· 69

<그림 4-1> 응용프로그램 방식 보안서버 구축 절차 ················ 71

<그림 4-2> 서버 플랫폼의 구성 ························· 72

<그림 4-3> 응용프로그램 방식 프로토콜····················· 74

<그림 4-4> 암호화 모듈 설치를 위한 보안경고창 ················· 76

<그림 4-5> 암호화 모듈 설치·························· 76

<그림 4-6> 암호화 통신 확인·························· 77

<그림 5-1> 웹호스팅업체의 보안서버 구축 절차·················· 82

<그림 5-2> WHOIS를 통한 도메인 정보 확인 ·················· 84

<그림 5-3> mod_ssl 설치 확인 화면 ······················ 86

<그림 6-1> 평문 통신을 위한 HTML 소스코드 ·················· 90

<그림 6-2> https 프로토콜을 호출하기 위한 HTML 소스코드 ··········· 90

<그림 6-3> Apache 서버에서의 Redirection ·················· 91

<그림 6-4> HTML Tag를 이용한 Redirection·················· 91

<그림 6-5> Javascript를 이용한 Redirection·················· 92

<그림 6-6> 페이지별 암호화 대상 메뉴 ····················· 92

Contents

<그림 6-7> 페이지별 암호화 대상 메뉴의 소스코드 ················ 93

<그림 6-8> SSL이 적용된 페이지의 경고창 ··················· 93

<그림 6-9> http 평문 통신 주소가 호출되는 웹페이지의 속성 ··········· 94

<그림 6-10> https를 통한 암호화 통신 ····················· 94

<그림 6-11> http를 통한 평문 통신 ······················· 94

<그림 6-12> 프레임이 포함된 웹페이지 ····················· 96

<그림 6-13> topmenu.htm을 https로 호출하기 ················· 96

<그림 6-14> topmenu.htm과 main.htm을 https로 호출하기··········· 97

<그림 6-15> 비암호화된 페이지 호출하기 ···················· 97

<그림 6-16> HTTP 호출시 80 포트 모니터링 결과················ 98

<그림 6-17> topmenu.htm만 암호화하여 호출하기················ 98

<그림 6-18> topmenu.htm의 내용만 암호화된 모니터링 결과··········· 99

<그림 6-19> topmenu.htm과 main.htm을 https로 호출하기··········· 100

<그림 6-20> index.html의 내용만 모니터링된 결과 ··············· 100

<그림 6-21> https를 이용한 호출························ 101

<그림 6-22> https 호출시 80 포트 모니터링 결과 ················ 101

<그림 6-23> 로그인시 보안접속 체크박스를 이용하기 위한 HTML 소스코드 ···· 103

<그림 6-24> 평문 통신 패킷 확인 결과 ····················· 105

<그림 6-25> 암호화된 통신 패킷 확인 결과 ··················· 105

<그림 6-26> 암호화 통신이 이루어지고 있음을 보여주는 자물쇠 이미지 ······ 106

<그림 6-27> 보안이 적용된 웹페이지 등록정보·················· 107

<그림 6-28> 보안이 적용된 웹페이지 접속···················· 108

<그림 6-29> 자물쇠 이미지를 통한 암호화 방식 확인··············· 108

<그림 6-30> 보안이 적용된 웹페이지의 등록정보 중 인증서 버튼 ········· 109

<그림 6-31> 보안이 적용된 웹페이지의 인증서 기본 정보 확인··········· 109

<그림 6-32> 보안이 적용된 웹페이지의 인증서 상세정보 확인··········· 110

<그림 B-1> 멀티도메인SSL 인증서의CN이있는도메인과없는도메인의동작 ····· 133

<그림 B-2> 암호화 통신이 이루어지고 있음을 보여주는 자물쇠 이미지 ······· 133

Contents

<그림 B-3> 다수의 CN이 포함된 멀티도메인 SSL 인증서············· 134

<그림 B-4> 보안이 적용된 웹페이지 속성 확인·················· 134

<그림 B-5> Apache 서버에서 평문 통신을 위한 가상호스팅 설정 ········· 135

<그림 B-6> Apache 서버에서 암호화 통신을 위한 가상호스팅 설정 ········ 136

<그림 B-7> CMD command 실행 모습····················· 136

<그림 B-8> IIS 관리자에서 Site Identifier와 Host header 값 확인········ 137

<그림 B-9> SecureBindings 메타베이스 추가·················· 138

<그림 B-10> SecureBindings을 통한 443 포트 공유 ·············· 138

<그림 B-11> SecureBindings 제거······················· 138

<그림 C-1> SSL 가속기 구성 방식 ······················· 143

<그림 D-1> ARP 스푸핑을 이용한 MITM 공격 ·················· 145

<그림 D-2> ARP 스푸핑과 데이터 변조를 통한 MITM 공격 ············ 146

13

Ⅰ. 보안서버(Secure Server)란

1. 보안서버의정의

보안서버란, 인터넷상에서개인정보를암호화하여송수신하는기능이구축된웹사이트를

말하며, 하드웨어를 설치하는 것이 아니라 이미 사용하고 있는 웹서버에 인증서나 암호화

소프트웨어를설치하여암호통신이가능한것입니다. 인증서의경우해당전자거래업체의

실존을 증명하는 과정을 거쳐 발급되기 때문에 웹사이트에 대한 인증 기능도 일부 가지고

있습니다.

인터넷상에서 송·수신되는 개인정보의 대표적인 예로는 로그인시 ID/패스워드, 회원

가입시이름/전화번호, 인터넷뱅킹이용시계좌번호/계좌비 번호등이해당됩니다.

인터넷 상에서 암호화되지 않은 개인정보는 가로채기 등의 해킹을 통해 해커에게 쉽게

노출될수있으므로, 웹서버에보안서버솔루션을설치하면해커가중간에데이터를가로채도

암호화되어있어개인정보가노출되지않습니다.

2. 보안서버구축의필요성

가. 정보유출방지(sniffing 방지)

학교, PC방, 회사등의공용네트워크를사용하는PC에서보안서버가구축되지않은

사이트로 접속할 경우, 개인정보가 타인에게 노출될 가능성이 있습니다. 스니핑

툴(sniffing tool)을 사용할 경우 다른 사람의 개인정보를 손쉽게 얻을 수 있습니다.

Ⅰ. 보안서버(Secure Server)란

14

보안서버구축가이드

따라서보안서버는개인정보보호를위한기본적인수단입니다.

나. 위조사이트방지(phishing 방지)

보안서버가구축된사이트를대상으로피싱(phishing) 공격을시도하기는상대적으로

어렵습니다. 평상시 접속하는 웹페이지에서 자물쇠 이미지를 확인하거나 개인정보

입력시 암호화 호출(https://), 암호화 모듈 로딩 화면 등을 확인하 다면 유사하게

구성된피싱사이트를구별할수있습니다. 따라서보안서버가구축된사이트는피싱에

의한피해를줄일뿐만아니라고객의신뢰를얻을수있습니다.

다. 기업의신뢰도향상

고객의개인정보를안전하게관리하는기업이라는이미지를부각시킬수있습니다.

SSL 인증서발급업체가제공하는보안서버인증마크의경우해당홈페이지에보안서버를

구축하 음을표시하여웹사이트의개인정보보호안전성을사용자에게알릴수있으며,

인증마크를클릭하면일련번호, 발급업체명등의관련정보를확인할수있습니다.

※피싱(Phishing)이란, 개인정보(private data)와 낚시(fishing)를 합성한 조어로써, 금융기관 등의 웹사이트나 거기서 보내온 메일로 위장하여 개인의 ID 및패스워드, 신용카드번호, 계좌정보등을빼내이를불법적으로이용하는사기수법을뜻한다.

<그림 1-1> 보안서버구축의필요성

일반서버웹사이트이용자보안서버

15

Ⅰ. 보안서버(Secure Server)란

3. 보안서버관련규정

보안서버 구축 관련 규정은 아래와 같으며, 전체 법조항이 필요한 경우는 정보통신부

홈페이지(www.mic.go.kr)나법제처홈페이지(www.moleg.go.kr)를참조하시기바랍니다.

1. 정보통신망이용촉진및정보보호등에관한법률

▶제28조(개인정보의보호조치) 정보통신서비스제공자등은이용자의개인정보를

취급함에있어서개인정보가분실·도난·누출·변조또는훼손되지아니하도록

정보통신부령이 정하는 바에 따라 안전성 확보에 필요한 기술적·관리적

조치를하여야한다. <개정2004.1.29>

▶제67조 (과태료) ②다음 각 호의 어느 하나에 해당하는 자는 1천만원 이하의

과태료에처한다. <개정2004.1.29>

8의2. 제28조의규정을위반하여기술적·관리적조치를하지아니한자

2. 정보통신망이용촉진및정보보호등에관한법률시행규칙

▶제3조의3(개인정보의보호조치) ①법제28조의규정에의한개인정보의안전성

확보에필요한기술적·관리적조치는다음각호와같다.(중간생략)

4. 개인정보를안전하게저장·전송할수있는암호화기술등을이용한보안

조치(이하생략)

3. 개인정보의기술적 관리적보호조치기준

▶제5조(개인정보의 암호화) ②정보통신서비스제공자등은 정보통신망을 통해

이용자의 개인정보 및 인증정보를 송·수신할 때에는 보안서버 구축 등의

조치를통해이를암호화해야한다. 보안서버는다음각호의어느하나의기능을

갖추어야한다. <개정2007.1.29>

1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인정보를

암호화하여송·수신하는기능

2. 웹서버에 암호화 응용프로그램을 설치하여 개인정보를 암호화하여

송·수신하는기능

16

보안서버구축가이드

1. 보안서버의종류

보안서버는구축방식에따라크게「SSL 방식」과「응용프로그램방식」2가지로구분할

수있습니다. 보안서버를구별하는방법은아래와같습니다.

가. SSL 방식

「SSL 인증서」를이용한보안서버는사용자컴퓨터에별도의보안프로그램설치가

필요없으며, 웹서버에설치된「SSL 인증서」를통해개인정보를암호화하여전송합니다.

보안서버 구축에 소요되는 비용이 상대적으로 저렴하지만 주기적으로 인증서 갱신을

위한비용이소요됩니다.

로그인 페이지 등 보안이 필요한 웹페이지에 접속한 상태에서 브라우저 하단 상태

표시줄에자물쇠모양의마크로확인할수있으며, 웹사이트의구성방법에따라자물쇠

모양의마크가보이지않을수있습니다.

<그림2-1> SSL 방식의보안서버실행확인

Ⅱ. 어떻게시작하지?

17

Ⅱ. 어떻게시작하지?

나. 응용프로그램방식

암호화 응용프로그램을 이용한 보안서버는 웹 서버에 접속하면 사용자 컴퓨터에

자동으로보안프로그램이설치되고이를통해개인정보를암호화하여전송합니다.

웹사이트접속시초기화면이나로그인후윈도우화면오른쪽하단작업표시줄알림

역에다음그림과같은암호화프로그램실행여부를확인할수있으며, 응용프로그램

방식의솔루션에따라모양은다르게나타날수있습니다.

<그림2-2> 응용프로그램방식의보안서버실행확인

보안서버의 종류

보안서버의 종류

보안서버의 종류

18

보안서버구축가이드

2. 보안서버구축전문업체

보안서버구축방법과절차에관한보다구체적인내용은다음의「보안서버전문협의회」

회원사 중 선택하여 문의하면 자세한 설명을 받을 수 있습니다. 「보안서버전문협의회」에

소속되지않은전문업체를이용하셔도무방합니다.

회사명 홈페이지 연락처

SSL 방식솔루션공급업체

한국전자인증(주) www.crosscert.com 1588-1314

한국정보인증(주) www.kica.net (02) 360-3065

나인포유(주) www.certkorea.co.kr (02) 3444-2750

(주)닷네임코리아 www.anycert.co.kr 080-456-7770

(주)아이네임즈 cert.inames.co.kr (02) 559-1006

(주)이모션 www.trust1.co.kr (02) 542-1987

(주)한국무역정보통신 www.tradesign.co.kr (02) 6000-2162

(주)한비로 comodossl.co.kr 1544-4755

응용프로그램방식솔루션공급업체

한국전자인증(주) www.crosscert.com 1588-1314

한국정보인증(주) www.signgate.com (02) 360-3065

이니텍(주) www.initech.com (02) 2140-3553

드림시큐리티 www.dreamsecurity.com (02) 2233-5533

소프트포럼 www.softforum.co.kr (02) 526-8423

시큐리티테크놀로지(STI) www.stitec.com (02) 558-7391

엠큐릭스(주) www.mcurix.com (02) 2253-8882

유넷시스템(주) www.unetsystem.co.kr (02) 2028-9000

(주)케이사인 www.ksign.com (02) 564-0182

(주)코스콤 www.signkorea.co.kr (02) 767-7224

펜타시큐리티시스템(주) www.pentasecurity.com (02) 780-7728

(의장사, 간사외회원사가나다순)

19

Ⅱ. 어떻게시작하지?

3. 보안서버구축절차흐름도

지금까지보안서버의개념과종류등보안서버를구축하기전에필요한사항들을간단하

게 알아보았습니다. 이제부터는 본격적으로 보안서버 구축 방법에 대하여 알아보겠습니다.

현재기업의상황을확인하시고아래절차흐름도를참고하여자신에게필요한내용을찾아

각장으로이동하시면됩니다.

Ⅲ.SSL 방식

보안서버구축하기

웹서버기종확인

오류시대처방법

IIS 서버에서의설치과정

Apache 서버에서의설치과정등

서버의운 은어떻게하고계신가요?

보안서버종류와전문업체를결정하셨나요?

Ⅵ. 웹페이지수정및적용확인하기

단독서버운 웹호스팅서비스이용

<그림2-3> 보안서버구축절차흐름도

Ⅳ.응용프로그램방식보안서버구축하기

Ⅴ.웹호스팅업체의

보안서버구축하기

구축절차확인

오류시대처방법

보안서버설치및구축완료

구축절차및구축전확인사항

체크

보안서버구축확인

웹호스팅서비스제공업체와의협의및

보안서버설치

20

보안서버구축가이드

1. 소개및보안서버구축절차

가. 개요

SSL은Secure Sockets Layer의약자이며, 1994년Netscape에의해 개발되어현재

전세계적인표준보안기술이되었습니다.

SSL 방식은웹브라우저와서버간의통신에서정보를암호화함으로써도중에해킹을

통해정보가유출되더라도정보의내용을보호할수있는기능을갖춘보안솔루션으로

전세계적으로수백만개의웹사이트에서사용하고있습니다.

아래는SSL 보안에대해그림으로간단하게설명해놓은것입니다.

<그림 3-1> SSL 방식의 보안서버 개념도

Ⅲ. SSL 방식보안서버구축하기

인증기관(CA)

SSL인증서발급

01011100010001000101101110101SSL외부침입차단, 개인정보보호

사이트운 자의웹서버 사용자의웹브라우저

21

Ⅲ. SSL 방식 보안서버구축하기

인증기관(Certification Authorities)에서제공하는SSL 인증서를발급받아웹서버에

설치하게 되면 웹사이트 이용자들의 거래, ID/패스워드, 개인정보 등을 암호화하여

송수신할수있습니다

나. 보안서버구축절차

SSL 방식의보안서버구축절차는다음과같습니다.

2.1IIS 서버에서보안서버구축하기

2.2Apache 서버에서보안서버구축하기

개인키생성및 CSR 생성

IIS 서버에설치및 SSL 설정

개인키생성및 CSR 생성

Apache 서버에설치및 SSL 설정

SSL 인증서발급

인증기관에 CSR 제출 및인증서발급신청

신청자상세정보입력및결재

서버의종류확인

2.5 체인 인증서설정 (국산인증서설치시참조)

3. 오류 발생시대처방법

IIS / Apache / Web2B / iPlanet 등

<그림3-2> SSL 방식보안서버구축절차

···

22

보안서버구축가이드

① SSL 방식의보안서버를사용하기위해서는운 하고있는웹서버에보안서버

인증서가설치되어야합니다. 보안서버인증서는운 중인웹서버에서‘인증서

만들기’를이용하여생성합니다.

※발급이 완료된 인증서는 재발급 또는 변경이 불가능하기 때문에 새로 발급받으셔야 하며, 새로

발급받을시비용이발생할수있으니 CSR 생성시절대주의바랍니다.

② 먼저 운 하는 웹 서버에서 개인키를 만든 후, CSR 파일을 생성하여 인증

기관에 보안서버 인증서 발급을 신청합니다.

CSR(Certificate Signing Request)이란 인증서요청파일의약어로서운 하는

URL 및 운 하는회사의정보등이입력됩니다.

③인증기관에 CSR을 이용하여 인증서를 신청할 때 회사의 담당자 정보 등을

입력합니다. 인증서 발급 심사 후에 신청 시 입력한 담당자의 E-mail 주소로

인증서가발급됩니다.

④발급받은 인증서를 운 중인 웹 서버에 설치하게 되면 SSL 방식의 보안서버

설정을 완료하게 됩니다. SSL 인증서가 설치된 후 관리·운 시 인증서의

유효성에 따라 보안경고창이 발생할 수 있으니‘4. 웹사이트 운 ·관리상의

유의사항’을확인하시기바랍니다.

서버호스팅서비스를받고있는고객의경우에는서버에대한관리자권한이고객에게

있기때문에고객이직접CSR 생성및인증서발행후에설치를진행해야하며, 호스팅

서비스 제공업체에게 보안서버 구축 대행을 요청하게 되면 설치대행비가 부과될 수

있습니다.

SSL 방식의 보안서버 구축은 서버의 운 체제에 따라 적용절차가 모두 다르므로

업체의서버종류를파악한후, 각서버의설치과정을참고하시기바랍니다. 본가이드

에서는 IIS, Apache, Web2B, iPlanet 서버에서 SSL 인증서를 이용하여 보안서버를

구축하는 방법을 소개하고 있으며, 향후 다른 종류의 서버에 SSL 방식의 보안서버를

설치하는방법을지속적으로추가해나갈예정입니다.

23

Ⅲ. SSL 방식 보안서버구축하기

2. 설치과정

2.1 IIS 서버에서보안서버구축하기

가. 개인키생성및CSR 생성방법

①웹사이트속성메뉴를선택합니다.

시작→프로그램→관리도구→인터넷서비스관리자→웹사이트→속성

②등록정보화면에서디렉토리보안을클릭한후서버인증서를클릭합니다.

24

보안서버구축가이드

③웹서버인증서마법사를시작합니다. ‘새 인증서를만듭니다’를선택합니다.

④‘요청을준비하지만나중에보냅니다’를선택합니다.

25

Ⅲ. SSL 방식 보안서버구축하기

⑤인증서를만들이름을입력하시기바랍니다.

이름은인증서의별칭이므로쉬운것으로입력하여주시기바랍니다. 인증서키의

길이는 1,024가 표준입니다. 비트 길이가 너무 크면 서버에서 인지하지 못할

경우도있습니다.

⑥조직및조직구성단위를입력합니다.

조직은 회사의 문 전체 이름을 입력하고, 조직 구성단위는 문 부서명을

입력합니다.(모든내용은 문으로입력합니다)

26

보안서버구축가이드

⑦인증받을도메인이름을입력하시기바랍니다.

⑧ 지역정보를입력합니다.(모든 내용은 문으로입력합니다.)

27

Ⅲ. SSL 방식 보안서버구축하기

⑨인증서요청파일(CSR)을 저장합니다.

⑩ 신청한내용을다시한번확인합니다.

28

보안서버구축가이드

⑪인증서신청을완료합니다.

⑫ CSR 내용을 인증기관에게 메일로 송부하시던지 인증서 신청화면에 붙여

넣으신후인증서신청을진행하시면됩니다.

자, 이제인증기관의발급절차에따라서인증서가발급됩니다.

나. SSL 설정

①웹사이트속성메뉴를선택합니다.

시작→프로그램→관리도구→인터넷서비스관리자→웹사이트→속성

29

Ⅲ. SSL 방식 보안서버구축하기

②등록정보화면에서디렉토리보안을클릭한후서버인증서를클릭합니다.

③ 보류중인요청을처리합니다.

30

보안서버구축가이드

④보류 중인 요청 처리-메일을 통하여 받은 인증서(-----begin 부터

end-----까지)를 저장한 파일을 선택합니다. 인증서 파일을 선택한 후 다음

버튼을누릅니다.

⑤ 인증서요약 - 현재 설치하시고자하는인증서의내용이보여집니다.

만약에 신청하신 내용과 일치하지 않으면 경고 메시지가 뜨며, 인증서가 설치

되지 않습니다. 그럴 경우에는 현재의 요청을 삭제하신 후, 새로운 인증서를

신청하셔야합니다.

31

Ⅲ. SSL 방식 보안서버구축하기

⑥인증서 설치 후의 설정 - 기본 웹 사이트의 등록정보에서 웹사이트 탭을 선택

합니다. 웹 사이트 확인 섹션에서 고급 버튼을 클릭해서 SSL 포트에 443을

설정해줍니다.(기본적으로 443을 사용하지만, 사이트 운 자가 1~65535

범위내에서 임의로 포트번호를 설정할 수 있습니다)

⑦인증서설치확인 - 인증서가정확히설치되었는지인증서가설치된홈페이지를

통해확인할수있습니다.

https://인증서신청URL에접속해서하단에노란자물쇠버튼이뜨는지확인합니다.

만일 443이 아닌 다른 포트로 SSL 포트를 적용하 을 경우에는 주소창 뒤에

포트번호를지정해야확인할수있습니다.

(예: https://www.kisa.or.kr:442)

32

보안서버구축가이드

⑧이제 SSL 인증서의 설치가 완료되었습니다. Ⅵ장으로 이동하셔서 실제

웹페이지를어떻게수정해야하는지알아보겠습니다.

2.2 Apache 서버에서보안서버구축하기

가. Apache 서버에OpenSSL과mod_ssl의설치방법

Apache 서버에서 SSL 통신을 가능하게 하기 위해서는 OpenSSL과 mod_ssl이

필요합니다.

우선, 현재 서비스 중인 Apache 서버에 mod_ssl이 설치되어 있는지를 httpd -l

옵션을 사용하여 mod_ssl.c 또는 mod_ssl.so가 있는지 확인하시기 바랍니다. 만일

설치되어있다면Apache 서버의버전에맞는개인키생성및CSR 생성방법과정으로

이동하시기바랍니다.

33

Ⅲ. SSL 방식 보안서버구축하기

<그림3-3> mod_ssl 설치확인예

OpenSSL은 Apache 버전과 mod_ssl의 버전을 확인한 후에 알맞은 OpenSSL을

설치해야합니다. 예를들어Apache 1.3.3 버전에는mod_ssl 2.1.6 (또는2.1.7)을설치

해야 하고, mod_ssl 2.1.6은 OpenSSL 0.8.1b와 0.9.1c 버전 사이에서만 동작합니다.

버전을 확인하지 않고 OpenSSL과 mod_ssl을 설치하면 Apache 컴파일 과정에서

오류가발생합니다.

mod_ssl은반드시Apache 버전에맞는것을설치하셔야하며www.modssl.org에서

Apache 버전을확인한후그에맞는mod_ssl을다운받아설치하시기바랍니다.

mod_ssl에서 지원하는 apache 버전 및 OpenSSL의 버전은 mod_ssl 소스의

README.Versions에서 확인할 수 있으며, www.openssl.org에서도 확인할 수

있습니다.

① OpenSSL의 설치(www.openssl.org)

압축풀기

$ gzip -cd openssl-0.9.6.tar.gz | tar xvf -

$ ./config$ make$ make installconfig

☞prefix를주지않았을때에는/usr/local/ssl 디렉토리에설치가됩니다.

다른디렉토리에설치를하고자한다면다음과같이설치합니다.

$ ./config --prefix=/usr/local --openssldir=/usr/local/openssl

☞ OpenSSL의 실행파일은 /usr/local/ssl/bin에 설치되고 인증서비스를 위한 파일들은

/usr/local/openssl 아래의디렉토리에생성됩니다

34

보안서버구축가이드

② mod_ssl의 설치 (www.modssl.org)

압축풀기

$ gzip -cd apache_1.3.19.tar.gz | tar xvf

$ gzip -cd mod_ssl-2.8.1-1.3.19.tar.gz | tar xvf

파일의다운로드와압축풀기가끝나면mod_ssl 설정을합니다.

mod_ssl 설정

$ cd mod_ssl-2.8.1-1.3.19

$ ./configure \

--with-apache=../apache_1.3.19 \

--with-ssl=../openssl-0.9.6 \

--prefix=/usr/local/apache

③ Apache 서버 설치(www.apache.org )

$ cd ../apache_1.3.x

$ SSL_BASE=../openssl-0.9.6 \

./configure \

--prefix=/usr/local/apache \

--enable-module=ssl \

$ make

$ make certificate

$ make install

나. Apache 1.3.X 버전에서보안서버구축하기

(1) 개인키생성및CSR 생성방법

35

Ⅲ. SSL 방식 보안서버구축하기

①랜덤넘버생성

$ openssl md5 * > rand.dat

②키쌍생성

$ openssl genrsa -rand rand.dat -des3 -out 1024 > key.pem

☞개인키비 번호를입력하며반드시기억해야합니다.

(암호를분실할경우SSL 사용을위한apache를구동할수없습니다)

③생성된키쌍을이용하여 CSR 생성

$ openssl req -new -key key.pem > csr.pem

☞여기서key.pem은단계②에서생성한키이름이며csr.pem은출력CSR 파일의이름입니다.

다음정보를입력하라는메시지가나타납니다.

(모든내용은 문으로작성해야하며, 아래는입력예입니다)

Country(국가코드) : KR

State/province (시/도의전체이름) : Seoul

Locality(시,구,군등의이름) : Songpa-gu

Organization(회사이름) : Korea Information Security Agency

Organization Unit(부서명) : Policy Development Division

Common Name (host name + domain name) : www.kisa.or.kr

‘추가속성’을입력하라는메시지가나타나면그냥넘어가셔도무방합니다.

④ CSR 제출

생성된CSR(예:csr.pem)의내용은다음과같습니다.

36

보안서버구축가이드

-----BEGIN CERTIFICATE REQUEST-----

MIIBETCBvAIBADBXMQswCQYDVQQGEwJBVTETMBEGA1UECBMKU29tZS1TdGF0ZTEh

MB8GA1UEChMYSW50ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMRAwDgYJKoZIhvcNAQkB

FgFgMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6nPTy3avNgbubx+ESmD4LV1LQG

...

AaAAMA0GCSqGSIb3DQEBBAUAA0EAXcMsa8eXgbG2ZhVyFkRVrI4vT8haN39/QJc9

BrRh2nOTKgfMcT9h+1Xx0wNRQ9/SIGV1y3+3abNiJmJBWnJ8Bg==

-----END CERTIFICATE REQUEST-----

CSR 내용을인증기관에게메일로송부하거나인증서신청화면에붙여넣으신후

인증서신청을진행하시면됩니다.

인증기관의발급절차에따라서인증서가발급됩니다.

(2) 인증서설치방법

①메일로받은인증서를복사하여파일로저장합니다.(예: Cert.pem)

-----BEGIN CERTIFICATE-----

MIIBETCBvAIBADBXMQswCQYDVQQGEwJBVTETMBEGA1UECBMKU29tZS1TdGF0ZTEh

MB8GA1UEChMYSW50ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMRAwDgYJKoZIhvcNAQkBFgF

gMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6nPTy3avNgbubx+ESmD4LV

...

AAaAAMA0GCSqGSIb3DQEBBAUAA0EAXcMsa8eXgbG2ZhVyFkRVrI4vT8haN39/QJc9BrR

h2nOTKgfMcT9h+1Xx0wNRQ9/SIGV1y3+3abNiJmJBWnJ8Bg==

-----END CERTIFICATE-----

② Apache 서버의적절한위치에저장합니다.

37

Ⅲ. SSL 방식 보안서버구축하기

③환경설정파일(httpd.conf 또는 ssl.conf)을수정합니다. 다음은설정예입니다.

<VirtualHost _default_:443>

# General setup for the virtual host

DocumentRoot /Apache/htdocs

ServerName www.kisa.or.kr:443

ServerAdmin admin@kisa.or.kr

ErrorLog logs/error_log

TransferLog logs/access_log

SSLCertificateFile /Apache/ssl/cert.pem → 인증서파일경로

SSLCertificateKeyFile /Apache/ssl/key.pem → 개인키파일경로

④ Apache 서버를재구동합니다.

./apachectl startssl

Apache 서버에서 SSL을 사용하기 위한 시작 명령어인 startssl을 실행하면

개인키의비 번호를묻는데, 이비 번호는이전의설치과정‘개인키생성및

CSR 생성 방법’중 ② 키 쌍 생성시 입력한 개인키 비 번호를 입력하시면

됩니다.

⑤이제 SSL 인증서의 설치가 완료되었습니다. Ⅵ장으로 이동하셔서 실제

웹페이지를어떻게수정해야하는지알아보겠습니다.

다. Apache 2.X 버전에서보안서버구축하기

(1) 개인키생성및CSR 생성방법

①랜덤넘버생성

개인키생성시사용할랜덤정보를생성합니다. 생성된 rand.dat 파일이중요

38

보안서버구축가이드

하지않다고판단될때, 언제든지이파일을삭제, 변경할수있습니다.

$ openssl sha1 * > rand.dat

또는

$ cat file1 file2 file3 > rand.dat

②키쌍생성

$ openssl genrsa - rand rand.dat -des 1024 > key.pem

☞개인키비 번호를입력하며반드시기억해야합니다.

(암호를분실할경우SSL 사용을위한apache를구동할수없습니다)

☞개인키를분실하신경우, 백업된개인키를사용해야하므로,

생성한개인키의백업복사본은별도의저장매체에보관하여주시기바랍니다.

③생성된키쌍을이용하여 CSR 생성

$ openssl req -new -key key.pem -out csr.pem

☞여기서key.pem은단계②에서생성한키이름이며csr.pem은출력CSR 파일의이름입니다.

다음정보를입력하라는메시지가나타납니다.

(모든내용은 문으로작성해야하며, 아래는입력예입니다)

Country(국가코드) : KR

State/province (시/도의전체이름) : Seoul

Locality(시,구,군등의이름) : Songpa-gu

Organization(회사이름) : Korea Information Security Agency

Organization Unit(부서명) : Policy Development Division

Common Name (host name + domain name) : www.kisa.or.kr

‘추가속성’을입력하라는메시지가나타나면그냥넘어가셔도무방합니다.

39

Ⅲ. SSL 방식 보안서버구축하기

④ CSR 제출

생성된CSR(예:csr.pem)의내용은다음과같습니다.

-----BEGIN CERTIFICATE REQUEST-----

MIIBETCBvAIBADBXMQswCQYDVQQGEwJBVTETMBEGA1UECBMKU29tZS1TdGF0ZTEh

MB8GA1UEChMYSW50ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMRAwDgYJKoZIhvcNAQkB

FgFgMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6nPTy3avNgbubx+ESmD4LV1LQG

...

AaAAMA0GCSqGSIb3DQEBBAUAA0EAXcMsa8eXgbG2ZhVyFkRVrI4vT8haN39/QJc9

BrRh2nOTKgfMcT9h+1Xx0wNRQ9/SIGV1y3+3abNiJmJBWnJ8Bg==

-----END CERTIFICATE REQUEST-----

CSR 내용을인증기관에게메일로송부하거나인증서신청화면에붙여넣으신후

인증서신청을진행하시면됩니다.

인증기관의발급절차에따라서인증서가발급됩니다.

(2) 인증서설치방법

①메일로받은인증서를복사하여파일로저장합니다.(예: Cert.pem)

-----BEGIN CERTIFICATE-----

MIIBETCBvAIBADBXMQswCQYDVQQGEwJBVTETMBEGA1UECBMKU29tZS1TdGF0ZTEh

MB8GA1UEChMYSW50ZXJuZXQgV2lkZ2l0cyBQdHkgTHRkMRAwDgYJKoZIhvcNAQkBFgF

gMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6nPTy3avNgbubx+ESmD4LV

...

AAaAAMA0GCSqGSIb3DQEBBAUAA0EAXcMsa8eXgbG2ZhVyFkRVrI4vT8haN39/QJc9BrRh

2nOTKgfMcT9h+1Xx0wNRQ9/SIGV1y3+3abNiJmJBWnJ8Bg==

-----END CERTIFICATE-----

40

보안서버구축가이드

② Apache 서버의적절한위치에저장합니다.

③ ssl.conf 수정 (virtual host 설정)

ssl.conf의 https(SSL)을 사용하기 위해 구성된 virtual host 부분을 http

설정부분과동일하게수정합니다. 다음은설정예입니다.

<VirtualHost www.kisa.or.kr:443>

# General setup for the virtual host

DocumentRoot /usr/local/apache/htdocs

ServerName www.kisa.or.kr:443

ServerAdmin root@kisa.or.kr

ErrorLog /usr/local/apache/logs/ssl_error_log

TransferLog /usr/local/apache/logs/ssl_access_log

41

Ⅲ. SSL 방식 보안서버구축하기

④ ssl.conf 수정 (키 파일과인증서설정)

ssl.conf 파일에서 인증서 파일과 개인키 파일의 위치와 이름을 알맞게

수정합니다.

인증서설정: SSLCertificateFile /usr/local/apache/cert/(domain name)_cert.pem

개인키설정: SSLCertificateKeyFile/usr/local/apache/certificate/(domain

name)_key.pem

42

보안서버구축가이드

⑤웹서버재구동

- httpd.conf 파일에오류가없는지확인

/usr/local/apache/bin/apachectl - t

Syntax OK 라고나오면오류가없습니다.

- 기존아파치서비스중단

/usr/local/apache/bin/apachectl stop

- http, https 웹서버를구동

/usr/local/apache/bin/apachectl start 실행 후 인증서 개인키 패스워드

입력하면http(80)과https(443) 두서비스가실행

⑥이제 SSL 인증서의설치가완료되었습니다. Ⅵ장으로이동하셔서실제

웹페이지를어떻게수정해야하는지알아보겠습니다.

43

Ⅲ. SSL 방식 보안서버구축하기

2.3 Web2B 서버에서보안서버구축하기

가. 개인키생성및CSR 생성방법

① CSR 정보 입력

Web2B 웹서버의홈폴더아래에 bin 폴더에 'CA‘명령어를실행하여CSR을

생성합니다.

※Pass phrase : 개인키비 번호로SSL 기동때확인

※Common Name : 해당웹사이트의도메인명

44

보안서버구축가이드

② CSR 추출

생성된 newreq.pem에는 (암호화된) 개인 키와 CSR의 정보가 함께 포함되어

있습니다. CSR 정보는다음과같습니다.

-----BEGIN CERTIFICATE REQUEST-----

MIIByzCCATQCAQAwgYoxCzAJBgNVBAYTAktSMQ4wDAYDVQQIEwVTZW91bDEOMAwG

A1UEBxMFU2VvdWwxDTALBgNVBAoTBEtJQ0ExDDAKBgNVBAsTA0IDQzEbMBkGA1UE

AxMSamNsZWUuc2lnbmdGUuY29tMSEwHwYJKoZlhvcNAQkBFhJqY2xlZUBzaWdu

...

JSHC5uBNGVCOoUOEtSEkUfTi7a5Nt+2/4R/dy+z/SQ==

-----END CERTIFICATE REQUEST-----

CSR 내용을인증기관에게메일로송부하거나인증서신청화면에붙여넣으신후

인증서신청을진행하시면됩니다.

인증기관의발급절차에따라서인증서가발급됩니다.

45

Ⅲ. SSL 방식 보안서버구축하기

나. 인증서설치방법

①메일로받은인증서를저장합니다.

CSR 생성과정에서만들어진newreq.pem 파일의내용중위부분의개인키와

인증기관에서 발급받은 (domain_name).crt의 내용을 합쳐서 cert.pem이란

새이름으로저장합니다.

② Config 설정

SSL은 443 포트를 사용하기 때문에 버추얼 호스트 노드를 하나 추가해야

합니다. 아래는SSL을적용시킨config 파일예입니다.

46

보안서버구축가이드

※네모상자로표시된부분을추가해주셔야하며, 주석처리되어있는CaCertificateFile

부분(#)은생략가능합니다.

③ Config 컴파일

수정된sample.m파일을웹서버에서사용할수있도록 wscfl 명령어를사용하여

컴파일하는과정이필요합니다.

예) wscfl - i sample.m

47

Ⅲ. SSL 방식 보안서버구축하기

④웹서버구동

Wsboot 명령어를 사용하여 서버를 구동하고, 인증서 생성과정에서 입력했던

개인키비 번호를입력하시면됩니다.

⑤이제 SSL 인증서의 설치가 완료되었습니다. Ⅵ장으로 이동하셔서 실제

웹페이지를어떻게수정해야하는지알아보겠습니다.

48

보안서버구축가이드

2.4 iPlanet 서버에서보안서버구축하기

가. 개인키생성및CSR 생성방법

①서버관리화면에서서버선택

서버관리화면의콤보박스에서보안서버를구축하고자하는웹서버를선택하고

‘Manage’버튼을누릅니다.

② CSR 생성을위한정보입력

Security Tab을 누르고 왼쪽 메뉴에서‘Request a Certificate’를 선택하여

필요한정보를입력한후‘OK’버튼을선택합니다.

49

Ⅲ. SSL 방식 보안서버구축하기

입력해야할정보는다음과같습니다. (그림의밑줄참고)

- CA Email Address : 관리자의이메일주소

- Key Pair File Password : 관리패스워드

- Requestor Name : 회사명

- Telephone Number : 관리자의전화번호

- Common Name : 웹서버의주소

- Email Address : 관리자의이메일주소

- Organization : 회사명(Full Name 입력)

- Organization Unit : 부서명

- Locality : 주소

- State or Province : 도시명

- Country : KR(대한민국)

③ CSR 생성

‘OK’버튼을선택하면다음과같은정보가생성됩니다. CSR 내용을인증기관에게

메일로송부하거나인증서신청화면에붙여넣은후인증서신청을진행하시면

됩니다. 인증기관의발급절차에따라서인증서가발급됩니다.

50

보안서버구축가이드

나. 인증서설치방법

① Server Certificate를 iPlanet 웹 서버에설치

관리자화면에서Security → Install a Certificate를선택한후, 아래화면에서

표시된부분의정보를채워넣습니다.

51

Ⅲ. SSL 방식 보안서버구축하기

② iPlanet 웹 서버를재시작(Server Off → Server On)

③ iPlanet 웹 서버설정변경

iPlanet서버에인증서를설치가완료됐다면, 서버에서443 포트에대하여대기

(Listen)할 수 있도록 설정을 변경해야 합니다. 웹서버 관리자 화면에서

Preference → Add Listen Socket을선택하여아래와같이정보를입력한후

‘OK’를선택합니다.

52

보안서버구축가이드

입력해야할정보는다음과같습니다. (그림의밑줄참고)

- ID : 이전80포트에대한ID를참고하여SSL 포트를위한ID를부여

- IP : 0.0.0.0 / any 로설정

- Port : 443, SSL 포트는 443이 디폴트 포트이며, 서버 관리자와 상의하여

다른포트를사용하도록설정변경도가능

- Servername : 웹서버명

- Security : ‘On’선택

- Default VS : 디폴트로사용할Virtual Server url을입력

④ iPlanet 웹 서버설정추가변경

SSL에대한 443 Listen 기능을입력한후, 추가로설정해야할부분이있다면

동일화면에서‘Edit Listen Sockets’를선택한후‘Attributes’링크를클릭하여

수정합니다. 이화면에서SSL2, SSL3/TLS에대한설정을변경하거나 iPlanet

기본설정값으로리셋할수있습니다.

53

Ⅲ. SSL 방식 보안서버구축하기

⑤이제 SSL 인증서의 설치가 완료되었습니다. Ⅵ장으로 이동하셔서 실제

웹페이지를어떻게수정해야하는지알아보겠습니다.

2.5 체인인증서설정하기

국산인증서의경우 2006년 2월에인터넷익스플로러(IE) 브라우저의신뢰된루트인증

기관으로등록되었으며Windows XP SP2 버전이상부터IE 브라우저에적용되었습니다.

Windows XP SP2 버전이상부터는국산인증서가신뢰된기관에서발급받은인증서로

인식되기때문에경고창등의문제점이없이사용이가능하지만그이하버전에서는신뢰된

인증기관이 아닌 곳에서 발급 받은 인증서로 인식하기 때문에‘3. 오류 발생시 대처방법’

내용중③번과같이브라우저가웹서버를신뢰하지못하는경고메시지가나타납니다.

그렇기때문에Windows XP SP2 버전이상을사용하지않는사용자는브라우저에국산

인증서의 체인 인증서를 강제적으로 신뢰된 루트 인증기관으로 설치해야만 브라우저에서

신뢰된인증서로인식하여정상적으로사용이가능합니다.

54

보안서버구축가이드

웹서버의종류에따라키체인을설정하는방법이모두다르므로본가이드에서는가장

대표적인웹서버인Apache 서버에서체인인증서설정방법을설명하겠습니다. 이외서버의

경우는 보안서버 구축 전문업체에서 제공하는 설치방법 및 온라인 지원을 이용하시기

바랍니다.

Apache 서버에서는인증서설치후httpd.conf 파일을수정하여체인인증서를설정합니다.

체인인증서파일이(domain).ca-bundle.pem인경우다음과같이설정하면됩니다.

# Set the CA certificate verification path (must be PEM encoded).

# (in addition to getenv("SSL_CERT_DIR"), I think).

SSLCACertificatePath /usr/local/apache/conf/ (체인인증서가설치된full path설정)

SSLCACertificateFile /usr/local/apache/conf/(domain).ca-bundle.pem

3. 오류발생시대처방법

①인증서를발급받은사이트주소와실제로접속한사이트주소가다른경우

예를 들어 www.kisa.or.kr로 인증서를 발급받아 설치한 후 실제 적용은

login.kisa.or.kr로걸어두는경우와같이인증서를발급받은주소와실제로접속한

주소가다른경우에위와같은경고창이나오게됩니다.

55

Ⅲ. SSL 방식 보안서버구축하기

②인증서가유효하지않은경우

③브라우저가웹서버인증서를신뢰할수없는경우

인증서는저마다고유한유효기간을가지고있는데, 이기간이지난인증서를계속

설치해 두는 경우에 나오는 경고창입니다. 그러나, 보통의 경우 인증서가 설치된

사이트에접속하는PC의날짜가잘못되어있어서생기는경우가가장많습니다.

이 경우는 웹 서버 인증서를 발급한 인증기관을 웹 브라우저가 인식하지 못하는

경우로써, 브라우저에는기본적으로신뢰할수있는인증기관리스트가내장되어

있는데그리스트에없는, 즉신뢰할수없는인증기관에서발급된인증서를설치한

경우에발생하는경고창입니다. 실제로는, 웹서버에서자체적으로만든인증서를

설치한경우에가장많이생깁니다.

56

보안서버구축가이드

④보안된항목 https와 보안되지않은항목 http를 모두포함하는경우

⑤한페이지에 http://와 https://의 두 프로토콜이존재하는경우

한 페이지 안에 http://와 https://의 두 프로토콜이 존재하기 때문입니다.

예를들어, http://www.kisa.or.kr에서로그인을위해https://www.kisa.or.kr/login.jsp로

접속할때/login.jsp안에http://www.kisa.or.kr로호출하는직접적인소스가있기때문

입니다. 이러한경우HTML 파일중에HTML 헤더부분에다음의스크립트를넣어주시면

됩니다.

META HTTP-EQUIV="REFRESH" CONTENT="0; URL=http://(해당URL)"

이스크립트는https 페이지에서로그인한후, https로암호화되는임의의페이지를하나

만들어이동을하되그페이지에서메타태그를이용하여원하는http 페이지로리프레쉬하게

만드는것입니다.

말그대로보안된항목 https와보안되지않은항목 http를모두포함하고있어

나타나는 보안경고창입니다. https://를 이용해서 암호화 통신을 하고자 하는

페이지의소스에http://를이용하여호출하는이미지등이존재할때보안경고창이

나타나는것입니다.

이경우‘아니오’버튼을눌러표시되지않는http 항목의소스를절대경로를써서

https로호출하시면됩니다

57

Ⅲ. SSL 방식 보안서버구축하기

⑥운 중인웹서버를같은기종으로변경하려합니다.

보통의 CGI 프로그래밍에서의 리다이렉션 함수(메소드)나 또는 HTTP Location 헤더를

직접 가지고 보안되지 않은 곳으로 리다이렉션하면 보안되지 않은 곳으로 간다고 경고가

나오지만, HTTPS 서버의HTML을읽게한후그HTML 내에서META 태그를이용해서

리다이렉션하게되면, 브라우저는일단그HTML이HTTPS 서버에서읽은것으로간주하고

보안 경고가 뜨지 않으며 HTML의 META 태그로 리다이렉션하는 경우에는 브라우저가

리다이렉션한것처럼동작되게되어경고가뜨지않습니다.

개인키와인증서를백업하신후재설치하여사용이가능합니다. 서버이전또는변경전

설치업체에게반드시사전문의후작업을진행하시기바랍니다.

⑦운 중인웹서버종류를다른기종으로변경하려합니다.

개인키와인증서를백업하신후재설치하여사용이가능합니다. 다만일부웹서버종류는

인증서 및 개인키의 호환이 안되는 경우가 있으니 서버 이전 또는 변경 전 설치 업체에게

반드시사전문의후작업을진행하시기바랍니다.

⑧ https로 접속하면페이지를표시할수없다는페이지가보입니다.

이에러는아래와같은이유로발생합니다.

ⅰ. https 디렉토리에파일이존재하지않을경우

ⅱ. 서버나end-user의방화벽에서443 포트가차단되었을경우

ⅲ. https 서버가다운되었을경우

ⅳ. SSL Certificate 파일이정상적이지않을경우

ⅴ. 웹브라우저에서ssl 3.0으로셋팅이되어있지않을경우

인증서가 정상적으로 설치되었는지를 확인하시고 서버에서 https를 위한 포트가 활성화

되었는지 확인하시기 바랍니다. 또한 방화벽과 L4 스위치 등 보안장비가 있다면 https를

위한 해당 포트를 모두 허용해 주어야 합니다. IIS 서버의 경우‘Netstat - na | findstr

포트번호’, Apache 서버의 경우‘Netstat - na | grep 포트번호’명령어를 이용하여

https를 위한 포트가 활성화되어 있는지 확인할 수 있습니다. 위의 모든 내용을 확인한

후에도정상적으로동작하지않을경우해당업체에게문의하시기바랍니다.

58

보안서버구축가이드

⑨ CSR 생성이정상적으로되지않습니다.

CSR을 생성하실 경우 해당 정보는 모두 문으로 작성하여 주셔야 하며 특수문자는

사용하시면안됩니다. 또한입력을요청하는모든내용을입력하시고다시한번작업을

하시기 바랍니다. 위의모든내용을확인한후에도정상적으로동작하지않을경우해당

업체에게문의하시기바랍니다.

⑩아직도메인이없는데 IP를 대상으로인증서발급이가능합니까?

인증서는 고유의 식별자를 대상으로 발급됩니다. 즉 개인은 주민등록번호를 기준으로

발급되며법인은사업자등록번호로발급되고, 서버는도메인을기준으로발급되기때문에

IP 또는서버이름으로는발급되지않습니다. 따라서도메인을등록하시거나서버의호스트

이름으로인증서를신청하셔야합니다. 단, 인트라넷등사설IP를통해서비스를운 하시는

경우일부인증서의발급이가능하니전문업체에문의하시기바랍니다.

⑪서브(Secondary) 도메인에대해서도보안서버를적용하고싶습니다.

어떤 방법이있을까요?

일반적인 보안서버 인증서는 Host*Domain 단위로 발급됩니다. 예를 들어

www.kisa.or.kr와 login.kisa.or.kr에보안서버를구축하고자한다면각각의인증서가

필요합니다. 동일도메인이름을사용하는여러개의Host에대해서보안서버를구축하고자

한다면그에적합한제품을선택하여보안서버를구축하시기바랍니다.

서브 디렉토리의 경우에는 별도의 인증서가 없어도 암호화가 가능합니다. 즉,

www.kisa.or.kr 사이트에 보안서버가 구축되어 있다면 www.kisa.or.kr/login/이나

www.kisa.or.kr/member/ 등의하위디렉토리는해당소스코드의수정만으로보안서버

적용이가능합니다.

59

Ⅲ. SSL 방식 보안서버구축하기

⑫한 도메인의 운 을 위해 다수의 서버를 사용하고 있거나 반대로 하나의

서버에다수의도메인을운 하는경우는어떻게하나요?

SSL 인증서는도메인단위로발급되며, 하나의도메인운 을위해다수의서버를운 하는

경우에는 하나의 인증서를 구매하고 추가 서버대수 만큼의 라이센스를 받아야 하므로

사전에확인하시기바랍니다.

반대로 하나의 서버에 다수의 도메인을 운 하는 경우 각 도메인별로 SSL 인증서를

발급받으셔야합니다

⑬ SSL 인증서를발급받았는데도메인의 IP를 변경해도괜찮은가요?

인증서는특정 IP로 제한하여발급되지않으며, www.kisa.or.kr처럼도메인이름으로

발급이됩니다. 따라서IP를변경해도무관합니다.

⑭인증서기간이만료되어새로발급받으려고하는데 CSR 파일을전에사용하던

것으로가능한가요?

보통웹서버에서예전에사용하던CSR 파일의사용이가능합니다. 그러나보안상의이유로

추천하지않습니다. 인증서를갱신하실때마다새로이CSR 파일을생성하시는것이좋습니다.

또한웹서버종류마다반드시CSR을생성해야하는서버가있으니새로발급받으시기전에

전문업체에게문의하시기바랍니다.

⑮보안서버가구축되었는지확인을어떻게하나요?

일반적으로 보안서버가 구축되어 있으면 https://URL로 확인이 가능합니다. 하지만

https://URL을 통해서도 확인이 되지 않는 경우가 있으니 전문업체에게 확인을 하시면

보다정확하게진단을받으실수있습니다.

60

보안서버구축가이드

⒃우리가사용하고있는서버에보안서버설치가가능한가요?

기본적으로 모든 웹 서버에는 인증서 방식의 보안서버가 설치 가능하지만 서버 환경에

따라서 별도의 작업이 필요할 수도 있습니다. 보안서버 신청 및 설치 전에 전문업체에게

문의하신후작업을진행하시기바랍니다. 반드시확인이필요한서버는Apache, Tomcat

등이있습니다.

⒔인증서를설치하면보안서버구축이완료되나요?

인증서를설치하면암호화통신을위한기초적인작업이완료됩니다. 하지만실제로암호화

통신을 하기 위해서는 인증서 설치 후 웹페이지를 수정하여 https 프로토콜을 호출하는

작업이필요합니다.

https를 호출하는 작업이 완료되어야만 보안서버가 완전하게 구축, 운 될 수 있습니다.

각작업은프로그램소스를변경하여주는작업이므로‘Ⅵ장웹페이지수정및적용확인하기’

내용을참고하여웹사이트운 자가직접수행하셔야합니다.

61

Ⅲ. SSL 방식 보안서버구축하기

4. 웹사이트운 관리상의유의사항

가. 인증서유효성의확보

앞에서도 언급하 다시피 SSL 인증서 설치의 오류에 따라 보안경고창이 발생하여

이용자들에게‘접속한 웹사이트 보안 인증서에 문제가 있음’을 경고하며, 웹사이트에

대한신뢰도를하락시키고이용자들에게심리적부담감을주게됩니다. 따라서보안서버

구축·관리시신뢰할수있는인증기관, 발급사이트이름, 인증서유효기간등을확인하여

보안서버구축의유효성을유지하는것이매우중요합니다.

보안경고창이발생하는원인을간략히요약하면다음과같습니다.

①인증서발급기관의신뢰성여부

: 웹브라우저에해당인증서가탑재되지않아서이를발급한기관을신뢰할수

없는경우

②인증서유효기간의적정성여부

: 발급된인증서의유효기간이만료되거나아직유효하지않은경우

③인증서발급대상과설치된웹사이트와의일치성여부

: 인증서에 명시된 발급대상 사이트와 실제로 설치된 사이트가 일치하지 않는

경우

특히, 윈도우 비스타에서 Internet Explorer 7을 사용하는 경우 탐색이 차단되고

보안경고페이지가나타나며, 계속진행하면보안상태표시줄이붉게표시되기때문에

사용자들에게 더욱 강력한 경고를 주게 되어 웹사이트 접속을 기피하게 되므로 인증서

유효성확인에대한주의가필요합니다. 다음그림은보안경고창과IE7에서의보안경고

페이지의예입니다.

62

보안서버구축가이드

나. 위·변조웹사이트로의심받을가능성

인증서에 명시된 발급대상 사이트와 실제로 설치된 사이트가 일치하지 않을 경우,

중간에해킹을통해위·변조된피싱사이트로이용자들에게의심받을가능성이높습니다.

특히해커가사용자 PC와보안서버의중간에서프록시서버를통해MITM(Man in

the Middle) 공격을할경우, 유일한보호수단은사용자 PC에서발생하는보안경고창

입니다. 따라서정상적인웹사이트지만SSL 인증서유효성의오류로인해보안경고창이

발생하는것은사용자들이정상웹사이트를해커의공격을받은웹사이트로혼동하게될

소지가큽니다.

또한 보안서버 구축 가이드 및 리플렛, 안내 홈페이지를 통하여 보안경고창 발생시

주의할것으로지속적으로안내하고있기때문에, 이러한안내를받은이용자가위·변조된

사이트나 피싱사이트 등의 불법 웹사이트로 오인하여 접속을 기피하는 현상이 발생할

수있습니다.

따라서보안경고창이발생하지않도록보안서버구축웹사이트의SSL 인증서유효성을

확인하고웹사이트를수정하는등사전에확인조치가필요합니다.

<그림3-4> 보안경고창과보안경고페이지예

63

Ⅲ. SSL 방식 보안서버구축하기

5. Windows Vista에서Internet Explorer 7 이용시유의사항

최근마이크로소프트가발표한 Internet Explorer 7는 피싱(Phishing) 및 개인정보를

도용하는 불법 웹 사이트로부터 사용자를 보호하고 개인 정보 유출의 위험 없이 안전하게

인터넷상거래를이용할수있는보안기능을대폭강화하 습니다. 이에따라SSL 인증서와

관련하여이전버전과는다르게보안경고형태, SSL 인증서프로토콜설정등이수정되었으며,

간단하게내용을정리하면다음과같습니다.

가. 보안경고의강화

이전버전에서는SSL 인증서가유효하지않은경우, 유효하지않은이유를설명하는

보안경고창이 발생하 으나, Windows Vista에서 Internet Explorer 7를 사용하는

경우잘못된인증서를가진웹사이트는탐색이완전히차단되면서‘이웹사이트의보안

인증서에문제가있습니다.’라는경고페이지가보입니다. 인증서오류의원인을간략하게

보여주며 사용자를 속이거나 데이터를 가로챌 수 있다는 경고 문구를 보여줍니다.

사용자의 판단에 따라‘이 웹사이트를 계속 탐색합니다’를 선택하여 웹페이지에 접속

하더라도보안상태표시줄(주소표시줄)이빨간색으로표시되면서인증서오류를경고하게

됩니다.

이것은이전버전의보안경고창보다강력한경고형태로써이용자에게‘안전하지않은

사이트에접속해있다’는것을지속적으로경고하게되므로웹사이트에 대한신뢰도를

하락시키고이용자들에게심리적부담감을주게됩니다. 따라서보안서버구축·관리시

신뢰할수있는인증기관, 발급사이트이름, 인증서유효기간등을확인하여보안서버

구축의유효성을유지하는것이매우중요합니다. 다음은인증서오류로인한보안경고

페이지와보안상태표시줄이빨간색으로표시되는예입니다.

64

보안서버구축가이드

<그림3-5> 인증서오류로인한보안경고페이지예

65

Ⅲ. SSL 방식 보안서버구축하기

보안상태표시줄은인증조직에서수행한유효성검사의수준을표시합니다.

보안상태표시줄아이콘색이의미하는내용은다음과같습니다.

색 의 미

빨강 인증서가오래되었거나, 유효하지않거나, 오류가있습니다.

노랑 인증서또는인증서를발급한인증기관의신뢰성을확인할수없습니다.

인증기관의웹사이트에서문제가있음을나타낼수있습니다.

흰색 인증서의 유효성이 보통 수준입니다. 즉, 브라우저와 웹 사이트 사이의

통신이 암호화되어 있습니다. 인증 기관에서 웹 사이트의 정해진 업무

관례에대해특별한문제를표시하지않습니다.

녹색 인증서에서확장된유효성검사를사용합니다. 즉, 브라우저와웹사이트

간의통신이암호화되어있으며인증기관에서해당웹사이트가인증서및

보안상태표시줄에표시된규칙에부합하는합법적인조직에의해소유및

운 되고 있음을 확인했습니다. 인증 기관에서 웹 사이트의 정해진 업무

관례에대해특별한문제를표시하지않습니다.

* 출처 : Internet Explorer 7 도움말

<그림3-6> 보안상태표시줄이빨간색으로표시되는예

66

보안서버구축가이드

나. 인증서오류에대한설명강화

인증서오류에대한자세한내용은보안상태표시줄에나타나는인증서오류를클릭하여

오류의원인을확인할수있습니다. 보다자세한오류의원인에대하여확인하고싶다면

인증서오류정보를누르면도움말화면을통하여각오류의원인을확인할수있으며,

Windows 도움말에설명된인증서오류는다음과같습니다.

<그림3-7> 인증서오류정보확인방법

67

Ⅲ. SSL 방식 보안서버구축하기

오류메시지

이 웹 사이트의 보안

인증서가 해지되었

습니다.

이 웹 사이트의 보안

인증서가 만료되었

습니다.

이 웹 사이트의 주소가

보안 인증서의 주소와

일치하지않습니다.

이 웹 사이트의 보안

인증서가 신뢰할 수

있는 소스에서 발행한

것이아닙니다.

이 웹 사이트의 보안

인증서 문제가 발견

되었습니다.

의 미

이 웹 사이트를 신뢰하지 마십시오. 이 오류는 종종 웹 사이트에서 부정한

방법으로 보안 인증서를 얻었거나 사용했음을 의미합니다. 인증서에서

지정된암호화키가손상되었거나인증서에나열된사용자에게사용권한이

없을수도있습니다. 인증서를발행한인증기관은해지된목록을보관하며

Internet Explorer는 해당목록을확인합니다.

이오류는현재날짜가인증서유효기간의이전이나이후인경우에발생합니다.

웹 사이트의 인증서를 인증기관과 함게 갱신하여 최신 상태를 유지해야

합니다. 기한이 지난 인증서에는 보안 위험이 있을 수 있습니다. 인증서가

만료된 후에는 인증서를 발행한 인증 기관에서 인증서의 잘못된 사용에

대해책임지지않습니다.

이 오류는 웹 사이트가 다른 웹 주소에 발행한 디지털 인증서를 사용하고

있음을나타냅니다. 회사가여러웹사이트를소유하며한웹주소에발행한

인증서를다른사이트에서사용하는경우에도이오류가발생할수있습니다.

이 오류는 해당 사이트가 실제로 인증서의 웹 사이트와 관련이 있다고

확신하는경우에만무시하십시오.

이 오류는 Interner Explorer 7가 인식하지못하는인증기관에서인증서를

발행한경우에발생합니다, 이런오류는법률관련업무나은행사이트에서는

잘 발행하지 않습니다. 위조된 인증서를 사용하려고 하는 피싱 사이트에서

이런오류를발생시키는경우가자주있습니다.

이 오류는 Interner Explorer 7가 다른오류조건에맞지않는보안인증서

문제를 찾았을 때 발생합니다. 이 오류는 인증서가 손상되거나 변조 또는

알수없는형식으로작성되거나읽을수없는경우에발생할수있습니다.

인증서에이오류가있으면사이트의 ID를 신뢰하지마십시오.

* 출처 : Internet Explorer 7 도움말

또한 인증서 정보를 확인하고 계속 접속해도 되는 사이트인지 판단하고자 한다면

하단의인증서보기를눌러인증서발급기관, 발급대상사이트명, 유효기간등을직접

확인한후접속여부를결정할수있습니다.

68

보안서버구축가이드

<그림3-8> 인증서오류원인확인방법

69

Ⅲ. SSL 방식 보안서버구축하기

다. 인증서프로토콜기본설정변화

Internet Explorer 7에서는 인증서 프로토콜 기본값으로 SSLv2 대신 TLSv1을

사용하기 때문에 SSLv2를 사용하는 사이트의 경우 보안 경고 페이지가 표시됩니다.

이 문제를해결하기위해서 Internet Explorer 7 이용자들은메뉴중도구→인터넷

옵션→고급탭을선택하여보안내용중SSL 2.0을사용하는것으로설정하면됩니다.

<그림3-9> IE 7의인증서프로토콜기본설정

70

보안서버구축가이드

1. 소개및보안서버구축절차

가. 개요

응용프로그램 방식의 경우 SSL 방식과는 달리 제공되는 솔루션마다 설치 방법과

사용방법이 서로 다릅니다. 따라서 본 절에서는 공통적인 설치 과정과 응용프로그램

방식만이가지는특징에대해서설명하겠습니다.

응용프로그램방식은SSL 방식과같이클라이언트와서버간의데이터를암호화하는

기능을제공하고있습니다. SSL 방식이웹브라우저와웹서버가기본적으로가지고있는

SSL 기능을이용하는것과는달리응용프로그램방식은웹브라우저와웹서버에별도의

모듈을추가하여데이터를암호화하는기능을제공합니다.

대부분의웹브라우저는기능을향상시키기위한나름대로의확장기능을제공합니다.

인터넷사용시볼수있는플래쉬나미디어플레이어등이이러한확장기능을이용하는

대표적인예라고볼수있습니다.

응용프로그램방식은웹브라우저와웹서버가기본적으로제공해주지않는추가적인

기능으로동작하기때문에이러한확장기능을통하여기능을제공합니다.

Ⅳ. 응용프로그램방식보안서버구축하기

71

Ⅳ. 응용프로그램 방식 보안서버 구축하기

웹 브라우저 확장기능을 이용해 만든 것을 클라이언트 모듈이라고하고, 웹 서버의

확장기능을이용해만든것을서버모듈이라고합니다. 클라이언트모듈은일반적으로

Active-X 형태로 제공되며, 서버 모듈은 Java의 경우 Java Servlet Filter 혹은

Jar 파일로 제공되며, IIS의 경우 Filter 혹은 DLL 형태로, PHP의 경우 확장 모듈

형태로제공됩니다.

나. 보안서버구축절차

응용프로그램방식은웹서버에서버모듈을설치해야하고, 웹브라우저에클라이언트

모듈을다운로드시켜설치해야하는방식이므로SSL 방식과는다른절차가필요합니다.

SSL 방식의경우웹서버에인증서를설치한후설정부분을수정하고, 실제사용할

부분의URL 부분을수정해주어야하는것과는달리응용프로그램방식은웹서버혹은

웹어플리케이션서버에모듈을설치하는과정이필요하므로구축전문업체와의협력을

통해설치가진행됩니다.

일반적인응용프로그램방식의구축절차는다음과같습니다.

<그림4-1> 응용프로그램방식보안서버구축절차

서버플랫폼확인

2. 모듈설치및환경설정

전문업체와솔루션제공여부확인

암호화적용부분결정

보안서버구축전문업체확인

3. 오류 발생시대처방법

①서버플랫폼확인

보안서버를응용프로그램방식으로구축하기로결정하셨다면그다음으로할일은

서버플랫폼을확인하는단계입니다. 응용프로그램방식은보안서버서버모듈을

설치해야 하기 때문에 서버 플랫폼으로 어떤 것을 사용하느냐에 따라 각각에

맞는서버모듈을제공하게됩니다.

서버플랫폼은통상「웹서버」와「웹어플리케이션서버」로나누어질수있습니다.

보안서버의서버모듈은일반적으로웹어플리케이션서버와연동됩니다. 따라서

어떤웹어플리케이션서버를사용하느냐에따라제공되는보안서버서버모듈도

달라지게됩니다.

웹서버는일반적으로Apache 웹서버를많이사용하고웹어플리케이션서버로는

자바계열의톰캣, 제이보스, 웹로직등이있고, MS 계열의ASP와.Net이있으며,

그밖에PHP 등이많이사용되고있습니다.

②보안서버구축전문업체확인

현재운 되고있는서버플랫폼을확인하셨다면보안서버구축전문업체등을

통해 해당 서버 플랫폼에 맞는 응용프로그램 방식의 솔루션을 제공해 줄 수

있는지확인해야합니다.

72

보안서버구축가이드

웹서버웹

어플리케이션서버

보안서버서버모듈

<그림4-2> 서버플랫폼의구성

73

Ⅳ. 응용프로그램 방식 보안서버 구축하기

③암호화적용부분결정

보안서버구축전문업체가결정되었으면보안서버구축전문업체와함께암호화를

적용할부분을결정해야합니다. 응용프로그램방식에서의암호화부분은텍스트로

전송되는 부분만을 암호화하여, 이미지와 같이 암호화가 불필요한 부분은

제외시킬수있습니다.

④모듈설치및환경설정

암호화적용부분까지결정되었다면보안서버구축전문업체와함께서버모듈을

설치하셔야 합니다. 이와 함께 필요한 환경설정도 진행되게 됩니다. 환경설정

부분은제공되는보안서버전문업체의솔루션마다조금씩다를수있습니다.

⑤구축완료

이제응용프로그램방식의보안서버구축이완료되었습니다.

다. 프로토콜설명

응용프로그램방식에서암호화된데이터를전달하는프로토콜은SSL 방식과는달리

Application 계층에서이루어집니다.

SSL 방식의경우Application과Transport 계층사이에SSL이라는별도의계층으로서

데이터를전달합니다. 이방법의경우Application에서암호화할때계층을설정해주는

일이외에는별다른작업이필요없는장점을가지고있습니다. 하지만, 계층으로서데이터를

전송하기 때문에 암호화할 부분을 선택적으로 전송할 수 없어 불필요한 이미지나

동 상과같은데이터도암호화하여전송할수밖에없습니다.

74

보안서버구축가이드

응용프로그램방식의경우는별도의계층이아닌Application 계층에서동작합니다.

이러한 방식의 장점은 필요한 부분만 암호화하여 전달할 수 있다는 점입니다.

Application에서필요한부분만을적용하여암호화하여불필요한리소스낭비를줄일수

있습니다.

하지만Application에서동작하기위해서는Application과의연동작업이필요합니다.

즉, 웹 서버쪽프로그램일부의수정작업이필요합니다. 응용프로그램방식을제공하는

업체에따라수정작업의범위나양은많은차이가있습니다. 일부응용프로그램방식의

경우 SSL 방식과 유사한 형태의 암호화 방식을 취하면서도 선택적 암호화가 가능한

기능을제공하는제품도있습니다.

2. 설치과정

가. 클라이언트모듈설치

앞서설명된것처럼응용프로그램방식에서는클라이언트모듈의설치가필요합니다.

클라이언트 모듈이 설치되는 것은 사용자 PC의 웹 브라우저이지만 이를 위해서는

사용자가 웹 서버에 접속했을 때 클라이언트 모듈을 다운로드하여 설치하게끔 하는

사전작업을수행해야합니다.

응용프로그램방식

Application

Internet

Network

Physical Physical

Transport(host-to-host)

SSL

Application

Presentation

Session

Transport

Network

Data Link

TCP/IP OSI

<그림4-3> 응용프로그램방식프로토콜

75

Ⅳ. 응용프로그램 방식 보안서버 구축하기

이것은 웹 포털이나 웹 서비스에 접속했을 때 해당 사이트에 플래쉬가 있을 경우

자동으로플래쉬구동프로그램이설치되는것과동일한원리입니다.

이를 위해서는 웹 서버의 특정 부분에 클라이언트 모듈을 다운로드 및 설치하는

object 태그를넣어두어야합니다.

하지만이러한태그를설치자가직접작성하는것은아닙니다. 대부분의응용프로그램

방식을 제공하는 업체들은 별도의 Javascript 파일을 만들어 이 안에서 자동으로

다운로드되고 설치되도록 만들어 두었습니다. 설치시는 이 Javascript 파일을

포함시키면됩니다.

<script language="javascript" src="/abc_plugin.js"> </script>

이 Javascript 파일을 포함 시킬 위치는 해당 솔루션을 공급하는 업체와 협의하여

진행하면됩니다.

나. 서버모듈설치

서버모듈의 설치는 응용프로그램 방식을 공급하는 업체별로 또한 사용하는

웹어플리케이션서버의종류에따라많은차이가있습니다. 따라서대부분의응용프로그램

방식을제공하는업체들이서버모듈설치과정을직접지원하고있습니다.

응용프로그램방식을사용하고자한다면전문업체와협의하여해당웹어플리케이션

서버에적절한서버모듈을설치하면됩니다.

다. 사이트접속

웹브라우저를열어응용프로그램방식의보안서버가구동중인웹서버에접속하게

되면아래화면과같이클라이언트모듈설치에대한안내화면이나타나게됩니다.

이 화면은 클라이언트 모듈 설치시 포함시킨 Javascipt 파일에서 자동적으로

동작하도록구성되어있기때문에필요시내용을수정할수있습니다.

76

보안서버구축가이드

<그림4-4> 암호화모듈설치를위한보안경고창

사용자가설치에동의할경우다음그림과같이자동적으로클라이언트모듈이설치

및로딩된후에사이트가열립니다.

<그림4-5> 암호화모듈설치

77

Ⅳ. 응용프로그램 방식 보안서버 구축하기

다음은패킷캡쳐를통해암호화통신이되는것을확인한것입니다.

<그림4-6> 암호화통신확인

78

보안서버구축가이드

3. 오류발생시대처방법

①클라이언트모듈은Windows 95 등 오래된 OS에서도설치되나요?

② MS Windows 이외의 OS 및 Firefox 등의 웹 브라우저에서도 클라이언트

모듈을 사용할 수 있나요?

③응용프로그램방식이 SSL 방식과비교되는장단점은무엇인가요?

④ SSL 방식은 HTTP 80 포트와는 별도로 443 등의 보안 포트를 사용합니다.

응용프로그램방식은어떻습니까?

일반적으로 클라이언트 모듈은 MS Windows의 Internet Explorer

브라우저용을기본적으로제공합니다. 일부응용프로그램방식제공업체의

경우Firefox 및리눅스, 맥용클라이언트모듈도제공하고있습니다.

대부분의응용프로그램방식제공업체들은상당기간에걸친기술개발을

통해 Windows 95 버전 이상 대부분의 OS에서 설치 문제가 발생하지

않는 클라이언트 모듈을 제공하고 있습니다. 하지만 일부 고객들의 PC

이상으로설치되지않는문제가발생하는경우응용프로그램방식제공

업체들의고객지원센터를통해기술지원을받으실수있습니다.

응용프로그램 방식의 경우 앞서 설명된 바와 같이 암호화할 부분을선택할수있어서암호화에대한서버의부담을줄일수있습니다. 또한SSL 방식에서는기본적으로제공하는암호화알고리즘이외에추가적인암호화알고리즘(국산암호화알고리즘인SEED, ARIA 등)을이용할수있습니다.또한 공인인증서를 이용한 사용자 인증이나 전자서명과 같은 업무를추가하신다면응용프로그램방식에추가적인지원이가능합니다.하지만 서버 모듈을 제공하여야 하고 상당부분의 기술지원이 필요하기때문에 연간 서비스 형태로 제공되는 SSL에 비해서 구축비용이 많이소요될수있습니다.

79

Ⅳ. 응용프로그램 방식 보안서버 구축하기

⑤파일을암호화하여업로드하고싶은데응용프로그램방식에서도가능한지요?

4. 응용프로그램방식의보안서버개발시점검항목

응용프로그램방식의보안서버를자체적으로개발시에는다음과같은기준이충족되도록

개발하여야네트워크상에서전송되는데이터를인가되지않은노출, 변경, 삭제행위로부터

안전하게보호할수있습니다.

가. 비 성

통신상대방과통신을수행함에있어안전한암호화방법을사용하여데이터의비 성이

훼손되지 않도록 방어할 수 있어야 하며, 안전한 암호화를 위해서 사용되는 암호화

알고리즘은 전송계층보안(TLS : Transport Layer Security)에 대한 국제표준인

RFC2246 The TLS Protocol Version 1.0을 충족하여야 합니다. 암호화 알고리즘을

구현하는경우권장사항은다음과같습니다.

① 안전한 암호화를 위해서는 SEED, AES 또는 이들의 안전성에 준하는 암호화

알고리즘을사용

(SEED: 한국정보보호진흥원이 개발한 128비트 대칭형 블럭암호알고리즘, AES: Advanced

Encryption Standard, 미국의 표준 암호알고리즘의공식명칭)

앞서설명드린대로응용프로그램방식은Application 계층에서사용되기

때문에HTTP 80 포트를그대로사용합니다.

하지만, 일부 응용프로그램 방식의 경우 제품의 특성상 별도의 포트를

사용하는제품도있으니전문업체에확인하시기바랍니다.

응용프로그램방식제공업체에서는별도의추가모듈로서파일을암호화하여

업로드하는 기능을 제공하고 있습니다. 솔루션 제공여부는 제공업체에

문의하시기바랍니다.

80

보안서버구축가이드

나. 암호키관리

키관리데이터의무결성과비 성이훼손되지않도록방어할수있어야하고, 키의

적절하고안전한교환을보장할수있어야하며, 키관리데이터의무결성, 키의안전한

교환, 키의 안전한 생성 등 세부기준은 TLS 국제표준을 충족하여야 합니다. 키관리

방안을구현하는경우권장사항은다음과같습니다.

①키관리데이터의무결성을제공하기위해서는 RSA, KCDSA, ECKCDSA 등1024 비트 이상 RSA 인터넷암호화 및 인증시스템에 준하는 전자서명알고리즘또는 HAS-160, SHA-1 등 160비트 이상의 해쉬값을 생성할 수 있는해쉬알고리즘을사용(RSA: Rivest-Shamir-Adleman, 1977년에 개발된 알고리즘을 사용하는 인터넷 암호화 및

인증 시스템으로 가장 보편적으로 사용되는 공개키 암호 알고리즘, KCDSA, ECKCDSA:

인증서기반 국내 표준 전자서명알고리즘)

② 키의 안전한 교환을 위해서는 RSA, D-H 등 1024 비트 이상 RSA인터넷 암호화및인증시스템의안전성에준하는알고리즘을사용

③키의안전한생성을위해서는암호학적으로안전한의사난수생성알고리즘을사용

다. 식별및인증

사용자 단말의 보안모듈은 암호화된 통신을 수행하기 전에 통신 대상 서버의 보안

모듈을유일하게식별해야합니다.

라. 자체기능보호

초기시동할때부터제품의보안기능변경, 비활성화, 우회시도등으로부터자체를

보호할수있어야합니다.

마. 배포및설치

보안서버및관련사용자프로그램은안전한방법으로배포및설치되고, 인가된관리자에의해안전한방식으로구성, 관리, 사용되어야합니다.

81

Ⅴ. 웹호스팅업체의 보안서버 구축하기

1. 보안서버구축절차

단독서버가아닌웹호스팅서비스를받고있는사이트의경우, 직접웹서버를수정할

권한을가지고있지않으며, 보안서버구축을위한기술력을갖추지않은경우가대부분이기

때문에웹호스팅서비스제공업체와의협의를통하여보안서버를구축하게될것입니다.

따라서원활한보안서버구축을위하여본격적인구축이전에확인할사항과보안서버구축

이후에암호화적용여부를확인할수있는방법을중심으로설명하고자합니다.

그리고웹호스팅서비스제공업체또한고객사에서보안서버구축을요청할경우서버

환경과서비스제공가능성확인등고려해야할사항을정리하 습니다.

보안서버구축은각업체마다구체적인환경에따라달라지지만, 일반적으로다음과같은

절차를따르게됩니다. 이번가이드에서는웹호스팅업체들이주로사용하고있는SSL 방식의

보안서버구축방법을알아보고, 향후응용프로그램방식의보안서버구축방법을가이드에

추가하도록하겠습니다.

Ⅴ. 웹호스팅업체의보안서버구축하기

82

보안서버구축가이드

2. 보안서버구축전확인사항체크

가. 보안서버구축지원방식확인

웹호스팅서비스를제공하는업체가보안서버구축서비스를어떠한방식으로제공

하는지를가장먼저확인해야합니다. 일부웹호스팅업체의경우웹호스팅환경에가장

적합한멀티도메인SSL 인증서를이용하거나응용프로그램방식을이용하여보안서버

구축 환경을 갖추는 등 웹호스팅 도메인에 대한 보안서버 구축을 지원하고 있습니다.

또는 각 도메인에 발급되는 단일 SSL 인증서를 이용한 보안서버 구축을 지원하기도

합니다.따라서사전에웹호스팅서비스제공업체가보안서버구축서비스를어떠한형태로

제공하는지 확인한 후, 사전 협의를 거쳐 보안서버 구축 방식과 절차를 결정하시기

바랍니다.

나. 발급도메인에대한정보확인

보안서버인증서발급시사전정보를확인하는절차로인증서를신청하는업체마다

필요로하는정보가다를수있으니미리확인하시기바랍니다.

SSL 방식보안서버구축하기

2. 보안서버구축전확인사항체크

3. 웹호스팅서비스제공업체와협의및제공업체의고려사항체크

CSR 생성

보안서버인증서발급및설치

응용프로그램방식보안서버구축하기(향후추가예정)

서버플랫폼확인

전문업체와솔루션제공여부및

암호화적용부분확인

모듈설치및환경설정

4. 보안서버구축완료및확인방법

<그림5-1> 웹호스팅업체의보안서버구축절차

83

Ⅴ. 웹호스팅업체의 보안서버 구축하기

①보안서버인증서신청정보확인

보안서버 인증서를 신청하기 전에 사업자 정보의 주소나 연락처 등을 현재

운 중인내용으로수정하여주시기바랍니다.

정보확인은사용중인URL 확인과실제서비스를하고있는업체를구별하여

유령회사나그와유사한업체를사칭하여인터넷을이용한범죄행위를방지하기

위한방법입니다.

②신청사도메인정보확인

도메인소유확인을통해확인한회사명과소유자의사업자등록증상의회사명과

동일한지확인합니다. 동일하지않다면소유한도메인정보를변경하여야합니다.

일부 인증기관의 경우 신청사 도메인의 등록정보와 신청사의 웹 서버 정보가

다를경우인증서발급이되지않을수있으니사전에확인하여야합니다.

인증서를 신청하기 위해서는 기본적으로 도메인을 소유하고 있어야 합니다.

또한인증서는웹서비스의실재성, 즉도메인소유자가직접서비스를운 하는지,

운 자가 실존하는 단체나 회사인지를 확인하여 발급됩니다. WHOIS를 통해

보안서버인증서신청도메인명에대한소유권을미리확인하기바랍니다.

③신청사권한확인

인증기관은보안서버인증서를발행하기전에인증서신청업체가등록요청에

지정한이름으로사업을할수있는법적권한이있는지여부를확인합니다. 확인

절차및방법은인증기관이요구하는절차에따라진행하시면됩니다.

(예 : 사업자등록증, 대표자의신분증사본, 전화번호 수증등의발송요구)

경우에따라서인증기관의확인절차중 문사업자등록증을제출해야경우가

있습니다. 문사업자등록증의경우관할세무서를방문하시면발급이가능합니다.

관할세무서에대한정보는국세청홈페이지(http://www.nts.go.kr)에서확인할

수있습니다.

84

보안서버구축가이드

다. CSR 생성및보안서버적용

CSR 생성및보안서버적용에대한구체적인절차는‘Ⅲ장SSL 방식보안서버구축하기’

내용을참고하여작업하시기바랍니다.

3. 웹호스팅서비스제공업체의고려사항

웹호스팅서비스를이용하고있는고객사로부터보안서버구축에대한의뢰가들어오면

웹호스팅서비스제공업체는다음과같은사항들을고려하여보안서버를구축해야합니다.

가. 서비스제공서버에서개별인스턴스로서비스가가능한지여부

<그림5-2> WHOIS를통한도메인정보확인

85

Ⅴ. 웹호스팅업체의 보안서버 구축하기

①서버가 IIS 계열인경우

웹호스팅 서비스 제공시 하나의 서버에서 호스트헤더 분리를 사용하여 여러

도메인을서비스할경우, 평문통신을위한80 포트에서는다중인스턴스로운 이

가능하지만암호화통신을위한443 포트는호스트헤더를지원하지않기때문에

다중인스턴스운 이불가능합니다.

따라서 한 개의 서버에서 여러 도메인을 서비스할 경우에는 인증서 서비스가

필요한사이트를개별인스턴스로분리하여야합니다. 하나의 VirtualHost에

하나의독립적인IP를제공하는IP-based 가상호스팅방식이나한대의서버에서

하나의 IP를 가지고 다수의 도메인을 운 할 수 있게 해주는 Name-based

가상호스팅방식을통하여개별인스턴스로분리하고다수의도메인를인증할

수있는SSL 인증서나응용프로그램방식의보안서버를구축해야합니다.

②서버가 Apache 계열인경우

Apache 서버에서는 VirtualHost를 한 개의 개별 인스턴스로 인식합니다.

Apache 서버는일반적으로VirtualHost를사용하여여러도메인을서비스하고

있기때문에큰무리없이진행할수있습니다.

나. SSL 보안포트서비스가능여부

일반적으로한개의IP에서는SSL을위한보안포트가중복되어사용할수없습니다.따라서한대의서버에서여러도메인에대한SSL 보안을서비스하려면보안서비스를제공하는도메인수만큼의보안포트의확보가필요합니다.

다만, 멀티도메인SSL 인증서를사용하면한개의IP에서보안포트를중복하여사용할수 있습니다. 보다 자세한 내용은‘부록 B. 멀티도메인 SSL 인증서 소개’내용을참조하시기바랍니다.

보안포트가 확보되면 각 보안포트에 대해서는 방화벽 등의 보안장비에서 각 보안포트에대해서접근허용정책을추가해야합니다. 이는각서비스업체의보안정책과관련된사항이므로사전에충분히검토하시기바랍니다.

86

보안서버구축가이드

다. SSL 서비스가능여부

①서버가 IIS 계열인경우

IIS 계열은기본적으로모두SSL 서비스를제공하도록구성되어있습니다.

②서버가 Apache 계열인경우

Apache 서버에서SSL 서비스를제공하기위해서는반드시mod_ssl이설치되어

있어야서비스제공이가능합니다.

현재 서비스 중인 Apache 서버에 mod_ssl이 설치되어 있는지를 httpd -l

옵션을 사용하여 mod_ssl.c 또는 mod_ssl.so 가 있는지 확인하고, 만일

mod_ssl이 설치되어 있지 않다면‘Ⅲ장 SSL 방식 보안서버 구축하기 중

Apache 서버에서보안서버구축하기’를참고하여설치하시기바랍니다.

라. 인증서신청하기

SSL 방식의보안서버인증서는인증서의소유가호스팅업체가아닌사이트운 자가

소유하게 됩니다. 따라서 인증서를 신청을 하실 경우에는 서버를 소유하거나 운

대행하는 업체의 정보가 아닌 실제 도메인을 소유하고 서비스를 제공하는 주체의

정보가필요합니다.

<그림5-3> mod_ssl 설치확인화면

87

Ⅴ. 웹호스팅업체의 보안서버 구축하기

① CSR 생성시입력정보

모든정보는 문으로입력하셔야하며특수문자를사용하시면안됩니다.

②준비서류

공통적으로 도메인을 소유하고 서비스를 제공하는 회사의 사업자 등록증을

준비해야하며, 인증기관에따라서도메인소유에대한확인절차및전화확인

절차가 있는 경우가 있습니다. 이런 경우에는 추가적인 서류가 필요할 수

있습니다.(예: 도메인소유확인증, 전화번호 수증, 문사업자등록증등)

4. 보안서버구축상태확인

인증서설치가완료된후정상적으로인증서가발급되어동작되는지여부는다음과같은

방법으로식별할수있습니다.

① 웹 브라우저에 도메인의 URL의 주소를 http가 아닌‘https’를 통해 연결을시도합니다.

② SSL 인증서버의 경우 기본적으로 80번 포트가 아닌 보안포트를 사용하게됩니다.

https를 이용하여 접속하시면 보안 포트(기본 443번)로 연결이 되어 별다른작업없이SSL 인증서버를통한통신을하게됩니다.

CN=운 중인URL

OU(조직구성단위)= 문부서명

O(조직명)=도메인을소유하고서비스를제공하는회사의 문전체이름

L(구/군)=도메인을소유하고서비스를제공하는회사의위치

S(시/도)=도메인을소유하고서비스를제공하는회사의위치

C(국가코드)=KR(대한민국인경우)

88

보안서버구축가이드

③화면아래에잠겨진자물쇠아이콘이있습니다.

보다자세한내용은‘Ⅵ장웹페이지수정및적용확인하기’에서다루겠습니다.

자, 이제 SSL 인증서의설치가완료되었습니다. Ⅵ장으로이동하셔서실제웹페이지를

어떻게수정해야하는지알아보겠습니다.

89

Ⅵ. 웹페이지 수정 및 적용 확인하기

1. 웹페이지수정방법및사례

암호화 통신을 하기 위해서 보안 프로토콜을 호출하는 방법은 OS나 Program 언어를

가리지않고모두동일합니다. 그이유는암호화통신을하기위해적용하는부분이특정OS나

특정Program 언어에의존하지않는, 모두가공통으로사용하는HTML 언어이기때문입니다.

본 절에서는 암호화 적용 범위에 따라 웹페이지 전체 혹은 일부를 암호화하는 방법과

이용자가선별적으로암호화를선택하는방법을소개하겠습니다.

가. 전체페이지암호화하기

① https 프로토콜호출하기

https 프로토콜을 호출하여 웹페이지 전체에 적용하는 방법은 그림만으로도

곧바로이해를할수있을정도로아주쉽습니다. 간단히호출하는프로토콜을

http://에서https://로수정해주기만하면됩니다.

<그림6-1>과<그림6-2>는암호화통신을하기위해https 프로토콜을호출하기

전과호출한후의HTML 소스코드예입니다.

Ⅵ. 웹페이지수정및적용확인하기

90

보안서버구축가이드

②리다이렉션(Redirection) 설정

앞서설명을하 듯이, 암호화통신을위해서는https 프로토콜을직접호출을

해줘야합니다. 하지만, 웹페이지에접속하는사용자들은일일이https 프로토콜을

붙여서 입력을 하지 않습니다. 대부분의 경우가 www.test.co.kr 또는

test.co.kr 도메인을웹브라우저의주소창에입력하고접속하는경우가대부분일

것입니다. 이 때 웹 브라우저에 그냥 도메인주소만 입력하면, 웹 브라우저는

해당도메인앞에http://가붙은것으로판단하고평문통신을하도록합니다.

평문 통신을 하는 경우라면 문제가 없지만, 암호화 통신을 해야 할 경우에는

https://를직접붙여서입력해야하므로여간불편해하지않습니다. 리다이렉션은

현재접속한도메인이나혹은웹페이지를강제로다른주소나다른페이지로변경해

줌으로써 사용자들의 불편함을 감소시켜주고 자연스럽게 암호화통신을 할 수

있도록해주는기능입니다.

<그림6-1> 평문통신을위한HTML 소스코드

<그림6-2> https 프로토콜을호출하기위한HTML 소스코드

91

Ⅵ. 웹페이지 수정 및 적용 확인하기

<그림 6-3>은 Apache 서버에서 Redirect 지시자를 써서 http://test.co.kr

또는 http://www.test.co.kr로 들어온 사용자를 강제로 https://

www.test.co.kr로리다이렉션시켜서암호화통신하는예입니다.

또다른방법으로는OS나Web Programming 언어의종류에상관없이모두공

통적으로사용하는HTML tag를이용한방법으로써, 어떤경우에서나적용이

가능하기때문에가장많이이용되고있습니다.

<그림 6-4>은 웹페이지의 index.html에 한 줄의 소스코드를 추가함으로써

http://URL로 접속하는 사용자들을 강제로 https://URL로 리다이렉션하는

예입니다.

위와 같이 Meta 태그를 이용하는 경우, 1초 정도 깜빡하는 현상이 나타나기

때문에종종Javascript를이용하기도합니다.

Meta tag를이용한html Redirection 방법과동일하게, 사용자들이익숙하게

접속하는 http://www.test.com의 index 페이지에 삽입해 두면, 사용자들이

불편하게 https://라는프로토콜을특별히지정해주지않아도, 보안을위해서

암호화통신이적용된https:// www.test.com으로리다이렉션해주게됩니다.

<그림6-3> Apache 서버에서의Redirection

<그림6-4> HTML Tag를이용한Redirection

92

보안서버구축가이드

나. 페이지별암호화하기

페이지별암호화는현재위치하고있는페이지에서다른페이지로이동할때, 보안을

위해서암호화된전송을할것인지아니면평문전송할것인지를선택하여암호화하는

것을말합니다.

부분적인 페이지 암호화를 사용하는 이유는 암호화 적용이 필요없는 부분까지

암호화를하여서버의부하를증가시키는것을최대한줄일수있기때문입니다.

다음 <그림 6-6>은 사이트의 메뉴 부분 예입니다. 이 중‘서버관련 강좌 & TIP’

메뉴를클릭하여이동을하면https가호출되어서버와클라이언트간의통신이암호화되어

전송되고, ‘Q&A’메뉴를클릭하여이동하면 http가호출되어서버와클라이언트간의

통신이평문으로이루어지게하는방법을알아보겠습니다.

<그림6-7>은위메뉴부분의소스코드입니다. 밑줄부분중첫번째밑줄에해당하는

부분이현재위치에서메뉴를클릭하여이동할때암호화전송을하도록하게끔설정된

것이고, 두번째밑줄은현재위치에서메뉴를클릭하여이동할때평문전송을하도록

설정된것입니다.

<그림6-5> Javascript를이용한Redirection

<그림6-6> 페이지별암호화대상메뉴

93

Ⅵ. 웹페이지 수정 및 적용 확인하기

이렇게 페이지별로 암호화가 적용된 사이트를 방문해보면, <그림 6-8>과 같은

경고창을만나게되는경우가있습니다.

이경고창이뜨는것는암호화통신을유지하기위해서는웹페이지내의모든URL의

호출이 https://로 이루어져야 하나, http:// 즉 평문 통신을 위한 웹페이지 URL이

포함되어있다는것을의미합니다.

이런경고창이발생하는웹페이지속성을보면<그림6-9>처럼‘암호화안됨’이라고

해서마치암호화가되지않은평문상태로데이터가전송되어지는것처럼생각되지만

웹페이지간 전송되는 데이터를 볼 수 있는 third-parth 툴을 이용해서 확인해 보면,

<그림6-10>와같이암호화통신이이루어지고있다는것을알수있습니다.

<그림6-7> 페이지별암호화대상메뉴의소스코드

<그림6-8> SSL이적용된페이지의경고창

94

보안서버구축가이드

<그림 6-11>는 <그림 6-10>의결과와비교하기위해서암호화되지않은평문통신

(http) 상태를나타낸그림입니다.

하지만<그림6-8>와같이경고창이발생하게되면, 상세한내용을모르고웹사이트에

접속하는사용자들에게보안이되고있지않다는불신을줄수도있고, 또한계속적인

경고창으로 인해서 불편해 할 수 있으므로 가급적 발생하지 않도록 웹페이지내의 모든

URL을https://로바꿔주는것이좋습니다.

<그림6-9> http 평문통신주소가호출되는웹페이지의속성

<그림6-10> https를통한암호화통신

<그림6-11> http를통한평문통신

95

Ⅵ. 웹페이지 수정 및 적용 확인하기

다. 프레임별암호화하기

SSL을 이용한보안포트(443)를 웹페이지에적용하는방법을앞서소개하 습니다.

단순히http를https로만바꾸어주면보안포트를이용해서암호화통신을할수있었습니다.

하지만, 프레임이삽입된웹페이지의경우에는약간적용하는방식이다르기때문에

소개하고자합니다. 프레임이적용된페이지를이용하면암호화된페이지와비암호화된

페이지를각각적용시킬수있습니다.

만일절대경로로호출하는것이아니라, 상대경로로호출하는것이라면소스를변경하지

않아도됩니다.

※참고: 절대경로와상대경로

절대경로호출과상대경로호출이란무엇인가?

절대경로란내가열어보고자혹은내가가고자하는웹페이지의경로를전체적으로기술하는것이고,

상대경로란 내가 현재 있는 위치를 기준으로 내가 열어보고자 혹은 내가 가고자 하는 웹페이지의

경로를기술하는것을말한다.

아래 그림에서첫번째밑줄그은부분이상대경로로호출하는경우이고, 두 번째밑줄그은부분이

절대경로로호출하는경우이다.

첫 번째의 경우에는 https 암호화 통신을 하더라도 소스코드 수정이 필요없는 부분이고, 두 번째의

경우에는 https 암호화 통신을 할 경우 호출 URL을 http에서 https로 바꿔줘야 한다. 만일

바꿔주지않을경우에는 <그림 6-8>과 같이 경고창이뜨게된다.

96

보안서버구축가이드

적용시나리오는 <그림 6-12>과같이웹페이지(index.html)에프레임으로두개의

페이지topmenu.htm과main.htm을불러오는소스코드가있을때소스코드의URL을

<그림 6-13>와 <그림 6-14>처럼 변경하고 웹 브라우저에서 http와 https로 각각

호출했을때의결과를살펴보고자합니다.

<그림6-12> 프레임이포함된웹페이지

<그림6-13> topmenu.htm을https로호출하기

97

Ⅵ. 웹페이지 수정 및 적용 확인하기

①비암호화통신(http)를 이용해서호출하기

<그림 6-15>는 topmenu.htm과 main.htm을 모두 <그림 6-12>의 소스를

이용해서 호출한 경우입니다. 이 경우에는 모든 정보가 암호화되지 않고

<그림6-16>와같이그대로노출됩니다.

<그림6-15> 비암호화된페이지호출하기

<그림6-14> topmenu.htm과main.htm을https로호출하기

98

보안서버구축가이드

다음으로는 <그림 6-13>의 소스코드를 적용하여 topmenu.htm만을 https로

호출을하는경우입니다.

<그림6-16> HTTP 호출시80 포트모니터링결과

<그림6-17> topmenu.htm만암호화하여호출하기

99

Ⅵ. 웹페이지 수정 및 적용 확인하기

프레임을 이용해서 호출하는 경우에는 아래 <그림 6-18>과 같이 암호화되지

않는index.html (네모박스)의내용과main.htm의내용만이80 포트로텍스트

전송되는것을확인할수있습니다. topmenu.htm의내용은암호화전송되기

때문에평문전송되는80 포트에서는내용을알수없습니다.

마지막으로 <그림 6-14>과 같이, 호출하는 index.html을 제외하고 모든

프레임내의 호출페이지를 https를 통해서 호출하게 될 경우에는 아래와 같이

index.html의 내용만 평문으로 전송이 되고, 나머지 topmenu.htm과

main.htm은암호화되어서전송됩니다.

<그림6-18> topmenu.htm의내용만암호화된모니터링결과

100

보안서버구축가이드

②암호화통신(https)을 이용해서호출하기

앞에서와같은절차를이용해서 https를이용해서 <그림 6-11>과같이호출을

하게되면, 프레임을포함하고있는 index.html은URL을https로호출을하게

되므로, 항상암호화가되어지고, topmenu.htm과main.htm은<그림6-12>,

<그림6-19> topmenu.htm과main htm을https로호출하기

<그림6-20> index.html의내용만모니터링된결과

101

Ⅵ. 웹페이지 수정 및 적용 확인하기

<그림 6-13>,<그림 6-14>과같이암호화적용여부에따라서, 평문통신또는

암호화통신이이루어집니다.

<그림6-21> https를이용한호출

<그림6-22> https 호출시80 포트모니터링결과

102

보안서버구축가이드

<그림 6-22>을 보면, 웹 브라우저에서 https를 통해서 호출한 index.html의

내용은 암호화되어 통신이 이루어지기 때문에 80 포트를 모니터링 하 을

경우에그내용이보이지않지만, index.html 안에있는프레임을통해서http로

호출한 topmenu.htm과 main.htm은 https 통신을 통해서 index.html을

호출했지만, 평문으로통신이되는것을확인할수있습니다.

<그림 6-13>, <그림 6-14>의 소스를 같은 방법으로 테스트 해보면, http로

호출된웹페이지는암호화통신이이루어지지않고있는것을알수있습니다.

이와같이프레임을이용하면, 필요에따라서한페이지에서암호화가제공되는부분과

암호화가 제공되지 않는 부분이 공존할 수 있도록 구성할 수 있지만, 앞서서도 이미

언급했듯이아무리웹브라우저에서https를이용해서호출을했어도프레임으로불러오는

페이지가http 주소를가지고있을경우에는암호화가되지않고정보의노출이발생할

수있으므로, 프레임이사용되는페이지를암호화를위해서https로호출하고자할때에는

꼭확인을해보시기바랍니다.

라. 체크박스를이용한선별적암호화하기

웹페이지전체를암호화하지않고선별적으로암호화하는경우, 정보입력시보안접속을

체크함으로써프로토콜을호출하는방법이있습니다. 그러나http 통신과https 통신이

혼용되는 경우, 통신과정상의 취약점으로 인해 해킹의 공격대상이 될 수 있으므로

보안접속을기본으로사용할것을권고합니다. 또한보안접속을통하여암호화하는것을

이용자에게 알리고자 하는 목적으로 사용한다면 체크박스 해제를 선택하지 못하도록

조치할것을권고합니다. 다음은로그인박스에서선별적으로암호화된통신을하기위한

HTML 소스코드의예입니다.

103

Ⅵ. 웹페이지 수정 및 적용 확인하기

<script language="JavaScript">

< !--

function checkLoginForm1() {

var f = document.forms["LoginForm1"];

//아이디입력검사

if( f.memberID.value=="" ){

alert("아이디를입력하세요");

f.memberID.focus();

return false;

}

//비 번호입력검사

if( f.memberPW.value=="" ){

alert("비 번호를입력하세요");

f.memberPW.focus();

return false;

}

//액션

f.action = "http://login.your-domain.com/login1.html;

return true;

}

//-->

< /script>

< form name="LoginForm1" method="POST" onSubmit="return

checkLoginForm1();">

< table>

<tr>

<td>아이디</td>

<td><input type="text" name="memberID"></td>

<td> </td>

<script language="JavaScript">

<!--

function checkLoginForm2() {

var f = document.forms["LoginForm2"];

//아이디입력검사

if( f.memberID.value=="" ){

alert("아이디를입력하세요");

f.memberID.focus();

return false;

}

//비 번호입력검사

if( f.memberPW.value=="" ){

alert("비 번호를입력하세요");

f.memberPW.focus();

return false;

}

//액션

if ( f.SSL_Login.checked ) { //보안접속체크판별

//보안접속을체크했을때의액션

f.action = "https://login.your-domain.com/login1.html";

} else {

//보안접속을체크하지않았을때의액션

f.action = "http://login.your-domain.com/login1.html";

}

return true;

}

//-->

</script>

<form name="LoginForm2" method="POST" onSubmit="return

checkLoginForm2();">

<table>

<tr>

<td>아이디</td>

<td><input type="text" name="memberID"></td>

<td><input type="checkbox" value=1 checkedname="SSL_Login" >보안접속</td>

* 소스코드 * 소스코드

104

보안서버구축가이드

2. 보안서버적용확인하기

가. 보안서버적용확인방법

앞에서 암호화 통신을 위해서 보안 프로토콜을 적용하는 방법을 알아보았습니다.

본 절에서는 앞서 적용한 보안 프로토콜이 제대로 적용이 되었는지 확인하는 방법에

대해서알아보겠습니다.

①패킷캡쳐를통한확인

일단제대로암호화가되어지고있는지패킷을캡쳐하여확인하는방법입니다.

<그림 6-24>는 일반적인 http를 통한 평문 통신의 경우를 캡쳐한 것입니다.

네모상자를확인하면header의내용이평문으로보이는것을확인할수있습니다.

</tr>

<tr>

<td>비 번호</td>

<td><input type="password" name="memberPW"></td>

<td><input type="submit" name="Submit" value=" 로그인"></td>

</tr>

< /table>

< /form>

</tr>

<tr>

<td>비 번호</td>

<td><input type="password" name="memberPW"></td>

<td><input type="submit" name="Submit" value=" 로그인"></td>

</tr>

</table>

</form>

※SSL을이용한암호화된폼전송을하려면, action URL에서‘http’대신

‘https’를적어주면됩니다.

<그림6-23> 로그인시보안접속체크박스를이용하기위한HTML 소스코드

105

Ⅵ. 웹페이지 수정 및 적용 확인하기

<그림6-25>을보면https에접속요청을한것을확인할수가있으며, 네모상자를

확인하면동일구간이지만 header의 내용이암호화되어내용을알아볼수없게

되었음을 알 수 있습니다. 즉, 암호화 통신이 정상적으로 이루어진다는 것을

의미합니다.

②웹페이지에서확인

직접 패킷을 캡쳐해서 확인하는 방법 외에도, 웹페이지에서 간단히 암호화가

되어지고있는지를확인하는방법이있습니다.

<그림6-24> 평문통신패킷확인결과

<그림6-25> 암호화된통신패킷확인결과

106

보안서버구축가이드

SSL이적용된웹사이트에 https 프로토콜로접속을했을경우에, <그림 6-26>과

같이브라우저하단에자물쇠모양의표시가나타나는것을확인할수있을것입니다.

현재 사이트와의 통신이 암호화되어 진행되고 있다는 것을 보여주는 것입니다.

웹사이트구성방법에따라자물쇠이미지가보이지않을수있으며, 구축방법에따라

모양은다르게나타날수있습니다.

③호출시포트번호확인

https를이용하여접속하시면일반적으로443번포트로연결이되어SSL 인증서버를

통한통신을하게됩니다.

서버에여러개의인증서버를설치할경우상황에따라443번포트가아닌여러가지

포트를이용해서접속을하는상황이발생할수있습니다. 이런경우설치를대행하는

업체나 호스팅업체에서 임의의 포트를 지정하거나 사용할 포트를 지정받아 SSL

인증서를설치한뒤작업완료통보와함께사용된포트번호를알려주게됩니다.

④웹페이지속성보기를통한확인

암호화를적용한웹페이지가정상적으로암호화되고있는지는웹페이지에서오른쪽

마우스를 클릭하고 속성을 선택한 후 웹페이지 등록 정보를 통하여 확인할 수가

있습니다. 현재페이지가보안이되고있다면<그림6-27>와같은웹페이지속성을

확인할수있습니다.

<그림6-26> 암호화통신이이루어지고있음을보여주는자물쇠이미지

107

Ⅵ. 웹페이지 수정 및 적용 확인하기

나. 인증서의암호화상태확인방법

접속한 웹페이지가 암호화되고 있다는 것을 확인한 후, 다음과 같은 단계를 걸쳐서

설치된인증서의암호화상태를확인할수있습니다.

①웹페이지접속

인증서가설치된웹페이지에접속하십시오.

<그림6-27> 보안이적용된웹페이지등록정보

108

보안서버구축가이드

②인증서기본정보확인

설치된인증서의정보를확인하려면자물쇠아이콘을더블클릭하거나브라우저에서

마우스오른쪽버튼을클릭하시면등록정보창이열리게됩니다.

등록정보창하단에인증서버튼을선택하여인증서창을열면설치된인증서에

대한정보를확인할수있습니다.

브라우저 하단에 있는 자물쇠 아이콘에 마우스를 올리면 암호화 방식에 대한

확인이가능합니다.

<그림6-28> 보안이적용된웹페이지접속

<그림6-29> 자물쇠이미지를통한암호화방식확인

109

Ⅵ. 웹페이지 수정 및 적용 확인하기

<그림6-30> 보안이적용된웹페이지의등록정보중인증서버튼

<그림6-31> 보안이적용된웹페이지의인증서기본정보확인

110

보안서버구축가이드

③인증서상세정보확인

발급대상, 발급자정보, 발급된인증서의유효기간등기본적인인증서정보를

확인하실수있고, 보다자세한인증서관련정보를확인하고자한다면‘자세히’

탭을선택하면됩니다.

<그림6-32> 보안이적용된웹페이지의인증서상세정보확인

111

Ⅶ. 제도 관련 FAQ

① 한국정보보호진흥원(KISA)은 어떤기관인가요?

②보안서버는무엇이고, 구축하지않으면어떻게되나요?

Ⅶ. 제도관련 FAQ

정보통신부산하기관으로「정보통신망이용촉진및정보보호등에관한

법률」에의해인터넷상의개인정보보호업무등을맡고있으며, 웹사이트

회원가입등을통한개인정보수집에따른실태조사및보호조치가미흡한

사업자에대한개선권고업무등을담당하고있습니다.

보안서버란, 인터넷상에서 개인정보를 암호화하여 송수신하는 기능이

구축된웹사이트를말하며, 하드웨어를설치하는것이아니라이미사용하고

있는웹서버에인증서나암호화소프트웨어를설치하여암호통신이가능한

것입니다.

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에의해 개인정보를

수집하는 웹사이트에 보안서버가 구축되지 않은 경우 1천만원 이하의

과태료등행정조치가있을수있습니다.

112

보안서버구축가이드

③보안서버구축이의무인가요? 관련 법조항이뭔가요?③보안서버구축이의무인가요? 관련 법조항이뭔가요?

④보안서버를구축하려면누구에게연락해야하나요?

⑤보안서버를구축하려면비용이얼마나드나요?

⑥정확히언제까지구축해야하는건가요?

보안서버 구축은 현행법상 개인정보를 취급하시는 리 목적의 사업자

분들은필수적으로구축하셔야하는의무조항입니다.

관련법조항은이미 2005년부터시행중이며「정보통신망이용촉진및

정보보호등에관한법률」제28조(개인정보의보호조치)와제67조(과태료)

규정 등에 명시되어 있습니다. 실제 법조항은 본 가이드의 I장 내용 중

보안서버 관련 규정이나 보안서버 안내 홈페이지(www.kisa.or.kr →

보안서버안내)를참조하시고, 전체법조항이필요하신경우는정보통신부

또는법제처홈페이지를참조하시기바랍니다.

보안서버구축전문업체와상의하시면되며, ‘Ⅱ장2절보안서버구축전문

업체’내용또는보안서버전문협의회홈페이지(www.kisia.or.kr/secureserver)를

참조하시기바랍니다. 이외에평소에알고있던보안서버구축전문업체를

이용하셔도됩니다.

보안서버구축방식과서비스범위등에따라금액의차이가크므로해당

웹사이트에 적합한 보안서버 구축을 위한 자세한 내용은 전문업체와

상의하시기바랍니다.

관련법규는2005년부터이미시행중이며, 올해는모니터링을통한사이트

점검결과에따라시정명령과과태료부과등행정조치가있을예정이기

때문에빠른시일내에구축을완료하셔야합니다. 구축계획일정과구축

결과에대해사무국(secureserver@kisa.or.kr)으로알려주시기바랍니다.

113

Ⅶ. 제도 관련 FAQ

⑦ 지금까지는규제하지않다가왜이제와서이러는겁니까?

’05년법개정후사업자들의자율구축을유도하 으나구축이의무조항

이라는사실을많이인지하지못하셔서활성화가되지못하고있었습니다.

올해에는직접사업자들을대상으로홍보및계도를실시한후본격적으로

행정조치를시행할예정입니다.

⑧ 보안서버 구축 대상의 정확한 범위가 어디까지 입니까? 하루에 10명 정도

접속하는 소규모 사이트도 대상이 되는 겁니까?

현행법상의 보안서버 구축대상은 리목적으로 개인정보를 수집하는

정보통신서비스제공자 등입니다. 즉, 일일방문자 수나 사이트 규모에

관계없이개인정보수집을하는 리목적의온라인사업자는모두보안

서버를구축하셔야합니다.

다만, 내부직원들이이용하기위한웹사이트, 홍보·마케팅등의 리

목적이아닌친목도모를위한순수커뮤니티나비 리단체의웹사이트,

기업간전자상거래를위한B2B(Business to Business) 웹사이트인경우

현재법의적용대상은아닙니다. 하지만이경우에도개인정보수집을

자제하시거나 회사의 정보보호정책에 따라 적절한 보호조치를 적용할

것을권고하고있습니다.

공공기관의경우국가정보원과행정자치부가보안서버구축을추진하고

있습니다. 관련기관으로문의하시기바랍니다.

⑨웹사이트에서보안서버구축범위는정확하게어디입니까?

기본적으로 보안서버가 구축되어야 할 곳은 웹페이지와 서버간에 개인

정보가전송또는호출되는구간이발생하는곳에암호화가되어야합니다.

114

보안서버구축가이드

즉, 어떠한형식이든개인정보를웹페이지와서버간에서로전송이되거나

호출이된다면보안서버가적용이되어야합니다.

통상적인웹사이트를기준으로예를들어보면다음과같습니다.

1. 개인정보가입력되는페이지(회원가입, 로그인, 게시판, 상담, 주문,

견적, 결제, 견적, 고객문의, Q&A 등)

2. 개인정보가보여지는화면(개인정보확인및수정화면등)

3. 개인정보가직접적으로보이지않더라도웹페이지와서버간에개인

정보가전송되는경우(실명확인등)

⑩암호화되어야하는개인정보의범위는어디까지입니까?

‘개인정보’라함은생존하는개인에관한정보로서성명·주민등록번호

등에의하여당해개인을알아볼수있는부호·문자·음성·음향및 상

등의정보(당해정보만으로는특정개인을알아볼수없는경우에도다른

정보와용이하게결합하여알아볼수있는것을포함한다)를말합니다.

대표적인 예로는 로그인시 아이디/패스워드, 회원가입시 주민번호,

인터넷 뱅킹 이용시 계좌 번호/계좌 비 번호 등이 해당됩니다. 또한

게시판 등에서 성명, 이메일, 연락처 등을 동시에 수집한다면 개인을

식별할수있는정보로서개인정보수집행위에해당한다고볼수있습니다.

이러한경우해당게시판은보안서버구축대상이될수있습니다.

⑪저희 사이트는 전체 계열사의 회원정보를 한 곳에서 관리하는 통합로그인

정책에 따라 운 되기 때문에 개인정보를 보유하고 있지 않습니다. 저희도

대상인가요?

통합로그인정책에따라운 되는사이트의경우, 로그인외에개인정보의

요구가있는경우는보안서버구축대상이됩니다. 예를들어, 통합로그인후

게시판이용시개인정보를요구하는경우암호화를해야합니다.

115

Ⅶ. 제도 관련 FAQ

⑫ 웹사이트 관리를 호스팅 업체에 맡기고 있는데, 보안서버 구축도 호스팅

업체가 해야 하는 거 아닙니까?

보안서버구축의무는통상사이트를통해개인정보를수집하시는사이트

담당자에게귀속되나구축과관련된자세한사항은호스팅업체와상의

하시는것이좋습니다.

⑬ 웹 호스팅을 받고 있는데 호스팅업체가 보안서버 지원을 하지 않는다고

합니다. 어떻게 해야 하나요?

웹호스팅서비스 제공업체가 지원을 하지 않는다면 정보통신부 또는

한국정보보호진흥원에문의하시기바랍니다.

⑭ 웹 호스팅 서비스 제공업체를 변경하는 경우, 보안서버를 새로 구축해야

하나요?

웹호스팅업체가 주로 사용하는 보안서버 구축 방식은 멀티도메인 SSL

인증서를이용하는방법입니다. 이경우기존에사용하던인증서는폐기되며

이전하는웹호스팅업체와협의하여보안서버를구축하셔야합니다.

(부록B. 참조)

단일인증서를사용하는경우다른서버로의이전이가능하기때문에추가

구입은 하지 않아도 됩니다. 그러나 이 경우 이전하는 웹호스팅업체가

보안서버구축을지원하는지반드시확인해야하며, 서버기종이변경되는

경우인증서및개인키의호환이안되는경우가있으니반드시전문업체와

사전협의후진행하시기바랍니다.

116

보안서버구축가이드

⑮ 공인된 인증기관의 인증서를 사용하지 않고 자체적으로 SSL 인증서를

발급하여 사용해도 됩니까?

자체적으로SSL 인증서를생성하여설치해도사용자의선택에따라암호화는

이루어집니다.

그러나사용자의웹브라우저에서보안경고창이발생하게되는데익스플로러

6.0이하에서는단순히‘신뢰할수없는기관에서발급한인증서’라는팝업창이

뜨지만, 익스플로러 7.0에서는암호화이후에도주소창이계속적색으로

표시되어사용자에게웹사이트의신뢰성에대해경고를하게됩니다.

또한익스플로러이외의웹브라우저사용자는'피싱의도가있는사이트'라는

더심각한경고문구를접하게됩니다.

SSL 인증서의 용도가 암호화 이외에 해당 웹사이트의 실체 인증이라는

주요 기능이 있으므로 가능하면 웹브라우저의 CTL(인증서 신뢰목록)에

탑재된상용SSL 인증서를사용하실것을권고드립니다.

시중에는 저렴한 SSL 인증서도 있고 공인인증기관에서는 국산 SSL

인증서도 발급할 수 있는 상태이므로 충분한 검토 후에 적용하시기

바랍니다.

(※국산인증서발급기관: 한국전자인증, 한국정보인증, 한국무역정보통신)

⒃ SSL 인증서의 경우 동일한 기술을 이용하는데 인증서의 가격은 왜 차이가

납니까?

인증서의 가격은 해당 발급업체의 신뢰성, 브랜드 가치, 128비트 강제

암호화 여부, 지원되는 웹브라우저의 종류 및 설치 지원의 정도 등을

고려하여책정되기때문에차이가나게됩니다.

117

Ⅶ. 제도 관련 FAQ

⒔ 만약 더 이상 개인정보를 수집하지 않으면 어떻게 됩니까?

법률적용대상이되지않기때문에보안서버구축이필요없으며, 운 상

불필요한개인정보수집은하지않는것이바람직합니다.

다만이경우, 기존에수집된개인정보를폐기하고수집을중단하겠다는

내용을명시하여이의신청서를사무국에송부하여주시기바랍니다.

⒕ 사이트를 현재 운 하지 않거나 혹은 조만간 폐쇄할 예정입니다.

‘사이트 폐쇄’또는‘폐쇄 예정’임을 명시하여 이의신청서를 사무국에

송부하여주시기바랍니다.

⒖ 이미 구축을 완료했는데, 확인도 안하고 계도 메일을 보내는 건 정부기관의

행정처리가 너무 미흡한 것 아닙니까?

수신메일정보는웹사이트를통해확인가능한주소로일괄발송되었으며,

방대한 수의 온라인 사이트를 대상으로 사업을 진행하다보니 기구축

사이트가 메일이 포함된 경우가 있습니다. 이 경우 보안서버 자진등록

홈페이지(www.kisa.or.kr → 보안서버 안내 → 보안서버 자진등록)에

보안서버가 구축되었음을 신고하여 주시면 됩니다. 그리고, 계열사 및

관계사, 추후 신규 사업운 시에 참조하시라는 의미로 받아주시면

감사하겠습니다.

118

보안서버구축가이드

⒗ 구축 업체를 소개해 줄 수는 없습니까?

저희는특정업체를소개해드릴수는없습니다. 본가이드본문에포함된

보안서버 구축 전문업체 연락처를 참고하시거나 이외의 보안서버 구축

전문업체를통해문의해주시기바랍니다.

(21) 보안서버 관련해서 더 자세한 정보는 없나요?

※ 추가적인 문의사항은 보안서버 사무국으로 문의해 주시기 바랍니다.

이메일 : secureserver@kisa.or.kr

한국정보보호진흥원보안서버안내홈페이지(www.kisa.or.kr → 보안

서버안내) 를참조하시기바랍니다.

119

부록 A. 국산 SSL 인증서 보안경고창 해결방법

국산 SSL 인증서가 2006년 2월에 인터넷 익스플로러(IE) 브라우저의 신뢰된 루트

인증기관으로등록되었기때문에그이전부터사용되어온웹브라우저및운 체제에반 되지

않아 보안경고창이 발생하는 경우가 있습니다. 보안경고창이 발생하는 경우를 살펴보고

각원인별해결방법을설명하겠습니다.

1. 국산SSL 인증서보안경고창발생원인

가. Windows 98을사용하는경우

Windows 98 사용자가국산SSL 인증서를이용하여보안서버를구축한웹사이트에

접속하는경우보안경고창이발생하게됩니다.

그이유는국산보안서버용루트인증서가2006년2월에MS의신뢰된루트인증기관

목록에탑재되었으나, 윈도우즈98은더이상패치를제공하지않아해당내용이반 되지

못하기때문입니다. 보안경고창확인후계속진행하여도전송되는데이터는암호화되며,

국산보안서버용루트인증서를등록하여줌으로써향후보안경고창이발생하지않도록

조치할수있습니다.

나. Windows XP Sevice Pack 1 이하의운 체제를사용하는경우

Windows XP Sevice Pack 1 이하의운 체제하에서보안경고창이발생하는경우는

사용자업데이트를제대로설치하지않았기때문입니다. Windows XP Service Pack 2

버전부터는인증서신뢰목록에국산SSL 인증서가포함되어있지만, 그이전버전에서는

Microsoft사가 제공하는 업데이트를 설치하여 인증서 신뢰목록을 갱신하거나 국산

보안서버용 루트 인증서를 등록하여 줌으로써 향후 보안경고창이 발생하지 않도록

조치할수있습니다.

부록A. 국산 SSL 인증서보안경고창해결방법

120

보안서버구축가이드

다. Firefox 등MS Internet Explorer 외의브라우저를사용하는경우

국산 보안서버용 루트 인증서가 MS Internet Explorer의 신뢰된 루트 인증기관

목록에탑재되었으나, Mozilla Firefox, Netscape Navigator 등일부웹브라우저에는

탑재되지 않아 이들 웹브라우저를 이용하여 보안서버 구축 웹사이트에 접속할 경우

‘신뢰된인증서발급기관이아니다’라는보안경고창이발생하는경우가있습니다. 국내

사용자가상대적으로많은웹브라우저에대한인증서탑재를우선추진하여일부누락된

경우가있으니, 불편하더라도국산SSL 인증서발급기관을확인절차를거쳐경고창이

발생하지않도록조치할수있습니다.

2. 국산SSL 인증서보안경고창해결방법

가. Windows 98을사용하는경우

①보안경고창발생시‘인증서보기’를클릭합니다.

경고창내용중인증서날짜가유효하고, 방문하는웹페이지와동일한이름을

가지고있는지확인후‘인증서보기’를클릭합니다. 만약인증서날짜가유효하지

않거나 방문하려는 웹페이지와 이름이 다르다면 해당 웹사이트에서 유효하지

않는인증서를사용중인것이므로접속에유의하시기바랍니다.

121

부록 A. 국산 SSL 인증서 보안경고창 해결방법

②보증서(인증서) 정보 중‘보증경로’탭을확인합니다.

보증경로에서접속한웹사이트상위단계의보증서(인증서)를 선택한후

‘보증서보기’를클릭합니다.

③ 보증서‘일반탭’에서보증서정보를확인합니다.

발급자가‘KISA RootCA 3’로 되어있으면‘발급자설명’버튼을클릭합니다.

122

보안서버구축가이드

④ 공인 인증서(보증서)임을 확인하시고‘추가정보’버튼을 클릭합니다.

국산 보안서버용 루트 인증서를 설치할 수 있는 전자서명인증관리센터

홈페이지(http://www.rootca.or.kr/rca/cps.html)로 이동합니다.

⑤‘보안서버루트인증서설치’버튼을클릭합니다.

웹페이지 화면 좌측 하단에 있는‘보안서버용 루트인증서 설치’버튼을 눌러

안내에따라인증서를설치합니다.

123

부록 A. 국산 SSL 인증서 보안경고창 해결방법

⑥대화창의‘열기’를클릭합니다.

⑦ 보증서‘일반탭’에서보증서정보를확인합니다.

발급대상과 발급자가 KISA RootCA 3 인지 확인한 후‘보증서 설치’버튼을

누릅니다.

124

보안서버구축가이드

⑧보증서관리자가져오기마법사가시작되면‘다음’을클릭합니다.

⑨「보증서종류기준으로보증서저장소를자동으로선택」을선택하고‘다음’을

클릭합니다.

125

부록 A. 국산 SSL 인증서 보안경고창 해결방법

⑩보증서 저장소 위치가「신뢰된 루트 보증 기관」인지 확인하고‘마침’을

클릭합니다.

⑪ 아래화면내용을확인하시고‘예’를클릭합니다.

126

보안서버구축가이드

⑫‘확인’을클릭하면, 보증서관리자가져오기가완료됩니다.

⑭ 접속한 페이지 하단의 노란색 자물쇠 이미지를 더블 클릭하고 보증경로 탭을

눌러국산보안서버용루트인증서설치를확인합니다.

‘KISA RootCA 3’이설치되어있는지확인합니다.

⑬ 인증서설치를완료한후웹사이트접속을시도하던웹브라우저를종료하고

다시웹사이트에접속하면, 보안경고창없이사이트에접속할수있습니다.

127

부록 A. 국산 SSL 인증서 보안경고창 해결방법

나. Windows XP Sevice Pack 1 이하의운 체제를사용하는경우

Microsoft사에서제공하는업데이트를설치하지않아보안경고창이발생하는것이므로

윈도우업데이트를실행한후국산SSL 인증서를이용한보안서버구축웹사이트에접속하면

보안경고창이발생하지않습니다. 또는‘가. Windows 98을사용하는경우’와마찬가지로

보안경고창이발생하는웹사이트의SSL 인증서발급자정보를확인한후루트인증서를

설치하거나 전자서명인증관리센터(www.rootca.or.kr/rca/cps.html)내의 보안서버용

루트인증서를설치하면보안경고창이발생하지않습니다.

윈도우업데이트를하고자하는경우, 윈도우시작버튼을눌러Windows Update를

실행한 후 사용자 정의 업데이트 중 루트 인증서 업데이트를 선택하여 해당 파일을

설치하면됩니다.

128

보안서버구축가이드

다. Firefox 등MS Internet Explorer 외의브라우저를사용하는경우

보안경고창을확인후계속진행하여도전송되는데이터는암호화되며, 다음과같이

KISA 인증서에 대하여 사용을 허가하면 향후 보안 경고창이 발생하지 않도록 조치할

수 있습니다. 본 가이드에서는 Internet Explorer 외의 웹브라우저 중 국내에서 많이

사용되는FireFox를중심으로설명하며, Firefox와동일한소스를사용하는Netscape

Navigator의경우같은방법으로문제를해결할수있습니다.

①보안경고창발생시‘인증서조사’를클릭합니다.

‘알수없는기관에서인증된웹사이트’라는경고창이발생하면‘인증서조사’를

눌러 인증서의 내용을 확인합니다. 만약‘서버 인증서가 만료되었습니다’,

‘보안 경고: 도메인 명이 맞지 않음’내용의 보안경고창이 발생한다면 해당

웹사이트에서유효하지않는인증서를사용중인것이므로접속에유의하시기

바랍니다.

129

부록 A. 국산 SSL 인증서 보안경고창 해결방법

②‘인증서보기’에서인증서정보를확인합니다.

일반탭을선택하여발급자정보를확인하면KISA에서발급한인증서라는것을

확인할수있습니다. 상세정보탭을선택하여보다자세한인증서정보와발급자

정보를확인할수있습니다.

130

보안서버구축가이드

③인증서정보를확인한후, 인증서사용을허가합니다.

이인증서를 구적으로허가’를선택한후확인을누르면웹브라우저의신뢰된

인증기관목록에KISA를추가하면향후보안경고창이발생하지않게됩니다.

④ 웹사이트에재접속하여인증서사용을확인합니다.

https://를 이용하여 보안접속하면 보안경고창없이 접속되는 것을 확인할 수

있습니다. 또한주소입력창오른쪽과웹브라우저하단오른쪽에서자물쇠모양의

아이콘을확인할수있습니다.

131

부록 B. 멀티도메인 SSL 인증서 소개

1. 배경(Background)

가. 목적

지금까지의 SSL 인증서는 하나의 도메인에 대해서만 인증을 해주고 있기 때문에,

한대의서버에서한개의인증서만을사용하는것이일반적이었습니다.

웹서버암호화통신을위해서 https가응답하게되는기본적인 443 포트를하나의

도메인만이소유하고사용할수가있기때문에, 한 대에여러개의도메인이존재하고

모든도메인이https를사용하고자하면, 아래의두가지방법을사용하 습니다.

첫번째는한대의서버에도메인개수만큼의각기다른IP를부여하는것입니다. 즉,

한대의서버에서운 이되지만하나의도메인에하나의IP를할당하는것으로도메인이

10개가 있다면, IP 역시 10개가 필요한 방식입니다. 이 방식은 홈페이지가 운 되는

서버의대수를줄일수는있지만, IP 고갈을이유로잘사용되지않습니다.

나머지한가지는가장많이사용하는방식으로기본https 포트인443이아닌, 다른

포트를사용해야하는것입니다.

예를들면, https://domain.co.kr이아닌, https://domain.co.kr:444 등으로특정

포트를직접지정하여접속을해야하는불편함이존재합니다. 즉, 기존에는IP 고갈이나

다른포트로접속등으로인해서웹호스팅서버또는한대의서버에서여러개의도메인을

사용하는서버에서는https를사용하는데불편함이있었습니다.

부록B. 멀티도메인SSL 인증서소개

132

보안서버구축가이드

나. 멀티도메인(Multi-domain) SSL 인증서란?

멀티도메인SSL 인증서는기존의단일도메인인증으로인한불편함을없애고, 웹호스팅

서버나한대의서버에서여러개의도메인을운 하는서버들에게 IP의추가나 443이

아닌 다른 포트를 사용하지 않고 웹 서버 암호화 통신을 위해서 동일한 443 포트를

공유해서사용할수있도록편리함을제공할수있는인증서입니다.

멀티도메인SSL 인증서는1년동안의인증기간을갖는데, 그인증기간안에는언제든지

최대 100개까지의 도메인을 추가할 수 있고, 또한 제거할 수도 있습니다. 기본적으로

도메인을추가할때는도메인하나당추가비용이따로청구되고삭제때는청구가되지

않지만, 실수로삭제한경우다시추가를하려면다시비용을내야하므로삭제시에는

주의해야합니다.

2. 멀티도메인SSL 인증서구동방식

멀티도메인SSL 인증서가여러개의도메인을인식할수있는방법은CN(Common

Name) 변수를도메인수만큼여러개생성하여인증서에포함시켜두고, 클라이언트가

암호화된통신으로웹서버에접속했을때웹서버는암호화통신된내용을복호화하여,

클라이언트에서 요청한 도메인이 자신의 인증서에 있는 CN과 일치하는지 확인한 뒤

일치하면보안통신을허가하는방식으로구동을하게됩니다.

이런 방법은 단일 도메인 인증서에서도 마찬가지로, 멀티도메인 인증서는 단지

인증서안에여러개의CN을포함하고있다는것외에는방식이나기술의차이는없습니다.

133

부록 B. 멀티도메인 SSL 인증서 소개

<그림 B-2>는 멀티도메인 SSL로 보호된 웹사이트 방문시에도 단일 도메인 SSL

방식으로보호된웹사이트와마찬가지로자물쇠모양으로현재보안통신이이루어지고

있음을보여주고있습니다.

자물쇠모양을더블클릭하여인증서를자세히보도록하겠습니다.

인증서의속성을확인해보면다수의CN이존재하는것을확인할수있습니다. 이CN

변수에값으로설정된도메인에대해서만암호화통신이가능합니다.

멀티도메인인증서에포함되지

않은도메인

멀티도메인인증서에

포함된도메인

<그림B-1> 멀티도메인SSL 인증서의CN이있는도메인과없는도메인의동작

<그림B-2> 암호화통신이이루어지고있음을보여주는자물쇠이미지

134

보안서버구축가이드

이미단일SSL이적용된웹페이지속성에서확인하 듯이웹페이지의속성을확인하면

보안이유지된상태로통신이이루어지고있음을확인할수있습니다.

<그림B-3> 다수의CN이포함된멀티도메인SSL 인증서

<그림B-4> 보안이적용된웹페이지속성확인

135

부록 B. 멀티도메인 SSL 인증서 소개

3. 멀티도메인SSL 인증서적용방법

가. Apache 웹서버

멀티도메인SSL 인증서를적용하기위해서는기존에이미설정되어있던평문통신을

위한http(80)의가상호스팅설정을변경해야합니다.

만일평문통신의가상호스팅설정을변경하지않으면, 보안통신을위해서https를

호출했지만https가응답을하지않고일반평문을위한http 프로토콜이응답을하는등

에러가발생할수있기때문에, 평문은http(80)에서, 암호화된통신은https(443)에서

호출하라고 확실히 구분을 해주어야 합니다. 아래의 <그림 B-5>과 <그림 B-6>이

Apache 서버의 설정파일(httpd.conf)에서 각각 평문 통신과 암호화 통신으로 구분한

설정예입니다.

<그림B-5> Apache 서버에서평문통신을위한가상호스팅설정

136

보안서버구축가이드

나. IIS 웹서버 (6.0 이상)

IIS에서 멀티도메인 SSL 인증서를 사용하는 방법은 Apache 서버보다 좀 더

까다롭습니다. IIS에서는 동일한 443 포트를 여러 도메인이 쓰고자 한다면, IIS의

80 포트에대한가상호스팅설정을하는것이아니라 SecureBindings라는작업을

거쳐야 합니다.

SecureBindings는443 포트를여러도메인이쓸수있도록설정해주는것을뜻하며,

다음과같은절차를통해서설정합니다.

①시작→실행→‘cmd‘(명령프롬프트) 명령 입력

명령이정상적으로수행이되었다면, 그림과같이명령프롬프트창이뜹니다.

<그림B-6> Apache 서버에서암호화통신을위한가상호스팅설정

<그림B-7> CMD command 실행모습

137

부록 B. 멀티도메인 SSL 인증서 소개

②다음명령창에 SSL 호스트헤더에대한 SecureBindings의메타베이스속성을

설정하기위해서아래와같은형식의명령을입력합니다.

②다음명령창에 SSL 호스트헤더에대한 SecureBindings의메타베이스속성을

설정하기위해서아래와같은형식의명령을입력합니다.

cscript.exe adsutil.vbs set /w3svc/<site identifier>/SecureBindings ":443:<host header>"

③ <그림 B-8>의화면을보기위해서는‘시작→프로그램→관리도구→

Internet Information Service (IIS) 관리자’를수행

그림에서 첫 번째 네모상자가 <Site Identifier>이고 두 번째 네모상자가

<host header>입니다. <Site Identifier>는시스템에의해서자동으로부여되며,

<host header>는 SSL 인증서를신청할때사용하는도메인주소입니다.

<그림B-8> IIS 관리자에서Site Identifier와Host header 값확인

* <site identifier>는 도메인의식별자번호

* <host header>는 웹사이트의호스트헤더

* <그림 B-8> 참고

138

보안서버구축가이드

④아래 <그림 B-9>는 <그림 B-8>의 test03.xxx.co.kr이 443을 사용하기위해서

SecureBindings 메타베이스를속성을설정하는과정입니다.

④ 아래 <그림 B-9>는 <그림 B-8>의 test03.xxx.co.kr이 443을 사용하기위해서

SecureBindings 메타베이스를속성을설정하는과정입니다.

<그림B-9> SecureBindings 메타베이스추가

<그림B-9>를정상적으로수행하면, test03.xxx.co.kr이 443 포트에binding

됩니다. 그 결과를 <그림 B-10>에서처럼 IIS 관리자에서 확인해보면,

test04.xxx.co.kr과 test03.xxx.co.kr이암호화통신을위해서같은 443 포트를

사용하고있음을확인할수있습니다.

<그림B-10> SecureBindings을통한443 포트공유

만일binding된도메인을지워야할경우에는<그림B-11>와같이delete 옵션을

이용하여SecureBindings 메타베이스속성에서특정사이트에 binding된것을

해제(삭제)할수있습니다.

<그림B-11> SecureBindings 제거

139

부록 B. 멀티도메인 SSL 인증서 소개

다. IIS 5.0에서의멀티도메인SSL 인증서제약사항

IIS 5.0에서는 SecureBindings을 지원하고 있지 않기 때문에, 멀티도메인 SSL

인증서를같은443 포트에서사용할수가없습니다.

다만, IIS 5.0은기존의단독SSL 방법과같이포트를다르게하는방법을사용해서

멀티도메인SSL 인증서를사용할수있습니다.

4. 멀티도메인SSL 인증서의문제점

지금까지멀티도메인SSL 인증서의특징을소개했는데, 다른인증서들이장단점을가진

것과마찬가지로멀티도메인SSL 인증서도구조상문제점을가지고있습니다.

①모든도메인리스트출력

같은멀티도메인SSL 인증서를쓰는, 다시말하면한대의서버내에서운 되고

있는https를사용하는모든도메인이노출될수있습니다.

②동일한만료기간

멀티도메인 SSL 인증서의 가장 큰 구조적 문제점이라고 볼 수 있는 것으로,

인증서내에포함되어있는각도메인들의SSL 서비스만료기간이메인인증서의

발급시기에좌우된다는것입니다.

다시말하면, 멀티도메인SSL 인증서의최초발급일자가2007년1월1일이라면,

1년이되는2008년1월1일에는인증서에속해있는모든도메인이만료가되어지는

것입니다.

예를들어최초발급일자가2007년1월1일인멀티도메인SSL 인증서에2007년

1월에 포함된 도메인과 2007년 11월에 포함된 도메인이 모두 만료 일자가

2008년1월1일이라는것입니다.

도메인마다단독SSL 인증서를사용하면각각 1년의서비스기간이보증되는데

반해서(계약에 따라서 더 길수도 있다), 멀티도메인 SSL 인증서의 경우에는

일정비용을지불하지만, 1년이라는서비스기간을보장받지못할수있습니다.

140

보안서버구축가이드

③인증서비용문제

앞서설명했듯이도메인을추가할때마다일정비용을지불해야하고, 만료기간이

되어 멀티도메인 SSL 인증서를 갱신하고자 할 때에는 현재 멀티도메인 SSL

인증서에 포함되어 있는 모든 도메인에 대해서 각각 일정 비용을 지불해야

하므로, 늦게(만료일에가깝게) 추가한도메인에대해서는인증유지를위해서

짧은기간에두번의비용을지불해야합니다.

5. 정리

이상으로멀티도메인SSL 인증서에대해서알아보았습니다.

멀티도메인SSL 인증서는인증서가필요한다수의도메인을한대의서버에서운 해야

하는경우유용한인증서서비스입니다.

앞서 소개한 문제점을 충분히 고려하고 자신의 서비스 환경에 맞게 적절히 운 하면,

인증서가필요한다수의도메인을운 하고있는웹호스팅서비스제공서버나여러도메인을

운 하는서버의여러문제를해결할수있는방법이될수있습니다.

141

부록 C. SSL 가속기 소개

1. SSL 가속기정의

웹브라우저회사인넷스케이프가만든SSL(Secure Socket Layer)은널리알려진바와

같이암호화와복호화를통해데이터를전달하여안전한통신을가능하게하는기술입니다.

SSL 가속기는웹서비스시스템의통신보안및신원확인, 부인방지등을위해 PKI 기반의

인증서기반의보안프로토콜인SSL을적용하면서비대칭키암호화연산에따른서버시스템의

부하증가, 속도저하문제및서버키보호문제를해결하기위해출현하게되었습니다.

2. SSL 가속기의역할

대형포털사이트와같이트래픽이많으면서 SSL 방식의보안서버를운 하는사이트가

SSL을웹서버에서직접운 하게되면, 서버의부하가커지게되고사용자의응답시간이매우

느려질수있습니다. SSL 가속기는 SSL 연결에따른모든암호화를서버로부터이관받아

독립된장치에서전담함으로써서버의부하를감소시키고웹어플리케이션시스템의전체

성능을향상시킬수있습니다.

또한SSL 보안에사용되는서버의암호화키를SSL 가속기에별도로저장함으로써암호화

키유출에따른위험성을줄일수있습니다. 서버키가유출될경우SSL 보안통신데이터가

해킹될수있고허위사이트나피싱사이트에의한피해가발생할수있습니다.

그리고SSL 인증서를구입하여웹서버대신웹가속기에설치가가능하기때문에기존에

운 중인웹프로그램을수정할필요가없다는장점을가지고있습니다.

부록C. SSL 가속기소개

142

보안서버구축가이드

3. SSL 가속기의종류

① 1세대 SSL 가속기‘PCI / SCSI 카드타입’

SSL 가속기의첫번째세대는서비스를제공하는웹서버가작동하는하드웨어에

직접적으로설치가되는PCI나SCSI 타입의카드형태의제품들입니다.

PCI나 SCSI 카드타입의SSL 가속기제품군은우선SSL 핸드쉐이크과정을

담당함으로써 CPU에부과되던높은부하를절감시켰으며설치구조상실제

콘텐츠 서비스를 수행하는 웹 서버 또는 어플리케이션 서버가 작동하는

하드웨어의슬롯에직접장착되기때문에SSL 사용시보호되어야할클라이언트

브라우저로부터웹서버본체까지의엔드투엔드(end-to-end)의완벽한보안이

이루어집니다. 그러나이러한제품군에는치명적인단점이존재하는데하나는

가속기설치시반드시시스템의중단이필요하다는것이고, 또하나는확장성의

문제입니다. 카드타입의가속기는하나의가속기가하나의서버만을감당하는

물리적인구성의한계때문에여러가지이유로인해서버의증설이요구되는

경우서버증설숫자만큼가속기의추가구매또한필요하기때문입니다.

② 2세대 SSL 가속기‘SSL 오프로더’

1세대 제품의 문제점을 개선하고 나온 2세대 SSL 가속기는 네트워크 장비

타입으로 흔히 SSL 오프로더(Offloader)라고 불리는 제품군입니다. SSL

오프로더는 기존의 카드타입 가속기들과 달리 하나의 가속기가 여러 대의 웹

서버나 애플리케이션 서버를 위한 SSL 가속기능을 수행함으로 기존 1세대

제품군의확장성문제를보완했습니다. 웹서버나애플리케이션서버와분리된

설치방법으로인해가속기드라이버와서버하드웨어충돌등으로인해발생할

수있는문제의소지를없앴습니다.

그러나네트워크구성상가속기와서버사이에물리적인공백구간이있을수밖에

없고브라우저가발생시킨암호화패킷은가속기에복호화되고클리어텍스트

(Clear Text)로 이 구간을 통과해 서버에 전달되기 때문에 실제 클라이언트

브라우저로부터서버까지의엔드투엔드보안이불가능합니다. 또한일반적인

인라인 구성(In-line Configuration)의 경우 설치시 서비스의 일시적 중단을

피할수는없습니다.

143

부록 C. SSL 가속기 소개

몇 가지 단점에도 불구하고 최근에는 단독 장비 제품형태의 2세대 제품군이

주류를이루어시장을선도하고있습니다. 또한 2세대제품군이가지는단점을

보완한장비들도개발되고있습니다. 특히백엔드(Back end) SSL 기능을통한

엔드 투 엔드 보안 제공이나 원 암 구성(One-arm Configuration)을 통한

서비스 중단없는 설치기능 등을 통해 보다 효과적으로 SSL 가속기를 실제

네트워크상에구현할수있는다양한방법들이나오고있습니다.

4. SSL 가속기구성방식

SSL 가속기를구성하는방식은서버환경과가속기의기능범위에따라다양합니다. L4

스위치기능과웹/SSL 가속을동시에담당하거나방화벽, L4/L7 SLB, 웹/SSL 가속을동시에

처리하는경우도있으나, 기존네트워크인프라에대한변경을최소화하면서가속기능만을

활용하고자구성하는방식을소개하겠습니다.

위 그림은 기존 L4 스위치에 접속하는 구성 방식으로 L4스위치에서는 웹 트래픽을

가속기로 Redirection되도록 처리하고, 가속기에서는 캐싱, TCP 멀티플렉싱, SSL 처리

등을 담당하게 됩니다. 웹/SSL 가속기가 장애 시에는 L4 스위치에서 자동으로 Bypass

처리하는방식입니다.

Internet

On-The-Go

Office WLAN

라우터 방화벽

L4 스위치

웹/SSL 가속기 서버팜

<그림C-1> SSL 가속기구성방식

144

보안서버구축가이드

이외에도 L4 스위치기능과웹/SSL 가속을동시에담당하거나방화벽, L4/L7 스위치

기능을웹/SSL 가속을동시에처리하는등다양한구성이가능하므로업체의서버환경과

요구사항에따라적합한SSL 가속기를구성할수있습니다.

※참고문헌

1. SSL 프로토콜에대한이해, 퓨쳐시스템 http://www.future.co.kr/

2. 보안서버가속을위한 SSL 가속기솔루션, 어레이네트웍스코리아

3. SSL Accelerator for Secure Web Server, 엑스비전씨큐리티시스템

145

부록 D. SSL 방식 보안서버구축시유의사항

1. 유효하지않는SSL 인증서사용시보안경고창발생

해커가사용자PC와보안서버의중간에서프록시서버를통해MITM(Man in the Middle)

공격을 할 경우, 임의로 발급한 SSL 인증서를 사용함으로 사용자 PC에 보안경고창이

발생하게됩니다. 따라서보안경고창은사용자가해킹을인지할수있는수단으로널리인지되어

있으며, 사용자가웹사이트이용시정보보호를위하여기본적으로확인하는사항입니다.

정상적인웹사이트지만다음과같이유효하지않는SSL 인증서를사용할경우보안경고창이

발생하여사용자들이해커의공격을받은웹사이트로오인할수있습니다.

①인증서 발급기관이 웹브라우저의 신뢰기관 목록에 탑재되지 않아서 발급한

기관을신뢰할수없는경우

(ex : 자체발급인증서, 인증기관인아닌업체에서발급한인증서 )

부록D. SSL 방식보안서버구축시유의사항

<보안경고창발생>

MITM(Man In The Middle attack)

피해자 웹서버

공개키1

공개키2

ARP Spoofer SSL Proxy개인키1

개인키2

가짜인증서 진짜인증서

<그림D-1> ARP 스푸핑을이용한MITM 공격

146

보안서버구축가이드

②발급된인증서의유효기간이만료되거나아직유효하지않은경우

③인증서에명시된발급대상사이트와실제로설치된사이트가일치하지않는경우

2. 암호화통신과일반통신의혼용된방식의위험성

최근MITM(Man in the Middle) 공격의변형된방법으로사용자PC에보이는html 문서를

변경하는해킹기법이보고되어SSL 방식의보안서버구축시각별한주의가요구됩니다.

예를들면로그인과정에서보안접속선택시실행되는「https://」를해킹도구를사용하여

「http://」로변경할경우사용자가보안접속을선택하여도일반접속으로로그인이진행되어

ID, 패스워드가인터넷통신과정에서평문으로전송됩니다.

< 대책 >1) SSL 인증서발급시다음사항을점검한다.①주요 웹브라우저에서 신뢰기관으로 등록된 인증기관에서 발급된

인증서인가?②SSL 인증서내도메인명과웹사이트명이일치하는가?③SSL 인증서내유효기간이정확한가?

2) 보안서버구축후다음사항을점검한다.①내·외부네트워크에서웹사이트를접속하여보안경고창이발생하는지

확인한다.②IE, 파이어폭스, 사파리등주요웹브라우저에서보안경고창이발생

하는지확인한다.

피해자 PC공격자 웹서버

MITM(Man In The Middle attack)

② 웹페이지전송③웹페이지변조

③ http://평문전송 ID/패스워드

스니핑ARP Spoofer

④ 보안접속로그인

① A.com 전송

<그림D-2> ARP 스푸핑과데이터변조를통한MITM 공격

147

부록 D. SSL 방식 보안서버구축시유의사항

이러한해킹이가능한원인은웹사이트에서일반접속과보안접속을모두가능한형태로

서비스를제공하고있기때문입니다.

< 대책 >1) 로그인, 회원가입등개인정보를전송하는경우보안접속(암호화전송)만가능하게구축

2) 보안접속만가능한페이지를평문접속(http://)으로요청할경우접속을제한하거나특정페이지로강제이동하도록홈페이지소스수정

보안서버 구축 가이드 개발을 위하여 다음과 같은 분들께서 수고하셨습니다.

2007년 10월

총괄책임자 정보통신부 개인정보보호팀 팀 장 정현철

한국정보보호진흥원 정책개발단 단 장 정경호

사업참여자 정보통신부 개인정보보호팀 사 무 관 서정훈

한국정보보호진흥원 기술정책팀 팀 장 김성훈

한국정보보호진흥원 기술정책팀 선 임 연 구 원 최광희

한국정보보호진흥원 기술정책팀 선 임 연 구 원 정승욱

한국정보보호진흥원 기술정책팀 연 구 원 이민우

검 토 이니텍 기술기획팀

(가나다순) 한국전자인증 인증서비스&기술지원팀

한국정보인증 정보인증센터

한비로 서버운 팀

호스트웨이 IT Consulting Team / Business Development Team

보안서버 구축 가이드2007년 10월 인쇄2007년 10월 발행

발행처 : 정보통신부·한국정보보호진흥원

인쇄처 :

서울특별시종로구세종로 100번지통신센터빌딩정보통신부Tel : (02) 750-2114

서울특별시송파구가락동 78번지IT벤처타워(서관) 한국정보보호진흥원Tel : (02) 405-5114

한 올Tel : (02) 2279-8494

■ 본 가이드 내용의 무단 전재를 금하며, 가공 인용할 때에는 반드시정보통신부 한국정보보호진흥원「보안서버 구축 가이드」라고 출처를밝혀야 합니다.