SSL (Secure Sockets Layer)
SSL (보안 소켓 계층) 은 1990년대 중반 넷스케이프(Netscape)사에서 웹 서버와 브라우저 간의 안전한 통신을 위해 개발한 암호화 프로토콜입니다.
전자상거래 보안의 기초를 닦은 기술이지만, 현재는 치명적인 보안 취약점이 발견되어 모든 버전이 사용 중단(Deprecated) 되었습니다. 현재 우리가 사용하는 'SSL'은 사실상 후속 버전인 TLS 를 의미합니다.
⏳ 프로토콜 발전사 (Timeline)
SSL은 3.0 버전을 마지막으로 역사 속으로 사라졌으며, IETF가 주관하는 TLS로 명칭이 변경되어 계승되었습니다.
🚫 퇴출 사유 (Vulnerabilities)
결제 시스템 연동 시 서버 설정에서 SSL 프로토콜을 반드시 비활성화해야 합니다.
- POODLE 취약점: SSL 3.0의 구조적 결함을 이용해 암호화된 쿠키나 데이터를 복호화할 수 있는 공격입니다.
- BEAST/CRIME 공격: HTTPS 통신 내용을 가로채거나 변조할 수 있는 위험이 있습니다.
개발자 필독
서버(Apache, Nginx, Tomcat 등) 설정 시 SSLv2, SSLv3 프로토콜은 반드시 Disable(비활성화) 처리해야 합니다.
이를 켜둘 경우 보안 감사가 불가능하며, PCI-DSS(카드 데이터 보안 표준) 심사를 통과할 수 없습니다.
🧐 SSL vs TLS 용어 정리
| 용어 | 실제 의미 | 비고 |
|---|---|---|
| SSL 인증서 | TLS 인증서 | 관습적으로 부르는 명칭 (상품명) |
| SSL 통신 | TLS 암호화 통신 | 기술적으로는 TLS 핸드셰이크가 일어남 |
| OpenSSL | 암호화 라이브러리 | SSL/TLS 기능을 모두 제공하는 오픈소스 툴 |