SSL 보안서버인증서란

보안서버란?

보안서버란 인터넷상에서 개인정보를 암호화하여 송수신하는 기능이 구축된 웹서버를 말하며, 특별한 하드웨어를 설치하는 것이 아니라 이미 사용하고 있는 웹서버에 인증서(SSL 방식)나 암호화 소프트웨어(응용프로그램 방식)를 설치하여 암호통신이 가능하도록 한 것입니다.
인터넷상에서 개인정보를 송수신하는 대표적인 예로는 로그인을 위한 ID/PW 입력 및 웹사이트 회원 가입 시 개인정보를 입력하는 것이 있는데, 이때 웹서버에 보안서버 솔루션이 설치되어 있으면 개인정보가 암호화되어 타인에게 노출되지 않으며, 정보를 안전하게 전송할 수 있습니다.

보안서버의 필요성

정보유출 방지(sniffing 방지)

학교, PC방, 회사 등의 공용 네트워크를 사용하는 PC에서 보안서버가 구축되지 않은 사이트로 접속할 경우, 개인정보가 타인에게 노출될 가능성이 매우 큽니다. 악의적인 공격자가 스니핑 툴(sniffing tool)을 사용할 경우 전송자의 개인정보(ID, PW, e-mail, 주민등록번호, 주소, 전화번호 등)를 손쉽게 얻을 수 있습니다. 보안서버를 구축하면 국제 기준에 부합하는 표준 암호화 기법을 사용하여 전송자의 메시지를 안전하게 전송할 수 있습니다. 그러므로 보안서버는 개인정보보호를 위해 반드시 필요합니다.

위변조 방지(integrity 보장)

보안서버는 전송하는 메시지의 무결성을 보장하여, 사용자의 웹브라우저부터 웹서버까지 전달되는 메시지의 위변조를 막아 신뢰된 메시지 전송을 보장합니다.

위조사이트 방지(phising 방지)

보안서버가 구축된 사이트를 대상으로 피싱(phsing) 공격을 시도하기는 어렵습니다. 평상시 접속하는 웹페이지에서 자물쇠 이미지를 확인하거나 개인정보 입력 시 암호화 호출(https://), 암호화 모듈 로딩 화면 등을 확인하였다면 유사하게 구성된 피싱 사이트를 구별할 수 있습니다.

기업신뢰도 향상

보안서버를 구축하는 기업은 고객의 개인정보를 안전하게 관리하는 기업이라는 이미지를 부각시킬 수 있습니다. 저희 한국정보인증이 제공하는 보안서버 인증마크의 경우, 해당 홈페이지에 보안서버를 구축하였음을 표시하여 웹사이트의 개인정보보호 안전성을 사용자에게 알릴 수 있으며, 인증마크를 클릭하면 일련번호, 발급업체명 등의 관련 정보를 확인할 수 있습니다. 또한,주소창을 녹색으로 변경시켜주는 그린바 기능은 보다 신뢰할 수 있는 사이트이며 안전한 사이트라는 점을 눈으로 쉽게 판별할 수 있기 때문에 금융권 및 공공기관과 같이 주요 개인정보를 취급하는 사이트 대다수가 적용하고 있습니다.

SSL방식의 보안 서버

보안서버는 구축방식에 따라 크게 SSL방식과 응용프로그램 방식 2가지로 구분할 수 있습니다. SSL방식은 웹서버와 웹브라우저에 별도의 보안 프로그램 설치가 필요 없으면, 사용하고 계시는 웹서버에 SSL 인증서를 설치하여 적용하시면 보안서버를 구축하실 수 있습니다. SSL 방식의 보안서버 확인 방법은, 로그인 페이지 등과 같이 보안이 필요한 웹페이지에 접속한 상태에서 브라우저 하단 상태 표시줄 및 상단 주소창 옆에 자물쇠 모양의 마크로 확인할 수 있으며, 웹사이트의 구성 방법에 따라 자물쇠 모양의 마크가 보이지 않을 수도 있습니다. 자물쇠이미지를 클릭하여 방문한 웹사이트의 인증서와 유효기간 등을 확인할 수 있습니다.

구축 절차

• 상담을 통한 인증서 제품 선택
• SSL인증서 신청
  • 웹서버 기종확인
  • SSL인증서 신청/설치 메뉴얼 다운로드
  • 개인키 및 CSR 생성
  • CSR 정보 포함 SSL인증서 Web신청 양식작성 및 결제
• SSL인증서 설치
  • SSL인증서 신청/설치 메뉴얼 다운로드
  • 웹서버로 인증서 업로드
  • 웹서버 SSL인증서 설정변경
  • SSL인증서 설치 확인
• SSL인증서 적용을 위한 웹페이지 부분 수정
• 보안서버(SSL방삭) 구축 완료

CSR이란?

CSR은 Certificate Signing Request (인증서 서명 요청)이란 뜻으로, 인증서 발급을 위한 필요한 정보를 담고 있는 인증서 신청 형식 데이터입니다. CSR에 포함되는 내용으로는 개인키 생성 단계에서 만들어진 개인키(Private Key)와 공개키(Public Key)의 키쌍 중에서 공개키가 포함되며, 인증서가 적용되는 도메인에 대한 정보 등이 포함됩니다.
즉 CSR이란, “나는 이러이러한 사람인데(인증서 적용 도메인 정보), 이 키(공개키)가 포함된 인증서를 만들고 싶습니다.”라는 내용이 포함되어 있습니다. 그러므로 올바른 CSR을 생성하기 위해서는 해당 웹서버의 도메인 정보를 정확히 넣어주셔야 하며, 인증서를 적용할 도메인의 Whois 정보와 일치해야 합니다. 또한 개인키 및 CSR 생성을 여러 번 하는 경우, 사용하실 개인키와 정확하게 일치하는 CSR을 알려주셔야 합니다. 만약 알려주신 CSR의 내용이 사용하실 개인키가 아닌 다른 개인키를 이용해 생성된 경우, 발급된 인증서와 개인키가 일치하지 않아 키쌍이 맞지 않는 오류가 발생하며, 이룰 해결하기 위해서는 인증서를 재발급해야 하는 번거로운 과정이 필요합니다. CSR은 Base64형식으로 작성되므로, 파일을 메모장과 같은 편집기로 열어보면 다음과 같이 ASCII 문자로 이루어진 텍스트를 보실 수 있습니다.

CSR 구성정보

CSR 구성정보 상세

구분	내용
Country	국가코드
State / Province	시/도의 전체이름
Locality	시/군/구 등의 이름
Organization	회사이름
Organization Unit	부서명 (원하시는 부서명으로 기입)
Common Name	SSL인증서를 설치할 서버의 Full Domain

작성예

www.kisa.or.kr 도메인에 대한 whois 등록정보 검색화면

FAQ - 개인키 또는 개인키 비밀번호를 잊어버린 경우에는?

발급 받으실 인증서와 쌍을 이루는 개인키는 가장 안전하게 보관해야 하는 비밀 정보로, 개인키 유출 시 SSL 보안 통신이 무너지게 됩니다. 그러므로 개인키와 개인키 비밀번호는 인증서 관리 담당자가 안전하게 보관/관리 하셔야 하며, 분실로 인한 복구는 불가능합니다. 이 경우 인증서를 재발급 하셔야 하며, 절차는 인증서 발급 절차와 동일합니다.

설치 방법

SSL 인증서는 웹서버에 설치하는 것으로, 설치 절차는 다음과 같습니다.

SSL인증서 설치 절차

웹서버로 SSL인증서 업로드

웹서버 SSL인증서 설정 변경

웹서버 재가동

SSL인증서 설치 확인

SSL 인증서의 설치 절차는 웹서버 종류에 따라 다르며, 웹서버별 SSL 인증서 설치에 대한 자세한 내용은 다음 링크를 참고하시기 바랍니다.

웹서버별 인증서 설치 메뉴얼 보기

SSL 인증서 설치 유의사항

SSL 인증서는 웹서버에 설치하는 것으로, WAS와는 인증서 신청/설치 절차상 관련이 없습니다.
일반적으로 인증서 적용 시 SSL port는 공유되지 않으므로 인증서 적용 시 각각의 도메인 단위로 port 설정을 해주셔야 합니다.

FAQ - “페이지를 표시할 수 없습니다.” 오류창이 발생합니다.

웹서버 SSL 인증서를 설치 및 적용 후에 정상적으로 서버를 재로드 하였는데도, 아래 그림과 같이 “페이지를 표시할 수 없습니다.”라는 오류 창이 발생할 경우는 대부분이 방화벽 또는 웹 방화벽에 443포트 혹은 https 용으로 할당하신 특정 포트에 대한 포트 설정이 닫혀 있기 때문입니다. 방화벽의 경우 해당 포트를 열어주시고, 웹 방화벽의 경우 해당 포트를 연 후에 https(SSL 암호화 통신)에 대한 스캔 기능이 활성화 되어 있을 경우 해당 도메인에 대한 설정 부분에 SSL인증서 및 개인키를 함께 설치해 주셔야 합니다.
간혹 웹 방화벽의 종류에 따라 루트 및 체인인증서도 설치해야 하는 경우가 있으며, 자세한 처리 방법은 웹 방화벽 담당자에게 문의하시기 바랍니다.

적용 방법

SSL 인증서를 웹서버에 설치하는 것만으로 보안서버 구축 작업이 끝나는 것은 아닙니다. 정상적인 보안서버의 구동을 위해서는 웹서버가 SSL 인증서를 통하여 SSL 암호화 통신(https 프로토콜)이 가능하도록 웹페이지에 적용하는 작업이 반드시 필요합니다.
SSL 인증서의 적용은 아래 그림과 같이 “http://”로 호출되는 부분을 “https://”로 변경하면 됩니다.

https 프로토콜 호출을 위한 웹페이지 수정 예제

SSL 인증서를 웹페이지에 적용하는 방법으로는 전체 페이지를 암호화하는 방법과 부분페이지를 암호화하는 방법 두 가지가 있습니다. 전체 페이지를 암호화하는 방법은 간단한 소스 수정만으로 적용할 수 있지만, 암호화 적용이 필요 없는 부분까지 암호화하기 때문에 부분 암호화보다 서버에 부하를 줄 수 있습니다.
부분 페이지를 암호화하는 방법은 전체를 암호화하는 것보다 소스 수정 부분이 조금 더 복잡하지만, 서버의 부하가 증가하는 것을 줄일 수 있습니다.

전체 페이지 암호화 적용

전체 페이지를 암호화하는 방법은 리다이렉션 기능을 이용하는 것으로, 리다이렉션이란 웹 페이지를 강제로 다른 주소나 다른 페이지로 변경해줌으로써 사용자들의 불편함을 감소시켜주고 자연스럽게 암호화 통신을 할 수 있도록 해주는 기능입니다.
아래 항목들은 HTML태그/Javascript/웹서버설정 등으로 https 리다이렉션 기능을 구현한 예제입니다.

HTML 태그 이용 - index.html에 아래와 같이 한 줄 소스코드를 추가

Javascript를 이용 - index.html에 아래와 같이 Javascript코드를 추가

Apache서버 - Apache 설정파일(httpd.conf)에 Redirect 지시자를 사용

부분 페이지 암호화 적용

부분 페이지 암호화는 현재 위치하고 있는 페이지에서 다른 페이지로 이동할 때, 보안을 위해서 암호화된 전송을 할 것인지 아니면 비 암호화된 전송을 할 것인지를 선택하여 암호화하는 것을 말합니다.
아래 예는 Login 페이지에 대해 SSL 암호화 통신을 적용하는 예로, 고객의 비밀정보인 ID/PW가 네트워크를 통해 전송될 때 그 내용을 암호화함으로써 안전하게 개인정보를 송수신 할 수 있도록 하는 것입니다.

경고창 발생 제거

SSL 인증서를 웹페이지에 적용 후 아래와 같은 경고창이 발생할 수 있습니다.

이 경우는 https://로 호출한 웹페이지내에서 https로 보안되지 않은 항목이 함께 있을 때 나타나며, 부분적으로 암호화되지 못한 부분이 있다는 것을 사용자에게 알려주는 웹브라우저의 정상적인 기능입니다.
이 경고창이 발생하지 않게 하시려면 https://로 호출될 웹 페이지의 소스 내에 https://로 보안되지 않은 항목의 부분들을 모두 찾아 httpsL//로 호출될 수 있도록 수정해 주시기 바랍니다.

보안서버 구축의 법적 근거

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제2조(정의)

6. "개인정보"란 생존하는 개인에 관한 정보로서 성명/주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호?문자?음성?음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

제28조(개인정보의 보호조치)

① 정보통신서비스 제공자등이 개인정보를 취급할 때에는 개인정보의 분실ㆍ도난ㆍ누출ㆍ변조 또는 훼손을 방지하기 위하여 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적/관리적 조치를 하여야한다.
4. 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화기술 등을 이용한 보안조치
제76조(과태료)
① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록 한 자에게는 3천만원 이하의 과태료를 부과한다. <개정 2011.3.29, 2012.2.17>
3. 제28조제1항(제67조에 따라 준용되는 경우를 포함한다)에 따른 기술적ㆍ관리적 조치를 하지 아니한 자

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제15조(개인정보의 보호조치)

④ 법 제28조제1항제4호에 따라 정보통신서비스 제공자등은 개인정보가 안전하게 저장ㆍ전송될 수 있도록 다음 각 호의 보안조치를 하여야 한다.
3. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치[전문개정 2009.1.28]

정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행규칙 제9조 (개인정보의 보호조치)

② 법 제28조제1항 및 제67조제1항에 따른 개인정보의 안전성 확보에 필요한 기술적 조치는 다음 각 호와 같다. 5. 그 밖에 개인정보의 안전성 확보에 필요한 기술적 보호조치,

개인정보의 기술적/관리적 보호조치 기준 [방송통신위원회 고시 제2012-50호] 제6조(개인정보의 암호화)

③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송/수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송/수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송/수신하는 기능

[참고] 개인정보의 유형

개인정보의 유형 상세

유형	개인정보의 예
인적사항	성명,주민등록번호,주소,본적지,전화번호 등 연락처,생년월일,출생지,이메일 주소,가족관계 및 가족구성원 정보 등
신체적정보	(신체정보)얼굴,지문,홍채,음성,유전자정보,키,몸무게 등 (의료/건강정보)건강상태,진료기록,신체장애,장애등급,병력(病歷)등
정신적정보	(기호/성향정보)도서/비디오 등 대여기록,잡지구독정보,물품구매내역,웹사이트 검색내역 등 (내면의 비밀 등)사상,신조,종교,가치관,정당/노조 가입여부 및 활동내역 등
재산적정보	(개인금융정보)소득,신용카드번호,통장계좌번호,동산/부동산 보유내역,저축내역 등 (신용정보)신용평가정보,대출 또는 담보설정 내역,신용카드 사용내역 등
사회적정보	(교육정보)학력,성적,출석상황,자격증 보유내역,상벌기록,생활기록부 등 (법적정보)전과/범죄 기록,재판 기록,과태료 납부내역 등 (근로정보)직장,고용주,근무처,근로경력,상벌기록,직무평가기록 등 (병역정보)병역여부,군번,계급,근무부대 등
기타	전화통화내역,웹사이트 접속내역,이메일 또는 전화메시지,기타 GPS 등에 의한 위치정보 등