681. SSL/TLS (Secure Socket Layer / Transport Layer Security) 통신 모델 개요

핵심 인사이트: 인터넷 초기엔 누군가 내 택배(데이터)를 뜯어보면 내용물(비밀번호, 카드번호)이 훤히 다 보였다. 이 참사를 막기 위해 넷스케이프가 개발한 것이 '비밀 택배 상자(SSL)'다. 오늘날 자물쇠 마크(HTTPS)로 대변되는 이 기술은, 택배가 출발하기 전에 미리 판매자와 비밀번호를 맞추고(핸드셰이크), 중간에 절대 뜯을 수 없는 강철 상자(암호화)에 데이터를 담아 보내는 전 세계 인터넷 보안의 절대 표준이다.

Ⅰ. SSL/TLS의 개념과 등장 배경

  • 개념: 컴퓨터 네트워크에서 두 응용 프로그램(예: 내 웹 브라우저와 네이버 서버)이 서로 데이터를 안전하게 주고받을 수 있도록 기밀성, 무결성, 인증을 제공하는 4계층(전송 계층) 위의 암호화 프로토콜입니다.
  • 역사:
    • 1995년 넷스케이프(Netscape) 사가 **SSL (Secure Socket Layer)**이라는 이름으로 처음 세상에 내놓았습니다.
    • 이후 IETF(국제 표준화 기구)가 이 훌륭한 기술을 공식 표준으로 채택하면서, 이름을 **TLS (Transport Layer Security)**로 바꾸었습니다. (현재는 SSL 3.0의 후속 버전인 TLS 1.2, TLS 1.3을 쓰지만, 관습적으로 SSL/TLS라고 혼용해서 부릅니다.)

Ⅱ. 3대 보안 서비스 (무엇을 보장하는가?) 🌟

통신 과정에서 다음 3가지 보안 기능을 완벽하게 묶어서(Suite) 제공합니다.

  1. 기밀성 (Confidentiality): 오직 통신하는 둘만 아는 대칭키(AES, ChaCha20)로 모든 데이터를 암호화하여 중간에 해커가 가로채도 쓰레기 값만 보이게 만듭니다.
  2. 무결성 (Integrity): 패킷 끝에 메시지 인증 코드(HMAC, GCM)를 달아서 전송 중 데이터가 1비트라도 조작(변조)되지 않았음을 보증합니다.
  3. 인증 (Authentication): 통신하는 상대방이 해커가 만든 가짜 피싱 사이트가 아니라 '진짜 네이버 서버'가 맞는지, 국가 공인 **디지털 인증서(X.509, PKI)**를 통해 신원을 100% 확인합니다.

Ⅲ. 통신 모델 (프로토콜 스택에서의 위치)

  • TLS는 OSI 7계층 중 전송 계층(TCP 4계층)과 응용 계층(HTTP 7계층) 사이에 살짝 끼어들어가는 '보안 껍데기' 역할을 합니다.
  • HTTP 데이터가 TCP로 넘어가기 직전에, TLS가 그 데이터를 낚아채어 암호화(AES)하고 무결성 도장(MAC)을 찍은 뒤 TCP로 넘깁니다.
  • 이렇게 HTTP와 TLS가 결합된 통신을 **HTTPS (HTTP over TLS, 포트 443)**라고 부릅니다. (FTP에 붙으면 FTPS, SMTP에 붙으면 SMTPS가 됩니다.)

Ⅳ. 내부 구조 (2개의 하위 계층)

TLS 프로토콜은 겉보기엔 하나지만, 내부적으로는 '협상팀'과 '포장팀' 두 개로 나뉘어 동작합니다.

  1. 협상팀 (Handshake, Alert, Change Cipher Spec):
    • 진짜 통신(데이터 전송)을 시작하기 전에, 먼저 둘이 만나서 인사를 나누고(Handshake), 각자 신분증(인증서)을 검사한 뒤, 앞으로 데이터를 잠글 '비밀 열쇠(대칭키)'를 해커 몰래 나눠 가지는(키 교환) 가장 중요하고 복잡한 사전 작업을 수행합니다. (다음 682번 문서에서 상세히 다룸)
  2. 포장팀 (Record Protocol):
    • 협상팀이 비밀 열쇠를 주고 떠나면, 포장팀이 나서서 실제 HTTP 데이터 덩어리를 썰고, 그 열쇠로 암호화하고, MAC 꼬리표를 딱딱 붙여서 TCP로 내려보내는 '단순 노동(암호화 전송)'을 전담합니다.

📢 섹션 요약 비유: 인터넷 세상에서 편지(데이터)를 보낼 때, 그냥 보내면 우체부나 중간 배달부(해커)가 다 읽어볼 수 있습니다. TLS는 편지를 보내기 전, 먼저 수신자와 투명한 유리방(핸드셰이크)에서 만나 각자의 신분증(인증서)을 확인하고 서로만 아는 금고 비밀번호(세션 키)를 몰래 정하는 협상 과정입니다. 협상이 끝나면, 앞으로 보내는 모든 편지는 그 비밀번호로 열리는 튼튼한 티타늄 금고(레코드 프로토콜)에 담겨 배송되므로 절대 안전합니다.