«   2017/12   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            
Archives
Today
460
Total
3,857,781
관리 메뉴

sentimentalist

애플(Apple), 금년말까지 모든 앱의 HTTPS (TLSv1.2) 통신 의무화 정책 발표 본문

IT's Fun

애플(Apple), 금년말까지 모든 앱의 HTTPS (TLSv1.2) 통신 의무화 정책 발표

노피디 2016.06.16 09:32

애플의 개발자 컨퍼런스인 WWDC 2016 (World Wide Developer Conference) 에서 많은 소식들이 들려오고 있습니다. 많은 분들께서 우리나라 시간으로 화요일 새벽 두시부터 진행된 키노트 세션과 iOS10 등의 소식에 들떠계실텐데요, 애플 생태계에서 개발을 하시거나 업을 하시는 분들은 키노트 이외의 기술세션들에서 많은 정보를 얻고 계실겁니다. 아무래도 애플의 새로운 운영체제와 기능에 대한 이야기를 들을 수 있고 변경될 정책 등에 대해서도 확인할 수 있는 시간이기 때문일겁니다.


그 중에서도 지난 하루동안 가장 많은 뉴스와 소식이 전해진 세션은 보안세션이 아니었을까 합니다. 보안세션에서는 최근 화두가 되고 있는 개인의 정보 보호, 보안의 강화와 관련한 변화들이 소개되었습니다. iOS9 이 출시되면서 세상에 선보인 ATS (App Transport Security) 라는 기능을 많이들 기억하실텐데요, 그동안 plist 파일의 값을 수정해서 HTTPS 를 쓰지 않아도 되도록 했던 우회 방법이 올해 말 이후에는 더이상 허용되지 않을 예정이라고 합니다. 



ATS 는 NSURLSession 이나 NSURLConnection API 를 쓰는 경우에 사용되는데요 TLS 버전 1.2 를 요구사항으로 걸고 있으며 AES-128 이나 SHA-2 계열의 암호화 알고리즘으로 사이닝된 인증서를 Forward Secrecy 를 지원하는 사이퍼 수트(CIpher Suite)를 필수 조건으로 내걸고 있어 말 그대로 현재 HTTPS 를 이용하면서 보장받을 수 있는 가능한 높은 수준의 보안을 준수할 것을 요구하고 있습니다. 당연한 이야기이겠습니다만 이를 준수하기 위해서는 독립적으로 인터넷 연결 없이 동작하는 앱이 아닌 이상 원본 서버가 HTTPS 를 지원해야한다는 부담으로 다가오게 됩니다.



시큐리티 세션에서 발표된 내용을 살펴보면 2016년 말 이후부터는 이 정책을 강제로 적용(Enforce)하게 될 예정입니다. 어플리케이션 검수에 대한 이야기로 이해가 되는데요, 그동안 사용하던 plist 파일에서 ATS 를 명시적으로 끄고 개발 및 검수를 요청하는 경우 리젝될것으로 예상됩니다. 다만 서드파티 웹 서비스와의 연동 등을 하는 경우와 같이 "합당한 이유를 설명할 수 있는 경우"에 한정하여 HTTPS 의 미적용 이라던가 낮은 버전의 TLS 를 이용할 수 있도록 해주겠다고 합니다.



추가적으로 AVFoundation 을 이용한 미디어 스트리밍 역시 예외적용을 받는 것으로 되어 있는데요 AVFoundation 과 관련해서는 어떠한 요구사항이 있는지 조금 더 확인을 해봐야 할 것 같습니다. 마지막으로 웹뷰(Web View)를 이용한 통신에 대해서도 예외를 적용할 수 있도록 별도의 키값(NSAllowsArbitraryLoadsInWebContent)이 추가되어 사용할 수 있다는 점 역시 예외 처리가 가능한 부분으로 이해할 수 있겠습니다. 


HTTPS 로의 이동은 이제 선택이 아닌 필수의 시대가 되었습니다. 렛츠인크립트(Let's Encrypt)와 같은 도메인 인증(DV, Domain Validation) 기반의 인증서가 대중화되고 있기 때문에 원본 서버가 HTTPS 를 지원하도록 하는 것도 이제 비용이 많이 들거나 어려운 일이 아닌 상황입니다. 애플의 ATS 강제화 정책은 자사의 기기를 사용하는 사람들이 보다 높은 수준의 보안을 보장받을 수 있도록 한다는 관점에서 분명 박수를 받을 일이라 생각됩니다. 다만 전이하는 시간동안 발생할 약간의 노력과 비용은 감수해야 할 부분으로 보입니다.



저작자 표시 비영리
신고
1 Comments
댓글쓰기 폼