IT's Fun2016.06.16 09:32

애플의 개발자 컨퍼런스인 WWDC 2016 (World Wide Developer Conference) 에서 많은 소식들이 들려오고 있습니다. 많은 분들께서 우리나라 시간으로 화요일 새벽 두시부터 진행된 키노트 세션과 iOS10 등의 소식에 들떠계실텐데요, 애플 생태계에서 개발을 하시거나 업을 하시는 분들은 키노트 이외의 기술세션들에서 많은 정보를 얻고 계실겁니다. 아무래도 애플의 새로운 운영체제와 기능에 대한 이야기를 들을 수 있고 변경될 정책 등에 대해서도 확인할 수 있는 시간이기 때문일겁니다.


그 중에서도 지난 하루동안 가장 많은 뉴스와 소식이 전해진 세션은 보안세션이 아니었을까 합니다. 보안세션에서는 최근 화두가 되고 있는 개인의 정보 보호, 보안의 강화와 관련한 변화들이 소개되었습니다. iOS9 이 출시되면서 세상에 선보인 ATS (App Transport Security) 라는 기능을 많이들 기억하실텐데요, 그동안 plist 파일의 값을 수정해서 HTTPS 를 쓰지 않아도 되도록 했던 우회 방법이 올해 말 이후에는 더이상 허용되지 않을 예정이라고 합니다. 



ATS 는 NSURLSession 이나 NSURLConnection API 를 쓰는 경우에 사용되는데요 TLS 버전 1.2 를 요구사항으로 걸고 있으며 AES-128 이나 SHA-2 계열의 암호화 알고리즘으로 사이닝된 인증서를 Forward Secrecy 를 지원하는 사이퍼 수트(CIpher Suite)를 필수 조건으로 내걸고 있어 말 그대로 현재 HTTPS 를 이용하면서 보장받을 수 있는 가능한 높은 수준의 보안을 준수할 것을 요구하고 있습니다. 당연한 이야기이겠습니다만 이를 준수하기 위해서는 독립적으로 인터넷 연결 없이 동작하는 앱이 아닌 이상 원본 서버가 HTTPS 를 지원해야한다는 부담으로 다가오게 됩니다.



시큐리티 세션에서 발표된 내용을 살펴보면 2016년 말 이후부터는 이 정책을 강제로 적용(Enforce)하게 될 예정입니다. 어플리케이션 검수에 대한 이야기로 이해가 되는데요, 그동안 사용하던 plist 파일에서 ATS 를 명시적으로 끄고 개발 및 검수를 요청하는 경우 리젝될것으로 예상됩니다. 다만 서드파티 웹 서비스와의 연동 등을 하는 경우와 같이 "합당한 이유를 설명할 수 있는 경우"에 한정하여 HTTPS 의 미적용 이라던가 낮은 버전의 TLS 를 이용할 수 있도록 해주겠다고 합니다.



추가적으로 AVFoundation 을 이용한 미디어 스트리밍 역시 예외적용을 받는 것으로 되어 있는데요 AVFoundation 과 관련해서는 어떠한 요구사항이 있는지 조금 더 확인을 해봐야 할 것 같습니다. 마지막으로 웹뷰(Web View)를 이용한 통신에 대해서도 예외를 적용할 수 있도록 별도의 키값(NSAllowsArbitraryLoadsInWebContent)이 추가되어 사용할 수 있다는 점 역시 예외 처리가 가능한 부분으로 이해할 수 있겠습니다. 


HTTPS 로의 이동은 이제 선택이 아닌 필수의 시대가 되었습니다. 렛츠인크립트(Let's Encrypt)와 같은 도메인 인증(DV, Domain Validation) 기반의 인증서가 대중화되고 있기 때문에 원본 서버가 HTTPS 를 지원하도록 하는 것도 이제 비용이 많이 들거나 어려운 일이 아닌 상황입니다. 애플의 ATS 강제화 정책은 자사의 기기를 사용하는 사람들이 보다 높은 수준의 보안을 보장받을 수 있도록 한다는 관점에서 분명 박수를 받을 일이라 생각됩니다. 다만 전이하는 시간동안 발생할 약간의 노력과 비용은 감수해야 할 부분으로 보입니다.



저작자 표시 비영리
신고
Posted by 노피디
IT's Fun2016.03.16 11:16

인터넷에서 발생하는 정보의 유통, 트랜잭션을 SSL/TLS 기술을 이용하여 안전하게 전송하고자 하는 운동인 렛츠인크립트(Let's Encrypt)를 통해 발급된 서버 인증서가 1백만개를 돌파했습니다. 렛츠인크립트가 지난 3월 8일 공식 블로그를 통해 공개한 정보에 따르면 지금까지 렛츠인크립트를 통해서 1백만개 이상의 인증서가 발급되었으며 이를 통해 보안된 통신을 제공하고 있는 도메인은 240만개에 이른다고 합니다. 렛츠인크립트 운동이 시작된지 16개월만에 이룬 쾌거입니다.


인터넷 서비스에서 SSL/TLS 기술이 사용된 것은 꽤 오랜 역사를 가지고 있습니다. 하지만 인증서를 발급받기 위해서는 비용과 절차 측면에서 어려운 부분이 많았고 보안에 대한 인식 역시 생각만큼 성숙되어 있지 않아 중요한 정보들이 암호화되지 않은 채널을 통해 평문으로 전송되는 경우가 많았습니다. 렛츠인크립트는 인증서 발급에 대한 비용 부담 없이 도메인 단위의 인증 절차를 통해 간편하게 인증서를 이용할 수 있도록 프로세스를 개선함과 동시에 각 브라우저에 탑재된 루트 인증기관과의 크로스 사이닝(Cross Signing)을 통해 현대적인 대부분의 브라우저에서 인터넷 보안이 보장된 상태로 이용할 수 있도록 해주고 있습니다.




렛츠인크립트의 이런 활동은 HTTP 프로토콜이 새로운 버전인 2.0 (일반적으로 HTTP/2 혹은 H2 로 불리웁니다) 으로 진화하면서 요구하고 있는 보안된 채널로의 데이터를 송수신 해야 한다는 조건을 만족시키는 과정에도 큰 역할을 할 것으로 기대됩니다. 물론 표준이 여전히 조금씩 변화하고 있고 근래에 암호화 되지 않은 상태에서의 전송 규약 역시 준비되고 있긴 하지만 (참고글 : http://ondemand.tistory.com/224 - HTTP/2 에서 TLS 지원은 필수일까?) 대부분의 브라우저가 HTTP/2 의 경우 암호화 전송을 기본으로 하고 있다는 점을 감안하면 서버 측에서의 인증서 준비는 이제 필수라 하겠습니다. 


렛츠인크립트의 백만번째 인증서 발급 축하 포스팅 전문 살펴보기 [바로가기]




저작자 표시 비영리
신고
Posted by 노피디

티스토리 툴바