암호 프로토콜 개요
암호 프로토콜은 통신 과정에서 기밀성·무결성·인증을 보장하기 위한 규약입니다. 정보보안기사에서 TLS, IPSec, SSH, Kerberos는 거의 매회 출제되는 핵심 주제입니다.
TLS (Transport Layer Security)
SSL의 후속 표준으로, 응용 계층 아래에서 안전한 통신 채널을 제공합니다.
TLS 1.3 핸드셰이크 (간소화됨)
- ClientHello: 지원 암호 스위트, 키 공유 전송
- ServerHello: 선택된 암호 스위트, 서버 키 공유, 인증서 전송
- 클라이언트 Finished: 핸드셰이크 완료, 세션 키 확립
- TLS 1.2 대비 왕복 횟수 감소 (1-RTT)
주요 암호 스위트 구성
키 교환 알고리즘 + 인증 알고리즘 + 대칭키 알고리즘 + MAC 알고리즘 조합
- 예: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- ECDHE: 완전 순방향 비밀성(PFS) 제공
IPSec
네트워크 계층(L3)에서 IP 패킷을 보호합니다. VPN 구현에 많이 사용됩니다.
두 가지 동작 모드
- 전송 모드(Transport Mode): IP 헤더는 유지, 페이로드만 보호. 종단간 통신에 사용
- 터널 모드(Tunnel Mode): 원본 IP 패킷 전체를 캡슐화. VPN 게이트웨이 간 사용
두 가지 프로토콜
- AH(Authentication Header): 무결성·인증 제공, 암호화 없음. 프로토콜 번호 51
- ESP(Encapsulating Security Payload): 기밀성·무결성·인증 모두 제공. 프로토콜 번호 50
IKE (Internet Key Exchange)
IPSec SA(Security Association) 협상 프로토콜. IKEv2가 현재 표준. UDP 500 포트 사용
SSH (Secure Shell)
원격 서버 접속 및 파일 전송을 암호화하는 프로토콜 (TCP 22번 포트)
인증 방식
- 비밀번호 인증: 서버의 사용자 계정 비밀번호로 인증
- 공개키 인증: 클라이언트의 공개키를 서버에 등록, 개인키로 서명하여 인증 (더 안전)
포트 포워딩
- 로컬 포워딩: 로컬 포트를 통해 원격 서비스에 접근
- 원격 포워딩: 원격 포트를 로컬 서비스에 연결
- 동적 포워딩: SOCKS 프록시로 동작
Kerberos
MIT가 개발한 네트워크 인증 프로토콜. Windows Active Directory의 기본 인증 메커니즘입니다.
구성 요소
- KDC (Key Distribution Center): 인증 서버 (AS) + 티켓 허가 서버 (TGS)
- TGT (Ticket Granting Ticket): AS가 발급하는 초기 티켓
- ST (Service Ticket): TGS가 발급하는 서비스 접근 티켓
인증 흐름
클라이언트 → AS (TGT 요청) → TGS (ST 요청) → 서비스 서버 (접근)
Kerberos는 리플레이 공격 방지를 위해 타임스탬프를 사용하며, 시간 동기화가 필수입니다 (허용 오차 5분).
시험 핵심 비교
- TLS: 응용 계층, TCP 기반, 웹/이메일 보호
- IPSec AH: 인증만 / ESP: 암호화+인증
- IPSec 터널모드 vs 전송모드: VPN vs 종단간
- SSH 공개키 인증: 서버에 ~/.ssh/authorized_keys 등록 필요
- Kerberos 약점: 단일 실패점(KDC), 시간 동기화 필수
마무리
암호 프로토콜은 계층·포트·동작 방식을 연결하여 이해하면 훨씬 잘 외워집니다. 특히 IPSec의 AH/ESP 구분과 TLS 핸드셰이크 순서는 반드시 숙지하세요.