SNI를 사용하는 경우의 트래픽 암호화 방법은 무엇인가요?

Q: SNI(Server Name Indication)를 사용하는 경우 트래픽은 어떻게 암호화되나요?

A: SNI는 TLS (Transport Layer Security) 프로토콜 확장으로, 클라이언트가 SSL/TLS 핸드셰이크 초기 단계에서 접속하려는 호스트명을 서버에 전달할 수 있게 합니다. SNI를 사용한 트래픽 암호화 과정은 다음과 같습니다:

1. 핸드셰이크 초기 (암호화 전)
- 클라이언트가 서버에 접속할 때, TLS 핸드셰이크의 ClientHello 메시지에 접속하고자 하는 도메인 이름(SNI 필드)을 평문으로 포함시켜 전송한다.
- 이 단계에서는 아직 대칭키가 공유되지 않아 통신이 암호화되지 않은 상태이다.
2. 서버 인증 및 키 교환
- 서버는 해당 도메인에 맞는 인증서를 클라이언트에 전달한다.
- 클라이언트와 서버는 TLS 핸드셰이크 과정을 통해 세션 키를 생성하고 공유한다.

3. 대칭키 암호화 통신
- 이후 모든 트래픽(HTTP 요청과 응답)은 세션 키를 이용한 대칭키 암호화 방식(TLS 암호화)으로 안전하게 보호된다.

즉, SNI는 TLS 핸드셰이크 초기의 평문 단계에서 도메인명을 전달하기 위한 정보이며, 실제 트래픽은 TLS 세션이 성립된 이후 대칭키로 암호화되어 전송됩니다. SNI 자체는 암호화되지 않으나, 이후의 모든 애플리케이션 데이터는 TLS에 의해 암호화되어 안전하게 보호됩니다.

SNI(서버 이름 표시, Server Name Indication)는 TLS(전송 계층 보안) 프로토콜의 확장 기능으로, 클라이언트가 서버에 연결할 때 요청하는 호스트 이름을 포함하여 여러 도메인을 동일한 IP 주소에서 호스팅할 수 있도록 합니다.

SNI는 주로 HTTPS와 같은 암호화된 트래픽에서 사용되며, 여러 웹사이트가 동일한 IP 주소를 공유할 때 SSL/TLS 인증서를 올바르게 선택할 수 있게 해줍니다.

SNI의 작동 방식 1. 클라이언트의 요청 : 클라이언트가 서버에 연결할 때, TLS 핸드셰이크 과정에서 클라이언트는 연결하려는 호스트의 이름을 포함한 SNI 필드를 서버에 전송합니다.

이 정보는 클라이언트가 요청하는 웹사이트의 도메인 이름을 포함합니다.



2. 서버의 응답 : 서버는 클라이언트가 요청한 도메인 이름을 기반으로 적절한 SSL/TLS 인증서를 선택하여 클라이언트에게 응답합니다.

이 과정에서 서버는 클라이언트가 요청한 도메인에 대한 유효한 인증서를 제공해야 합니다.



3. 암호화된 연결 : 클라이언트와 서버 간의 연결이 설정되면, 이후의 모든 데이터 전송은 TLS를 통해 암호화됩니다.

이 과정에서 SNI는 단순히 초기 핸드셰이크에서 사용되며, 이후의 데이터 전송에는 영향을 미치지 않습니다.

SNI를 사용하는 경우의 트래픽 암호화 방법 1. TLS 핸드셰이크 : SNI는 TLS 핸드셰이크의 일부로 작동합니다.

클라이언트가 서버에 연결할 때, SNI 필드를 포함하여 TLS 핸드셰이크를 시작합니다.

이 과정에서 클라이언트는 서버의 인증서를 검증하고, 세션 키를 생성하여 암호화된 연결을 설정합니다.



2. 암호화 알고리즘 : TLS는 다양한 암호화 알고리즘을 지원합니다.

클라이언트와 서버는 서로 지원하는 암호화 알고리즘을 협상하여 선택합니다.

이 과정에서 대칭키 암호화, 비대칭키 암호화, 해시 함수 등이 사용됩니다.



3. 세션 키 생성 : TLS 핸드셰이크가 완료되면, 클라이언트와 서버는 세션 키를 생성하여 이후의 데이터 전송을 암호화합니다.

이 세션 키는 대칭키 암호화에 사용되며, 데이터 전송의 기밀성과 무결성을 보장합니다.



4. 데이터 전송 : 클라이언트와 서버 간의 데이터 전송은 이제 암호화된 상태로 이루어집니다.

이 과정에서 SNI는 더 이상 사용되지 않으며, 모든 데이터는 세션 키를 사용하여 암호화됩니다.



5. 종료 및 세션 관리 : 데이터 전송이 완료되면, 클라이언트와 서버는 연결을 종료할 수 있습니다.

이 과정에서 세션 키는 폐기되며, 이후의 연결에서는 새로운 핸드셰이크가 필요합니다.

SNI의 보안 고려사항 - 프라이버시 문제 : SNI는 클라이언트가 요청하는 도메인 이름을 평문으로 전송하기 때문에, 중간자 공격(MITM)이나 패킷 스니핑에 취약할 수 있습니다.

이를 해결하기 위해, DNS-over-HTTPS(DOH)나 DNS-over-TLS(DOT)와 같은 기술이 사용될 수 있습니다.

- SNI 암호화 : SNI를 암호화하는 방법으로는 ESNI(Encrypted Server Name Indication)와 같은 기술이 있습니다.

ESNI는 SNI 정보를 암호화하여 전송함으로써, 중간에서 도메인 이름을 노출하지 않도록 합니다.

그러나 ESNI는 아직 모든 환경에서 널리 지원되지 않으므로, 사용 시 주의가 필요합니다.

SNI는 여러 도메인을 동일한 IP 주소에서 호스팅할 수 있게 해주는 중요한 기능이며, TLS를 통해 암호화된 트래픽을 안전하게 전송하는 데 필수적인 역할을 합니다.

그러나 SNI의 사용에 따른 보안 문제를 인식하고, 필요한 경우 추가적인 보안 조치를 취하는 것이 중요합니다.