Android Dev Summit, October 23-24: two days of technical content, directly from the Android team. Sign-up for livestream updates.

네트워크 보안 구성

네트워크 보안 구성 기능을 사용하면 앱 코드를 수정하지 않아도 앱이 안전한 선언적 구성 파일에서 네트워크 보안 설정을 맞춤설정할 수 있습니다. 이러한 설정은 특정 도메인과 특정 앱에 대해 구성할 수 있습니다. 이 기능의 핵심 요소는 다음과 같습니다.

  • 맞춤형 신뢰 앵커: 앱의 보안 연결에 대해 신뢰할 수 있는 인증 기관(CA)을 맞춤설정합니다. 예를 들어, 특별한 자체 서명 인증서를 신뢰하거나 앱이 신뢰하는 공개 CA 세트를 제한합니다.
  • 디버그 전용 재정의: 설치된 기반에 위험을 더하지 않고도 앱의 보안 연결을 안전하게 디버그합니다.
  • 일반 텍스트 트래픽 선택 해제: 일반 텍스트 트래픽을 실수로 사용하지 않도록 앱을 보호합니다.
  • 인증서 고정: 앱의 보안 연결을 특정 인증서로 제한합니다.

네트워크 보안 구성 파일 추가

네트워크 보안 구성 기능은 앱에 대한 설정을 지정하는 XML 파일을 사용합니다. 앱 매니페스트에 이 파일을 가리키는 항목을 포함해야 합니다. 매니페스트에서 발췌한 다음 코드는 이 항목을 생성하는 방법을 보여줍니다.

    <?xml version="1.0" encoding="utf-8"?>
    <manifest ... >
        <application android:networkSecurityConfig="@xml/network_security_config"
                        ... >
            ...
        </application>
    </manifest>
    

신뢰할 수 있는 CA 맞춤설정

앱에서 플랫폼 기본값 대신 맞춤형 CA 세트를 신뢰하고자 할 수 있습니다. 가장 일반적인 이유는 다음과 같습니다.

  • 맞춤형 인증 기관(예: 자체 서명하거나 회사 내부에서 발급된 CA)을 통해 호스트에 연결.
  • 모든 사전 설치된 CA 대신 신뢰할 수 있는 CA로만 CA 세트를 제한.
  • 시스템에 포함되지 않은 추가 CA를 신뢰.

기본적으로, 모든 앱의 보안 연결(TLS 및 HTTPS과 같은 프로토콜 사용)은 사전 설치된 시스템 CA를 신뢰하며, Android 6.0(API 레벨 23) 이하를 타겟팅하는 앱도 사용자가 추가한 CA 스토어를 기본적으로 신뢰합니다. 앱은 base-config(앱 전체 맞춤설정) 또는 domain-config(도메인 단위 맞춤설정)를 사용하여 자체 연결을 맞춤설정할 수 있습니다.

맞춤형 CA 구성

자체 서명된 인증서를 사용하는 호스트나 신뢰할 수 있는 비공개 CA(예: 사내 CA)에서 발급한 SSL 인증서를 사용하는 호스트에 연결한다고 가정하겠습니다.

res/xml/network_security_config.xml:

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <domain-config>
            <domain includeSubdomains="true">example.com</domain>
            <trust-anchors>
                <certificates src="@raw/my_ca"/>
            </trust-anchors>
        </domain-config>
    </network-security-config>
    

자체 서명된 인증서 또는 비공개 CA 인증서를 PEM 또는 DER 형식으로 res/raw/my_ca에 추가합니다.

신뢰할 수 있는 CA 세트 제한

앱에서 시스템이 신뢰하는 CA 중 일부를 신뢰하지 않으려면, 대신 신뢰할 CA 세트를 줄여서 지정할 수 있습니다. 이 방법은 다른 CA에서 발급된 허위 인증서로부터 앱을 보호해줍니다.

신뢰할 수 있는 CA 세트를 제한하는 구성은 특정 도메인에서 맞춤형 CA를 신뢰하는 것과 비슷하지만 여러 CA가 리소스에서 제공된다는 점이 다릅니다.

res/xml/network_security_config.xml:

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <domain-config>
            <domain includeSubdomains="true">secure.example.com</domain>
            <domain includeSubdomains="true">cdn.example.com</domain>
            <trust-anchors>
                <certificates src="@raw/trusted_roots"/>
            </trust-anchors>
        </domain-config>
    </network-security-config>
    

신뢰할 수 있는 CA를 PEM 또는 DER 형식으로 res/raw/trusted_roots에 추가합니다. PEM 형식을 사용할 경우 파일에 PEM 데이터 포함하고 다른 추가 텍스트를 포함해서는 안 됩니다. 또한 한 개가 아니라 여러 개의 <certificates> 요소를 제공할 수 있습니다.

신뢰하는 추가 CA

앱에서 시스템이 신뢰하지 않는 CA를 신뢰하고자 한다면, 이는 시스템에 해당 CA가 아직 포함되지 않았거나 CA가 Android 시스템에 포함되기 위한 요구사항을 충족하지 못했기 때문일 수 있습니다. 앱은 구성에 대해 여러 개의 인증서 소스를 지정하여 신뢰할 수 있는 CA를 추가할 수 있습니다.

res/xml/network_security_config.xml:

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <base-config>
            <trust-anchors>
                <certificates src="@raw/extracas"/>
                <certificates src="system"/>
            </trust-anchors>
        </base-config>
    </network-security-config>
    

디버깅을 위해 CA 구성

HTTPS로 연결되는 앱을 디버그할 때 프로덕션 서버에 SSL 인증서가 없는 로컬 개발 서버로 연결하고자 할 수도 있습니다. 앱 코드를 수정하지 않고 이 기능을 지원하려면 debug-overrides를 사용하여 android:debuggabletrue일 때 신뢰할 수 있는 디버그 전용 CA를 지정하면 됩니다. 일반적으로 IDE 및 빌드 도구는 비 릴리스 빌드에 대해 이 플래그를 자동으로 설정합니다.

보안 예방 조치로 앱 스토어에서 디버그 가능으로 표시된 앱은 허용하지 않기 때문에 일반적인 조건 코드보다 안전합니다.

res/xml/network_security_config.xml:

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <debug-overrides>
            <trust-anchors>
                <certificates src="@raw/debug_cas"/>
            </trust-anchors>
        </debug-overrides>
    </network-security-config>
    

일반 텍스트 트래픽 선택 해제

참고: 이 섹션의 지침은 Android 8.1(API 레벨 27) 이하를 타겟팅하는 앱에만 적용됩니다. Android 9(API 레벨 28)부터는 일반 텍스트 지원이 기본적으로 사용되지 않습니다.

보안 연결만 사용하여 대상에 연결하는 애플리케이션은 해당 대상에 대해 일반 텍스트를 지원하는 기능(HTTPS 대신 암호화되지 않은 HTTP 프로토콜 사용)을 선택 해제할 수 있습니다. 이 옵션은 백엔드 서버 등의 외부 소스가 제공하는 URL의 변경 사항으로 인해 앱에서 우연히 회귀가 일어나는 일을 방지합니다. 자세한 내용은 NetworkSecurityPolicy.isCleartextTrafficPermitted()를 참조하세요.

예를 들어, 적대적 네트워크로부터 민감한 트래픽을 보호하기 위해 앱에서 secure.example.com에 대한 연결은 항상 HTTPS를 통해서만 수행되도록 할 수 있습니다.

res/xml/network_security_config.xml:

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <domain-config cleartextTrafficPermitted="false">
            <domain includeSubdomains="true">secure.example.com</domain>
        </domain-config>
    </network-security-config>
    

인증서 고정

일반적으로 앱은 모든 사전 설치된 CA를 신뢰합니다. 이러한 CA 중 하나가 허위 인증서를 발급한다면 앱이 중간자(man-in-the-middle) 공격에 노출될 위험이 있습니다. 일부 앱은 신뢰하는 CA 세트를 제한하거나 인증서를 고정하는 방식으로 허용하는 인증서 세트를 제한합니다.

인증서 고정은 공개 키 해시(X.509 인증서의 SubjectPublicKeyInfo)로 인증서 세트를 제공하는 방식으로 수행됩니다. 그런 다음에는 인증서 체인에 하나 이상의 고정된 공개 키가 있어야만 인증서 체인이 유효합니다.

인증서 고정을 사용할 때는 언제나 백업 키를 포함해야 새로운 키로 강제 전환하거나 CA를 변경할 경우(CA 인증서 또는 해당 CA의 중간 CA에 고정할 경우) 앱 연결이 영향을 받지 않습니다. 백업 키를 포함하지 않으면 연결을 복원하기 위해 앱으로 업데이트를 푸시해야 합니다.

또한, 핀 만료 시간을 설정하여 핀 만료 시간이 지나면 고정이 수행되지 않도록 할 수 있습니다. 이렇게 하면 업데이트되지 않은 앱에서 연결 문제를 방지하는 데 도움이 됩니다. 그러나 핀에 만료 시간을 설정하면 고정 우회가 가능할 수도 있습니다.

res/xml/network_security_config.xml:

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <domain-config>
            <domain includeSubdomains="true">example.com</domain>
            <pin-set expiration="2018-01-01">
                <pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin>
                <!-- backup pin -->
                <pin digest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin>
            </pin-set>
        </domain-config>
    </network-security-config>
    

구성 상속 동작

특정 구성에서 설정되지 않은 값이 상속됩니다. 이렇게 하면 구성 파일을 읽을 수 있게 유지하면서도 더욱 복잡한 구성이 가능합니다.

특정 항목에서 값이 설정되어 있지 않으면 좀 더 일반적인 항목의 값이 사용됩니다. 예를 들어 domain-config에서 설정되지 않은 값은 중첩될 경우 상위 domain-config에서 가져오고, 중첩되지 않을 경우 base-config에서 가져옵니다. base-config에서 설정되지 않은 값은 플랫폼 기본값을 사용합니다.

예를 들어 example.com의 하위 도메인에 대한 모든 연결은 맞춤형 CA 세트를 사용하는 것을 고려해볼 수 있습니다. 또한, 이러한 도메인에 대한 일반 텍스트 트래픽은 secure.example.com에 연결할 때를 제외하고 허용됩니다. example.com에 대한 구성 내부에 secure.example.com에 대한 구성을 중첩하면 trust-anchors를 복제하지 않아도 됩니다.

res/xml/network_security_config.xml:

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <domain-config>
            <domain includeSubdomains="true">example.com</domain>
            <trust-anchors>
                <certificates src="@raw/my_ca"/>
            </trust-anchors>
            <domain-config cleartextTrafficPermitted="false">
                <domain includeSubdomains="true">secure.example.com</domain>
            </domain-config>
        </domain-config>
    </network-security-config>
    

구성 파일 형식

네트워크 보안 구성 기능은 XML 파일 형식을 사용합니다. 파일의 전반적 구조는 다음 코드 샘플에 나타나 있습니다.

    <?xml version="1.0" encoding="utf-8"?>
    <network-security-config>
        <base-config>
            <trust-anchors>
                <certificates src="..."/>
                ...
            </trust-anchors>
        </base-config>

        <domain-config>
            <domain>android.com</domain>
            ...
            <trust-anchors>
                <certificates src="..."/>
                ...
            </trust-anchors>
            <pin-set>
                <pin digest="...">...</pin>
                ...
            </pin-set>
        </domain-config>
        ...
        <debug-overrides>
            <trust-anchors>
                <certificates src="..."/>
                ...
            </trust-anchors>
        </debug-overrides>
    </network-security-config>
    

다음 섹션에서는 이 파일 형식의 구문과 기타 세부 정보를 설명합니다.

<network-security-config>

포함 가능한 항목:
<base-config> - 0 또는 1
<domain-config> - 임의의 수
<debug-overrides> - 0 또는 1

<base-config>

구문:
    <base-config cleartextTrafficPermitted=["true" | "false"]>
        ...
    </base-config>
    
포함 가능한 항목:
<trust-anchors>
설명:
대상이 domain-config에 포함되지 않는 모든 연결에서 사용되는 기본 구성입니다.

설정되지 않은 값은 플랫폼 기본값을 사용합니다.

Android 9(API 레벨 28) 이상을 타겟팅하는 앱의 기본 구성은 다음과 같습니다.

    <base-config cleartextTrafficPermitted="false">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
    

Android 7.0(API 레벨 24)부터 Android 8.1(API 레벨 27) 이상을 대상으로 하는 앱의 기본 구성은 다음과 같습니다.

    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
    

Android 6.0(API 레벨 23) 이하를 타겟팅하는 앱의 기본 구성은 다음과 같습니다.

    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
            <certificates src="user" />
        </trust-anchors>
    </base-config>
    

<domain-config>

구문:
<domain-config cleartextTrafficPermitted=["true" | "false"]>
        ...
    </domain-config>
다음을 포함할 수 있습니다.
<domain> - 1 이상
<trust-anchors> - 0 또는 1
<pin-set> - 0 또는 1
중첩된 <domain-config> - 임의의 수
설명
domain 요소에서 정의한 특정 대상에 대한 연결에 사용되는 구성입니다.

여러 domain-config 요소에서 하나의 대상을 포함하는 경우 가장 구체적인(가장 긴) 일치 도메인 규칙이 포함된 구성이 사용됩니다.

<domain>

구문:
    <domain includeSubdomains=["true" | "false"]>example.com</domain>
    
특성:
includeSubdomains
"true"인 경우 이 도메인 규칙이 도메인 및 모든 하위 도메인(하위 도메인의 하위 도메인 포함)과 일치합니다. 그렇지 않을 경우 이 규칙은 정확한 일치에만 적용됩니다.
설명:

<debug-overrides>

구문:
    <debug-overrides>
        ...
    </debug-overrides>
    
다음을 포함할 수 있습니다.
<trust-anchors> - 0 또는 1
설명:
android:debuggable"true"일 때 재정의를 적용합니다. 일반적으로 IDE와 빌드 도구에서 생성된 비 릴리스 빌드 사례입니다. debug-overrides에서 지정된 신뢰 앵커를 모든 다른 구성에 추가하고, 서버의 인증서 체인이 이러한 디버그 전용 신뢰 앵커 중 하나를 사용하면 고정을 수행하지 않습니다. android:debuggable"false"이면 이 섹션은 완전히 무시됩니다.

<trust-anchors>

구문:
    <trust-anchors>
    ...
    </trust-anchors>
    
다음을 포함할 수 있습니다.
<certificates> - 임의의 수
설명:
보안 연결에 대한 신뢰 앵커 세트입니다.

<certificates>

구문:
<certificates src=["system" | "user" | "raw resource"]
                  overridePins=["true" | "false"] />
    
설명:
trust-anchors 요소에 대한 X.509 인증서 세트입니다.
특성:
src
CA 인증서의 소스. 각 인증서는 다음 중 하나가 될 수 있습니다.
  • X.509 인증서를 포함한 파일을 가리키는 원시 리소스 ID. 인증서는 DER 또는 PEM 형식으로 암호화해야 합니다. PEM 인증서의 경우, 파일에 코멘트와 같은 PEM이 아닌 추가 데이터를 포함해서는 안 됩니다.
  • 사전 설치된 시스템 CA 인증서인 경우 "system"
  • 사용자가 추가한 CA 인증서인 경우 "user"
overridePins

이 소스의 CA가 인증서 고정을 우회할지 지정합니다. "true"인 경우, 이 소스의 CA 중 하나에 의해 서명된 인증서 체인에는 고정이 수행되지 않습니다. 이것은 CA를 디버깅하거나 앱의 보안 트래픽에 대해 중간자(man-in-the-middle) 공격을 테스트하는 데 유용할 수 있습니다.

debug-overrides 요소에서 지정되지 않은 경우 기본값은 "false"이고, 지정된 경우 기본값은 "true"입니다.

<pin-set>

구문:
    <pin-set expiration="date">
    ...
    </pin-set>
    
다음을 포함할 수 있습니다.
<pin> - 임의의 수
설명:
공개 키 핀 세트입니다. 신뢰할 수 있는 보안 연결의 경우 신뢰 체인의 공개 키 중 하나가 핀 세트에 포함되어야 합니다. 핀 형식은 <pin>을 참조하세요.
특성:
expiration
핀이 만료되어 고정이 사용 중지되는 yyyy-MM-dd 형식의 날짜입니다. 이 속성을 설정하지 않으면 핀이 만료되지 않습니다.

만료는 어떤 이유(예: 사용자가 앱 업데이트를 사용 중지)로 핀 세트가 업데이트되지 않는 앱에서 연결 문제를 예방하는 데 유용합니다.

<pin>

구문:
    <pin digest=["SHA-256"]>base64 encoded digest of X.509
        SubjectPublicKeyInfo (SPKI)</pin>
    
특성:
digest
핀을 생성하는 데 사용된 다이제스트 알고리즘. 현재는 "SHA-256"만 지원됩니다.

참고 자료

네트워크 보안 구성에 대한 자세한 내용은 다음 리소스를 참조하세요.

코드랩