네트워크 보안 구성

네트워크 보안 구성 기능을 사용하면 앱 코드를 수정하지 않고도 앱이 안전한 선언적 구성 파일에서 네트워크 보안 설정을 사용자 지정할 수 있습니다. 이 설정은 특정 도메인과 특정 앱에 대해 구성할 수 있습니다. 이 기능의 핵심 요소는 다음과 같습니다.

  • 사용자 지정 신뢰 앵커: 앱의 보안 연결에 대해 신뢰할 수 있는 인증 기관(CA)을 사용자 지정합니다. 예를 들어, 특정한 자체 서명 인증서를 신뢰하거나 앱이 신뢰하는 공개 CA 세트를 제한합니다.
  • 디버그 전용 재정의: 설치된 기반에 위험을 더하지 않고도, 앱의 보안 연결을 안전하게 디버그할 수 있습니다.
  • 일반 텍스트 트래픽 옵트아웃: 일반 텍스트 트래픽을 실수로 사용하지 않도록 앱을 보호합니다.
  • 인증서 고정: 앱의 안전한 연결을 특정 인증서로 제한합니다.

보안 구성 파일 추가

네트워크 보안 구성 기능은 XML 파일을 사용해서 앱의 설정을 지정합니다. 앱 매니페스트에 이 파일을 가리키는 항목을 포함해야 합니다. 매니페스트에서 발췌한 다음 코드는 이 항목을 생성하는 방법을 보여줍니다.

<?xml version="1.0" encoding="utf-8"?>
<manifest ... >
    <application android:networkSecurityConfig="@xml/network_security_config"
                    ... >
        ...
    </application>
</manifest>

신뢰할 수 있는 CA 사용자 지정

앱에서 플랫폼 기본값 대신 사용자 지정 CA 세트를 신뢰하고자 할 수 있습니다. 가장 일반적인 이유는 다음과 같습니다.

  • 사용자 지정 인증 기관(예: 자체 서명하거나 회사 내부에서 발급된 CA)을 통해 호스트에 연결.
  • 모든 사전 설치된 CA 대신 신뢰할 수 있는 CA로만 CA 세트를 제한.
  • 시스템에 포함되지 않은 추가 CA를 신뢰.

기본적으로, 모든 앱의 보안 연결(TLS 및 HTTPS과 같은 프로토콜 사용)은 사전 설치된 시스템 CA를 신뢰하며, 또한 Android 6.0(API 레벨 23) 이하를 대상으로 하는 앱도 사용자가 추가한 CA 스토어를 기본적으로 신뢰합니다. 앱은 base-config(앱 전체 사용자 지정) 또는 domain-config(도메인별 사용자 지정)를 사용하여 연결을 사용자 지정할 수 있습니다.

사용자 지정 CA 구성

자체 서명된 인증서를 사용하는 호스트나 신뢰할 수 있는 비공개 CA(예: 사내 CA)에서 발급한 SSL 인증서를 사용하는 호스트에 연결할 경우를 가정합시다.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

자체 서명된 인증서 또는 비공개 CA 인증서를 PEM 또는 DER 형식으로 res/raw/my_ca에 추가합니다.

신뢰할 수 있는 CA 세트 제한

앱에서 시스템이 신뢰하는 CA 중 일부를 신뢰하지 않으려면, 대신 신뢰할 CA 세트를 줄여서 지정할 수 있습니다. 이 방법은 다른 CA에서 발급된 허위 인증서로부터 앱을 보호해줍니다.

신뢰할 수 있는 CA 세트를 제한하는 구성은 특정 도메인에서 사용자 지정 CA를 신뢰하는 것과 비슷하지만 여러 CA가 리소스에서 제공된다는 점이 다릅니다.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">secure.example.com</domain>
        <domain includeSubdomains="true">cdn.example.com</domain>
        <trust-anchors>
            <certificates src="@raw/trusted_roots"/>
        </trust-anchors>
    </domain-config>
</network-security-config>

신뢰할 수 있는 CA를 PEM 또는 DER 형식으로 res/raw/trusted_roots에 추가합니다. PEM 형식을 사용할 경우 파일에 PEM 데이터 포함되고 다른 추가 텍스트가 포함되어서는 안 됩니다. 또한 한 개가 아니라 여러 개의 <certificates> 요소를 제공할 수 있습니다.

추가 CA 신뢰

앱에서 시스템이 신뢰하지 않는 CA를 신뢰하고자 한다면, 이는 시스템에 해당 CA가 아직 포함되지 않았거나 CA가 Android 시스템에 포함되기 위한 요구사항을 충족하지 못했기 때문일 수 있습니다. 앱은 구성에 대해 여러 개의 인증서 소스를 지정하여 신뢰할 수 있는 CA를 추가할 수 있습니다.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="@raw/extracas"/>
            <certificates src="system"/>
        </trust-anchors>
    </base-config>
</network-security-config>

디버그용 CA 구성

HTTPS로 연결되는 앱을 디버그할 때 프로덕션 서버에 SSL 인증서가 없는 로컬 개발 서버로 연결하고자 할 수도 있습니다. 앱 코드를 수정하지 않고 이 기능을 지원하려면, debug-overrides를 사용하여 오직 android:debuggabletrue일 때만 신뢰할 수 있는 디버그 전용 CA를 지정할 수 있습니다. 일반적으로 IDE 및 빌드 도구는 비 릴리스 빌드에 대해 이 플래그를 자동으로 설정합니다.

보안 예방 조치로 앱 스토어에서 디버그 가능으로 표시된 앱은 허용하지 않기 때문에 일반적인 조건 코드보다 안전합니다.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <debug-overrides>
        <trust-anchors>
            <certificates src="@raw/debug_cas"/>
        </trust-anchors>
    </debug-overrides>
</network-security-config>

일반 텍스트 트래픽 옵트아웃

보안 연결만 사용하여 대상에 연결하는 애플리케이션은 해당 대상에 대해 일반 텍스트를 지원하는 기능(HTTPS 대신 암호화되지 않은 HTTP 프로토콜 사용)을 옵트아웃할 수 있습니다. 이 옵션은 백엔드 서버 등의 외부 소스가 제공하는 URL의 변경 사항으로 인해 앱에서 우연히 회귀가 일어나지 않도록 예방합니다. 자세한 내용은 NetworkSecurityPolicy.isCleartextTrafficPermitted()를 참조하세요.

예를 들어, 앱에서 적대적 네트워크로부터 민감한 트래픽을 보호하기 위해 secure.example.com에 대한 연결은 항상 HTTPS를 통해서만 수행되도록 할 수 있습니다.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config cleartextTrafficPermitted="false">
        <domain includeSubdomains="true">secure.example.com</domain>
    </domain-config>
</network-security-config>

인증서 고정

일반적으로 앱은 모든 사전 설치된 CA를 신뢰합니다. 이러한 CA에서 허위 인증서를 발급한다면 앱이 중간자(man-in-the-middle) 공격에 노출될 위험이 있습니다. 일부 앱은 신뢰하는 CA 세트를 제한하거나 인증서를 고정하는 방식으로 허용하는 인증서 세트를 제한합니다.

인증서 고정은 공개 키 해시(X.509 인증서의 SubjectPublicKeyInfo)로 인증서 세트를 제공하는 방식으로 수행됩니다. 그러면 인증서 체인에 하나 이상의 고정된 공개 키가 있어야만 인증서 체인이 유효합니다.

인증서 고정을 사용할 때는 언제나 백업 키를 포함해야 새로운 키로 강제 전환하거나 CA를 변경할 경우(CA 인증서 또는 해당 CA의 중간 CA에 고정할 경우) 앱 연결이 영향을 받지 않습니다. 그렇지 않으면 연결을 복구하기 위해 앱에 업데이트를 내보내야 합니다.

또한, 핀 만료 시간을 설정하여 핀 만료 시간이 지나면 고정이 수행되지 않도록 할 수 있습니다. 이는 업데이트되지 않은 앱에서 연결 문제를 예방해 줍니다. 그러나 핀에 만료 시간을 설정하면 고정 우회가 가능할 수도 있습니다.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <pin-set expiration="2018-01-01">
            <pin digest="SHA-256">7HIpactkIAq2Y49orFOOQKurWxmmSFZhBCoQYcRhJ3Y=</pin>
            <!-- backup pin -->
            <pin digest="SHA-256">fwza0LRMXouZHRC8Ei+4PyuldPDcf3UKgO/04cDM1oE=</pin>
        </pin-set>
    </domain-config>
</network-security-config>

구성 상속 동작

특정 구성에서 설정되지 않은 값이 상속됩니다. 이 동작은 구성 파일을 읽을 수 있게 유지하면서도 더욱 복잡한 구성이 가능합니다.

특정 항목에 값이 설정되지 않았다면 보다 일반적인 항목의 값이 사용됩니다. 예를 들어, domain-config에서 설정되지 않은 값은 중첩될 경우 상위 domain-config에서 가져오고 그렇지 않을 경우 base-config에서 가져옵니다. base-config에서 설정되지 않은 값은 플랫폼 기본값을 사용합니다.

예를 들어, example.com의 하위 도메인에 대한 모든 연결은 사용자 지정 CA 세트를 사용해야 합니다. 또한, 이러한 도메인에 대한 일반 텍스트 트래픽은 secure.example.com에 연결할 때를 제외하고 허용됩니다. example.com 구성 내부에 secure.example.com 구성을 중첩하면 trust-anchors를 복제하지 않아도 됩니다.

res/xml/network_security_config.xml:

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <domain-config>
        <domain includeSubdomains="true">example.com</domain>
        <trust-anchors>
            <certificates src="@raw/my_ca"/>
        </trust-anchors>
        <domain-config cleartextTrafficPermitted="false">
            <domain includeSubdomains="true">secure.example.com</domain>
        </domain-config>
    </domain-config>
</network-security-config>

구성 파일 형식

네트워크 보안 구성 기능은 XML 파일 형식을 사용합니다. 파일의 전반적 구조는 다음 코드 샘플에 나타나 있습니다.

<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config>
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
    </base-config>

    <domain-config>
        <domain>android.com</domain>
        ...
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
        <pin-set>
            <pin digest="...">...</pin>
            ...
        </pin-set>
    </domain-config>
    ...
    <debug-overrides>
        <trust-anchors>
            <certificates src="..."/>
            ...
        </trust-anchors>
    </debug-overrides>
</network-security-config>

다음 섹션에서는 이 파일 형식의 구문과 기타 세부 정보를 설명합니다.

<network-security-config>

다음을 포함할 수 있습니다.
<base-config> - 0개 또는 1개
<domain-config> - 임의의 개수
<debug-overrides> - 0개 또는 1개

<base-config>

구문:
<base-config cleartextTrafficPermitted=["true" | "false"]>
    ...
</base-config>
다음을 포함할 수 있습니다.
<trust-anchors>
설명:
대상이 domain-config에 포함되지 않는 모든 연결에서 사용하는 기본 구성입니다.

설정되지 않은 값은 플랫폼 기본값을 사용합니다. Android 7.0(API 레벨 24) 이상을 대상으로 하는 앱의 기본 구성은 다음과 같습니다.

<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
    </trust-anchors>
</base-config>
Android 6.0(API 레벨 23) 이하를 대상으로 하는 앱의 기본 구성은 다음과 같습니다.
<base-config cleartextTrafficPermitted="true">
    <trust-anchors>
        <certificates src="system" />
        <certificates src="user" />
    </trust-anchors>
</base-config>

<domain-config>

구문:
<domain-config cleartextTrafficPermitted=["true" | "false"]>
    ...
</domain-config>
다음을 포함할 수 있습니다.
<domain> - 1개 이상
<trust-anchors> - 0개 또는 1개
<pin-set> - 0개 또는 1개
중첩된 <domain-config> - 임의의 개수
설명
domain 요소에서 정의한 특정 대상에 대한 연결에 사용되는 구성입니다.

참고: 여러 domain-config 요소에서 대상을 포함하는 경우 가장 구체적인(가장 긴) 일치 도메인이 포함된 구성이 사용됩니다.

<domain>

구문:
<domain includeSubdomains=["true" | "false"]>example.com</domain>
특성:
includeSubdomains
"true"인 경우 이 도메인 규칙이 도메인 및 모든 하위 도메인(하위 도메인의 하위 도메인 포함)과 일치합니다. 그렇지 않을 경우 이 규칙은 정확한 일치에만 적용됩니다.
설명:

<debug-overrides>

구문:
<debug-overrides>
    ...
</debug-overrides>
다음을 포함할 수 있습니다.
<trust-anchors> - 0개 또는 1개
설명:
android:debuggable"true"일 때 재정의를 적용합니다. 일반적으로 IDE와 빌드 도구에서 생성한 비 릴리스 빌드에 해당합니다. debug-overrides에서 지정된 신뢰 앵커를 모든 다른 구성에 추가하고, 서버의 인증서 체인이 이러한 디버그 전용 신뢰 앵커 중 하나를 사용하면 고정을 수행하지 않습니다. android:debuggable"false"이면 이 섹션은 완전히 무시됩니다.

<trust-anchors>

구문:
<trust-anchors>
...
</trust-anchors>
다음을 포함할 수 있습니다.
<certificates> - 임의의 개수
설명:
보안 연결에 대한 신뢰 앵커 세트입니다.

<certificates>

구문:
<certificates src=["system" | "user" | "raw resource"]
              overridePins=["true" | "false"] />
설명:
trust-anchors 요소에 대한 X.509 인증서 세트입니다.
특성:
src
CA 인증서의 소스. 각 인증서는 다음 중 하나가 될 수 있습니다.
  • X.509 인증서를 포함한 파일을 가리키는 원시 리소스 ID. 인증서는 DER 또는 PEM 형식으로 암호화해야 합니다. PEM 인증서의 경우, 파일에는 코멘트와 같은 PEM이 아닌 추가 데이터가 포함되어서는 안 됩니다.
  • 사전 설치된 시스템 CA 인증서의 "system"
  • 사용자가 추가한 CA 인증서의 "user"
overridePins

이 소스의 CA가 인증서 고정을 우회할지 지정합니다. "true"인 경우, 이 소스의 CA 중 하나에 의해 서명된 인증서 체인에는 고정이 수행되지 않습니다. 이것은 CA를 디버깅하거나 앱의 보안 트래픽에 대해 중간자(man-in-the-middle) 공격을 테스트하는 데 유용할 수 있습니다.

debug-overrides 요소에서 지정되지 않은 경우 기본값은 "false"입니다. 지정된 경우 기본값은 "true"입니다.

<pin-set>

구문:
<pin-set expiration="date">
...
</pin-set>
다음을 포함할 수 있습니다.
<pin> - 임의의 개수
설명:
공개 키 핀 세트입니다. 신뢰할 수 있는 보안 연결은 신뢰 체인의 공개 키 중 하나가 핀 세트에 포함되어야 합니다. 핀 형식은 <pin>을 참조하세요.
특성:
expiration
핀이 만료되는 yyyy-MM-dd 형식의 날짜이며, 이에 따라 고정이 비활성화됩니다. 이 속성이 설정되지 않으면 핀이 만료되지 않습니다.

만료는 어떤 이유(예: 사용자가 앱 업데이트를 비활성화)로 핀 세트가 업데이트되지 않는 앱에서 연결 문제를 예방하는 데 유용합니다.

<pin>

구문:
<pin digest=["SHA-256"]>base64 encoded digest of X.509
    SubjectPublicKeyInfo (SPKI)</pin>
특성:
digest
핀을 생성하는 데 사용된 다이제스트 알고리즘. 현재는 "SHA-256"만 지원됩니다.