DevOps 지식 허브
DevOps 지식 허브

HTTPS로 Nginx 보안 설정하기: 단계별 가이드

이 포괄적인 단계별 가이드에서 Nginx 웹 서버를 HTTPS로 안전하게 설정하는 방법을 알아보세요. Let's Encrypt에서 Certbot을 사용하여 무료 SSL/TLS 인증서를 얻는 방법, 암호화된 연결을 위한 Nginx 설정, HSTS와 같은 필수 보안 조치 구현을 다룹니다. 올바르게 설정된 HTTPS 구성을 통해 데이터를 보호하고 사용자 신뢰를 구축하며 SEO를 개선하세요.

70 조회수

Nginx 보안 강화: HTTPS 적용 단계별 가이드

오늘날 디지털 환경에서 보안은 무엇보다 중요합니다. Nginx 웹 서버에 HTTPS(Hypertext Transfer Protocol Secure)를 활성화하는 것은 더 이상 선택 사항이 아니라, 민감한 데이터를 보호하고 사용자 신뢰를 구축하며 웹사이트의 검색 엔진 순위를 개선하기 위한 기본 요구 사항입니다. HTTPS는 사용자 브라우저와 서버 간의 통신을 암호화하여 도청을 방지하고 전송되는 정보의 무결성을 보장합니다.

이 가이드에서는 SSL/TLS 인증서를 사용하여 Nginx 서버를 보호하고 HTTPS를 활성화하는 필수 단계를 안내합니다. 인증서 획득, 인증서 사용을 위한 Nginx 설정, 그리고 모든 것이 올바르게 작동하는지 확인하기 위한 기본 검증 과정을 다룰 것입니다. 이 가이드가 끝나면 더 안전하고 신뢰할 수 있는 웹 환경을 갖추게 될 것입니다.

1. SSL/TLS 인증서 이해하기

설정을 시작하기 전에 SSL/TLS 인증서가 무엇인지 간략하게 살펴보겠습니다. SSL/TLS 인증서는 웹사이트의 신원을 인증하고 암호화된 연결을 활성화하는 디지털 인증서입니다. 브라우저가 HTTPS를 사용하여 웹사이트에 연결할 때, 웹사이트의 인증서를 확인하여 신뢰성을 검증하고 안전하고 암호화된 채널을 설정합니다.

여러 유형의 인증서가 있지만, 대부분의 웹사이트에는 도메인 검증(DV) 인증서로 충분합니다. 이 유형의 인증서는 신청자가 도메인 이름을 제어하는지 확인하지만, 도메인 뒤에 있는 조직에 대한 광범위한 확인은 수행하지 않습니다.

2. SSL/TLS 인증서 얻기

Nginx 서버용 SSL/TLS 인증서를 얻는 두 가지 주요 방법이 있습니다:

  • Let's Encrypt (무료 및 자동화): Let's Encrypt는 무료, 자동화, 개방형 인증 기관입니다. 사용 편의성과 비용 효율성 때문에 대부분의 사용자에게 강력히 권장됩니다. Certbot과 같은 도구를 사용하여 인증서 획득 및 갱신 프로세스를 자동화할 수 있습니다.
  • 상용 인증 기관 (유료): Comodo, DigiCert, GoDaddy와 같은 상용 CA에서 인증서를 구매할 수도 있습니다. 이러한 인증서는 종종 확장 검증(EV) 또는 조직 검증(OV) 인증서를 제공하며, 이는 더 높은 수준의 신뢰를 제공하지만 비용이 발생하고 검증 절차가 더 복잡합니다.

이 가이드에서는 가장 접근하기 쉽고 널리 채택된 방법인 Let's Encrypt와 Certbot 사용에 중점을 둘 것입니다.

2.1 Certbot 설치

Certbot은 Let's Encrypt 인증서 획득 및 갱신 프로세스를 자동화하는 클라이언트입니다. 설치 과정은 운영 체제 및 Nginx 설정에 따라 약간씩 다릅니다.

Debian/Ubuntu의 경우:

sudo apt update
sudo apt install certbot python3-certbot-nginx

CentOS/RHEL/Fedora의 경우:

sudo yum install epel-release
sudo yum install certbot python3-certbot-nginx

중요 참고: 진행하기 전에 Nginx가 실행 중이고 HTTP를 통해 도메인 이름으로 액세스할 수 있는지 확인하십시오. Certbot은 도메인 소유권을 확인하기 위해 서버와 통신해야 합니다.

2.2 Certbot을 사용하여 인증서 얻기

Certbot이 설치되면 이를 사용하여 도메인에 대한 인증서를 얻을 수 있습니다. Certbot은 자동으로 Nginx를 구성해 줄 수 있습니다.

Nginx 설정 디렉토리로 이동하십시오. 정확한 경로는 다를 수 있지만 일반적으로 /etc/nginx/sites-available/입니다.

your_domain.comwww.your_domain.com을 실제 도메인 이름으로 바꾸고 다음 명령을 실행하십시오:

sudo certbot --nginx -d your_domain.com -d www.your_domain.com

그런 다음 Certbot은 다음을 수행합니다:

  1. 이메일 주소 요청: 중요 갱신 알림 및 보안 경고에 사용됩니다.
  2. 서비스 약관 동의 요청: 읽고 동의하십시오.
  3. EFF와 이메일 공유 여부 질문: 선택 사항입니다.
  4. 기존 Nginx 가상 호스트 감지: 발견된 도메인을 나열합니다.
  5. HTTPS 처리 방법 질문: 일반적으로 두 가지 옵션이 있습니다.
    • 1: 리디렉션 없음 - HTTP와 HTTPS를 모두 제공하지만 HTTP 트래픽을 HTTPS로 리디렉션하지는 않습니다.
    • 2: 리디렉션 - 모든 HTTP 트래픽을 HTTPS로 자동 리디렉션합니다. 대부분의 사용자에게 권장되는 옵션입니다.

더 안전한 설정을 위해 옵션 2를 선택하십시오.

성공하면 Certbot은 인증서가 설치되었음을 알리고 자동 갱신을 설정합니다.

3. Nginx 구성 확인

Certbot 실행 후, 새 SSL/TLS 인증서를 사용하도록 Nginx 구성 파일을 자동으로 수정하고 선택한 경우 리디렉션을 설정합니다.

3.1 Nginx 구성 파일 확인

사이트의 Nginx 구성 파일(예: /etc/nginx/sites-available/your_domain.com)을 검사하여 변경 사항을 확인할 수 있습니다. 다음과 같은 지시어를 찾아야 합니다.

server {
    listen 80;
    server_name your_domain.com www.your_domain.com;
    return 301 https://$host$request_uri;
}

server {
    listen 443 ssl;
    server_name your_domain.com www.your_domain.com;

    ssl_certificate /etc/letsencrypt/live/your_domain.com/fullchain.pem;
    ssl_certificate_key /etc/letsencrypt/live/your_domain.com/privkey.pem;

    include /etc/letsencrypt/options-ssl-nginx.conf;
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;

    # ... 기타 사이트 구성 ...
}
  • 첫 번째 server 블록은 포트 80(HTTP)에서 수신 대기하고 모든 요청을 HTTPS로 리디렉션합니다.
  • 두 번째 server 블록은 포트 443(SSL/TLS)에서 수신 대기하고 인증서(ssl_certificate) 및 개인 키(ssl_certificate_key)의 경로를 지정합니다.
  • include /etc/letsencrypt/options-ssl-nginx.conf;는 Nginx에 권장되는 SSL 매개변수를 포함합니다.
  • ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem;는 Diffie-Hellman 매개변수 교환에 사용되어 보안을 강화합니다.

3.2 Nginx 구성 테스트

Nginx를 다시 로드하기 전에 구성에 구문 오류가 있는지 테스트하는 것이 중요합니다.

sudo nginx -t

테스트가 성공하면 다음과 유사한 출력이 표시됩니다.

nginx: the configuration file /etc/nginx/nginx.conf syntax is ok
nginx: configuration file /etc/nginx/nginx.conf test is successful

3.3 Nginx 다시 로드

구성 테스트가 통과되면 Nginx를 다시 로드하여 변경 사항을 적용합니다.

sudo systemctl reload nginx

3.4 브라우저에서 HTTPS 확인

웹 브라우저를 열고 https://your_domain.com을 사용하여 도메인으로 이동하십시오. 주소 표시줄에 자물쇠 아이콘이 표시되어야 하며, 이는 안전한 연결을 나타냅니다. 자물쇠를 클릭하면 인증서에 대한 자세한 정보를 볼 수 있습니다.

4. 자동 갱신

Let's Encrypt 인증서는 90일 동안 유효합니다. Certbot은 인증서가 만료되기 전에 자동으로 갱신하도록 시스템 서비스(일반적으로 cron 작업 또는 systemd 타이머)를 구성합니다. 실제 인증서를 갱신하지 않고 갱신 프로세스를 테스트하려면 다음을 실행하십시오.

sudo certbot renew --dry-run

이 명령은 갱신 프로세스를 시뮬레이션하고 잠재적인 문제를 알려줍니다.

5. 고급 SSL/TLS 구성 (선택 사항)

Certbot은 대부분의 기본 구성을 처리하지만, 보안 또는 성능 향상을 위해 SSL/TLS 설정을 미세 조정하고 싶을 수 있습니다.

5.1 SSL 프로토콜 버전

SSLv2, SSLv3 및 TLSv1.0, TLSv1.1과 같은 이전의 안전하지 않은 SSL/TLS 프로토콜 버전을 비활성화하는 것이 좋습니다. 최신 브라우저와 서버는 TLSv1.2 및 TLSv1.3을 지원합니다.

server 블록( 443 ssl 구성 내)에 ssl_protocols 지시문을 추가하거나 수정하십시오.

ssl_protocols TLSv1.2 TLSv1.3;

5.2 암호 스위트

암호 스위트는 SSL/TLS 연결에 사용되는 암호화 알고리즘을 결정합니다. 강력한 암호화를 보장하기 위해 선호하는 암호 스위트를 지정할 수 있습니다.

ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers off;

팁: Mozilla SSL 구성 생성기와 같은 온라인 도구를 사용하여 서버 기능에 맞게 조정된 권장 SSL 설정을 생성할 수 있습니다.

5.3 HSTS (HTTP Strict Transport Security)

HSTS는 브라우저가 HTTPS를 통해서만 웹사이트와 상호 작용하도록 강제하는 보안 기능입니다. 브라우저가 HSTS가 활성화된 사이트를 방문하면, 사용자가 http://를 입력하거나 http:// 링크를 클릭하더라도 향후 모든 방문에 대해 자동으로 HTTPS를 사용합니다.

HSTS를 활성화하려면 포트 443에서 수신 대기하는 server 블록에 다음을 추가하십시오.

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
  • max-age=31536000: 브라우저가 HTTPS만 사용하도록 기억해야 하는 기간을 설정합니다(31,536,000초 = 1년).
  • includeSubDomains: HSTS 정책을 모든 하위 도메인에 적용합니다.

경고: HSTS는 주의해서 활성화하십시오. 설정하면 되돌리기 어렵습니다. 테스트 중에는 짧은 max-age 값(예: 1시간)으로 시작하십시오. 긴 max-age를 설정하기 전에 HTTPS가 완벽하게 작동하는지 확인하십시오.

6. 일반적인 문제 해결

  • Certbot이 도메인 확인에 실패하는 경우:
    • 도메인의 DNS 레코드가 서버의 IP 주소를 올바르게 가리키는지 확인하십시오.
    • Nginx가 실행 중이고 포트 80에서 HTTP로 액세스 가능한지 확인하십시오.
    • 방화벽 규칙을 확인하여 포트 80이 열려 있는지 확인하십시오.
  • Nginx가 다시 로드되지 않는 경우:
    • sudo nginx -t를 실행하여 구성 파일의 구문 오류를 식별하십시오.
    • Nginx 오류 로그(/var/log/nginx/error.log)를 확인하십시오.
  • HTTPS를 통해 웹사이트에 액세스할 수 없는 경우:
    • 방화벽에서 포트 443이 열려 있는지 확인하십시오.
    • listen 443 ssl; 지시문이 올바르게 존재하고 있는지 확인하십시오.
    • ssl_certificatessl_certificate_key의 경로가 정확한지 확인하십시오.

결론

HTTPS로 Nginx 서버를 보호하는 것은 신뢰할 수 있고 안전한 온라인 환경을 구축하기 위한 중요한 단계입니다. 이 가이드를 따르면 SSL/TLS 인증서를 얻고 구성하는 방법, 자동 갱신, 기본 보안 강화 구현 방법을 배웠습니다. SSL/TLS 구성을 정기적으로 검토하고 서버 소프트웨어를 최신 상태로 유지하는 것은 강력한 보안을 유지하기 위한 필수적인 관행입니다.

HIPPS를 구현하는 것은 최신 웹 서버 관리의 중요한 단계입니다. 사용자의 데이터를 보호할 뿐만 아니라 사이트의 평판과 검색 엔진 가시성에도 긍정적인 영향을 미칩니다. 서버 성능과 복원력을 더욱 향상시키기 위해 고급 Nginx 구성 및 보안 모범 사례를 계속 탐색하십시오.