Mozilla에서 Apache, Nginx 등의 SSL 설정 내용을 생성해 주는 페이지가 있다.
Mozilla SSL configuration generator
https://mozilla.github.io/server-side-tls/ssl-config-generator
SSL 설정이 얼마나 잘 되었는지, 해당 도메인으로 접속했을 때 얼마나 안전한지, 접속 호환성이 있는지 확인할 수 있는 페이지가 있다. 테스트 결과를 등급과 점수로 제시하고 있어서, 현재 운용중인 사이트의 보안 수준을 확인하기에 좋다.
SSL Security Test
https://www.ssllabs.com/ssltest
SSL 보안 테스트를 한 후, XP에 IE 8인 경우 서비스를 제공할 수 없는 상태라는 것을 확인하였다. 그리고 해당 운영체제와 브라우저를 지원하려면 nginx를 해당 알고리즘을 지원하도록 다시 컴파일해서 설정하면 된다고 한다.
참고자료: https://ablagoev.github.io/ssl/nginx/ie8/winxp/cipher/2016/12/23/ie8-winxp-nginx-ssl.html
이런 정보를 알게된 후 XP 운영체제에서의 IE 8의 호환성을 제공하는 것이 중요한지 의문이 들었다. 게다가 해당 환경에서 사용할 알고리즘은 이미 보안 취약성을 가져서, 안전하지 않다. 진정으로 사용자를 위하는 길이 XP의 IE 8 호환성을 유지하는 것일까? 아니면 조금 위험하더라도 사용자가 접속할 수 있도록 길을 터 주어야 하는 것일까. 다시 말해서, 모든 사용자가 차별받지 않고 서비스를 이용할 수 있어야 하는가. 아니면 일부 소외된다 하더라도 안전한 서비스를 제공할 것인가의 문제다.
서비스를 제공하는 입장에서 XP 운영체제에 IE 8을 사용해야만 하는 사용자에게 미안한 마음이 들거나, 서비스를 이용하지 못하게 되는 것에 대한 아쉬움이 있을 수 있다. 하지만, 그 미안함과 아쉬움 때문에 사용자를 위험에 빠뜨려서는 안 될 것이다. 따라서 안전한 서비스를 제공하고 사용자에게 이용할 수 있는 안전한 환경을 제시하는 게 더 나은 길이라 생각한다.
간밤에 글을 쓰고 다시 고민해 보았다. 그럼에도 불구하고 어쩔 수 없는 타협점이 필요할 것이라는 생각이 들었다. 취약점이 모두 제거된 최신 브라우저나 단말기 사용자만 지원하는 게 보안상 더 안전할 수는 있겠지만, 과도하게 사용자의 접근성을 제한할 수도 있겠다는 생각이 들었다. 그런 지점에서 본다면, 서비스의 보안 담당자는 적절한 타협점을 찾고 의사결정을 하는 과정이 필요할 것이다.