[AWS] Amazon CloudFront TLS 1.3 적용 방법

Amazon CloudFront 가 이제 Origin (백엔드 서버, S3, ALB 등) 과의 통신에서 TLS 1.3을 지원한다고 공식 발표했습니다. 이제 설정 변경 없이도 보안과 성능을 동시에 개선할 수 있게 되었습니다.

배경

• 기존 CloudFront는 Viewer ↔ Edge 간 통신에 TLS 1.3을 지원해 왔고, Origin ↔ CloudFront 구간은 TLS 1.2가 상한이었습니다.
• 이번 업데이트로, 오리진이 TLS 1.3을 지원한다면 CloudFront도 TLS 1.3으로 자동 협상하면서 핸드셰이크 지연을 줄이고 보안 수준을 높일 수 있게 되었습니다.
• 중요한 점: 별도 설정 변경은 필요 없다는 것입니다. 즉, 기존 구성 그대로 두더라도, 오리진이 TLS 1.3을 수용 가능하면 즉시 혜택을 볼 수 있습니다.

설정 확인 및 준비

CloudFront와 Origin 간 TLS 1.3 적용을 확인하려면 다음을 체크해야 합니다.

1. 오리진이 TLS 1.3을 지원하는지 확인

오리진이 되는 서버 또는 로드밸런서(ALB, NLB 등), 또는 S3 등 스토리지 서비스가 TLS 1.3을 지원해야 합니다. 예를 들어 ALB의 경우 TLS 1.3 보안 정책을 사용하도록 설정해야 합니다. 실제 사례에서는 이 조건만 충족하면, CloudFront → ALB 간 통신이 TLS 1.3 으로 동작하는 것이 확인되었습니다.

2. CloudFront 설정은 기본 유지

CloudFront 배포 설정(Origins 섹션)에서 특별히 OriginSSLProtocols에 TLS 1.3을 추가하거나 변경할 필요는 없습니다. 기존 TLSv1.2 설정만으로도, 오리진이 TLS 1.3을 지원하면 자동 협상이 이뤄집니다.

3. 인증서 및 암호화 설정

오리진이 사용하는 인증서는 TLS 요구사항을 충족해야 합니다. CloudFront는 RSA 또는 ECDSA 인증서를 지원하며, 인증서가 제대로 설정되어 있어야 TLS 연결이 성공합니다.

동작 확인 방법

TLS 1.3 적용 여부는 실제 요청 로그나 오리진 로그를 통해 확인하는 것이 가장 확실합니다. 아래는 검증 예시입니다.

• CloudFront → ALB 로 연결되는 경우, ALB의 액세스 로그를 확인
  • TLS 프로토콜과 암호화 스위트 정보가 남음
  • 예시: TLSv1.3, TLS_AES_128_GCM_SHA256 과 같은 항목이 찍히면 TLS 1.3로 성공적으로 연결된 것을 확인할 수 있습니다.
• 만약 오리진이 TLS 1.2만 지원하도록 설정된 경우엔 자동으로 TLS 1.2로 다운그레이드됩니다. 호환성은 유지됩니다.

이 과정을 스테이징 환경이나 개발 환경에서 한 번 점검해보는 것이 좋습니다.

실전 적용 팁

• 오리진을 먼저 TLS 1.3 지원 가능한 설정으로 변경
  • 예: ALB의 SSL 정책을 TLS 1.3 포함 정책으로 변경
  • 또는 커스텀 서버라면 OpenSSL 혹은 웹서버 설정에서 TLS 1.3 활성화
• CloudFront는 별도 조치 없이 유지
  • 크게 작업할 필요 없이 자동 협상이 되므로 배포나 설정 변경 없이 바로 사용 가능
• 운영 중 모니터링 및 로그 기록 활성화
  • 오리진 로그를 보면 TLS 버전과 암호화 스위트까지 남기 때문에, TLS 1.3 적용 여부를 장기간 추적 가능
  • 만약 TLS 1.2로 접속되는 요청이 있다면, 오리진 설정/인증서/클라이언트 호환성 점검 필요

유의사항

• TLS 1.3 지원은 CloudFront 설정 변경 없이 가능하지만, 오리진이 TLS 1.3을 지원해야만 의미가 있습니다.
• 만약 오리진이 TLS 1.2만 지원한다면, CloudFront → Origin 간 통신은 기존 TLS 1.2로 동작합니다. 다운그레이드가 자동으로 이뤄집니다.
• 인증서 체인, 암호화 스위트 지원 여부, 클라이언트 요청 헤더 등도 TLS 협상에 영향을 줄 수 있으므로, 오리진 서버 설정을 반드시 점검해야 합니다.

마무리

CloudFront → Origin 구간에 TLS 1.3이 자동으로 적용된다는 이번 업데이트는, 기존 CDN + Origin 구조를 사용하는 서비스에게는 보안 강화 + 성능 향상이라는 두 가지 혜택을 동시에 주는 변화입니다.

설정 변경 없이 바로 적용되므로, 먼저 오리진 서버가 TLS 1.3을 수용 가능한지 점검해보시고, 문제가 없다면 바로 프로덕션에도 반영해보시는 것도 좋을 것 같습니다.