🔐 SSH 접속으로 이해하는 대칭키와 비대칭키 암호화 방식

SSH는 리눅스 서버에 접속할 때 많이 사용하는 원격 접속 방식입니다. telnet과 달리, 모든 통신을 암호화하기 때문에 중요한 보안 프로토콜입니다. 그런데 이 SSH 접속 안에는 대칭키와 비대칭키 암호화 방식이 모두 사용됩니다. 본 포스팅을 통해 SSH 접속흐름을 따라가며, 자연스럽게 암호화 개념을 이해해보겠습니다.

---

암호화의 두 축: 대칭키 vs 비대칭키

구분	대칭키 암호화	비대칭키 암호화
키	하나의 키로 암/복호화	공개키-개인키 한 쌍 사용
속도	빠름	느림
보안성	키 유출 위험 있음	안전함
사용 예	실제 데이터 전송	인증, 키 교환

SSH 는 이 두 가지 방식을 조합해서 사용합니다.

SSH 접속 흐름으로 보는 암호화 방식

1. 클라이언트 -> 서버 접속 요청

ssh testuser@192.168.1.100

• 클라이언트는 SSH 포트를 통해 서버에 연결을 시도함

2. 서버 인증 (비대칭키 사용) - 클라이언트가 서버의 “신원”을 확인하는 과정

• 서버는 자신의 호스트 공개키를 클라이언트에게 전달
• 동시에, 특정 메시지에 대해 호스트 개인키로 서명한 결과도 함께 보냄
• 클라이언트는 해당 서명이 유효한지 검사해서 “이 서버가 진짜인가?”를 확인함

✅ 이 때 공개키가 클라이언트 로컬의 ~/.ssh/known_hosts 파일에 등록되어 있어야 ‘신뢰할 수 있는 서버’로 인정합니다.

known_hosts 란?

• 이 파일은 클라이언트가 과거에 접속했던 서버의 공개키 정보를 저장해 둔 로컬 DB
• 처음 접속하면 아래와 같은 경고가 뜹니다.

   The authenticity of host '192.168.1.100 (192.168.1.100)' can't be established.
   ED25519 key fingerprint is SHA256:abcxyz...
   Are you sure you want to continue connecting (yes/no)?
  

• 여기서 yes를 입력하면 공개키가 known_hosts에 저장되며, 다음 접속부터는 공개키의 일치 여부를 자동으로 검증합니다.

💥 만약 공개키가 다르면?

    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!

• 이는 중간자 공격 가능성을 알리는 경고입니다.
• 실제로 서버가 변경됐거나, 네트워크 상의 다른 기기가 사칭하고 있을 수 있습니다.

3. 키 교환 (비대칭키 사용 -> 대칭키 생성)

• 서버와 클라이언트는 DH 또는 ECDH 알고리즘을 통해 세션키(대칭키)를 생성
• 서로 공개키만 주고받아, 외부에서 알 수 없는 방식으로 같은 대칭키를 만들어냄

4. 사용자 인증 (비대칭키 or 비밀번호)

공개키 기반 인증 과정

1. 클라이언트는 자신의 공개키를 서버에 보냄
2. 서버는 해당 공개키가 ~/.ssh/authorized_keys에 있는지 확인
3. 있으면 서버는 클라이언트에 challenge(난수)를 보냄
4. 클라이언트는 그 challenge를 자신의 개인키로 서명해서 서버에 전달
5. 서버는 공개키로 서명을 검증하고, 인증이 성공하면 로그인 허용

✅ 이 과정은 ssh-copy-id 명령으로 공개키를 사전에 등록해 두어야 가능합니다.

5. 이후 통신 (대칭키 사용)

• 위에서 생성된 세션키(대칭키)를 사용하여 모든 데이터가 암호화되어 전송
• 이 키는 메모리에만 존재하며, 접속 종료 시 삭제

✅ 대칭키는 속도가 빠르기 때문에 실제 데이터 전송에는 꼭 필요합니다.

정리: SSH와 암호화 개념의 연결

SSH 접속 단계	사용되는 암호화	사용 목적
서버 인증	비대칭키 (서버 호스트 키)	신원 확인
키 교환	비대칭키 (DH, ECDH) -> 대칭키 생성	안전한 세션키 공유
사용자 인증	비대칭키 (클라이언트 공개/개인키)	로그인 인증
이후 통신	대칭키	실제 데이터 암호화