1. 부적절한 인증서 유효성 검증의 위험성

CWE-295는 HTTPS 통신 과정에서 서버가 제시한 SSL/TLS 인증서가 신뢰할 수 있는 기관(CA)에서 발급되었는지, 만료되지는 않았는지, 호스트 이름이 일치하는지 등을 제대로 검사하지 않을 때 발생합니다. 공격자는 이를 악용하여 가짜 인증서를 사용한 **중간자 공격(MitM, Man-in-the-Middle)**을 수행할 수 있습니다. 검증 로직이 무력화되면 공격자는 암호화된 통신 내용을 가로채거나(스니핑), 데이터를 변조하여 서버로 전달할 수 있는 치명적인 위협에 노출됩니다.

2. 흔히 발생하는 취약한 패턴: "모두 허용"의 함정

개발 단계에서 사설 인증서를 사용하거나 테스트 편의를 위해 검증 로직을 무력화한 코드가 운영 환경까지 남게 되는 경우가 많습니다.

• TrustManager 무력화: checkServerTrusted 메서드 내부를 비워두어 모든 인증서를 신뢰하게 만드는 경우.

• HostnameVerifier 무력화: 인증서의 도메인과 실제 접속 도메인이 달라도 무조건 true를 반환하게 설정하는 경우.

• 만료 및 취소 여부 미확인: 유효기간이 지났거나 도난 등의 이유로 취소된 인증서를 정상으로 판단하는 경우.

3. 실무적 대응: 표준 검증 절차 준수와 핀닝(Pinning)

안전한 통신을 위해 시스템 기본 검증 메커니즘을 사용하고, 필요한 경우 추가 보안을 적용해야 합니다.

• 기본 검증 메커니즘 유지: 커스텀 TrustManager를 직접 구현하기보다는 Java 시스템이 기본으로 제공하는 신뢰할 수 있는 인증서 저장소(Truststore)를 활용합니다.

• 정확한 호스트 이름 검증: HttpsURLConnection 사용 시 기본 제공되는 HostnameVerifier를 사용하여 도메인 일치 여부를 반드시 확인합니다.

• 인증서 핀닝(Certificate Pinning): 특히 모바일 앱의 경우, 특정 서버의 인증서 정보를 앱 내에 미리 저장해두고 통신 시 대조하여 MitM 공격을 원천 차단합니다.

4. CWE-295 대응 및 안전한 TLS 연결 자바 코드 예시