최소 TLS로 앱 보호(가변형 환경)

보안을 강화하기 위해 2025년 3월부터 전송 계층 보안(TLS) 버전 1.1 이하에 대한 지원이 중단됩니다. App Engine 가변형 환경에서 애플리케이션 설정을 업데이트하여 TLS 1.2 이상 버전과 해당 보안 암호화 스위트 집합을 사용합니다.

최신 TLS 버전을 선택하면 애플리케이션으로 요청을 라우팅하기 위해 전역 외부 애플리케이션 부하 분산기를 구성하지 않아도 App Engine에서 자동으로 보안되지 않은 트래픽을 차단합니다.

TLS 1.2 이상 버전만 사용하도록 기존 애플리케이션을 업그레이드하려면 이 가이드의 안내를 따르세요.

참고: TLS 버전 1.2 이상을 적용하도록 애플리케이션 설정을 업데이트하면 App Engine에서 보안 수준이 낮은 이전 TLS 버전 1.1 이하를 사용하려는 수신 요청을 자동으로 거부합니다. 2026년 3월 이전에는 이 거부로 인해 TLS 핸드셰이크가 성공한 후 400 Bad Request - The request was malformed 오류가 발생합니다. 즉, 연결은 설정되지만 요청 자체가 거부됩니다. 외부 SSL 확인 사이트에서는 TLS 핸드셰이크가 성공했는지 여부만 확인할 수 있으며 TLS 버전 1.1 이하가 여전히 지원된다고 잘못 암시할 수 있습니다. 2026년 3월 이후 App Engine은 TLS 버전 1.1 이하를 사용하는 연결의 TLS 핸드셰이크 자체를 방지하여 더 엄격한 보안 규정 준수를 보장합니다.

지원되는 TLS 버전 및 암호화 스위트

TLS 연결의 보안은 협상된 암호화 스위트(암호화 알고리즘의 조합)에 따라 달라집니다. 이러한 암호화 스위트는 다음 표에 자세히 설명된 대로 IANA 값으로 식별됩니다.

TLS 버전	IANA 값	암호화 스위트
TLS v1.3	0x1301	TLS_AES_128_GCM_SHA256
	0x1302	TLS_AES_256_GCM_SHA384
	0x1303	TLS_CHACHA20_POLY1305_SHA256
TLS v1.2	0xCCA9	TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
	0xCCA8	TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
	0xC02B	TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
	0xC02F	TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
	0xC02C	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
	0xC030	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	0xC009	TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
	0xC013	TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
	0xC00A	TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
	0xC014	TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

다른 암호화 스위트 또는 덜 제한적인 암호화 스위트를 사용해야 하는 경우 전역 외부 애플리케이션 부하 분산기를 사용하는 것이 좋습니다. 자세한 내용은 Cloud Load Balancing 문서의 App Engine으로 기존 애플리케이션 부하 분산기 설정 및 SSL 및 TLS 프로토콜을 위한 SSL 정책을 참고하세요.

앱에 허용된 TLS 버전 업데이트

Google Cloud 콘솔 또는 gcloud CLI를 사용하여 TLS 버전을 업데이트할 수 있습니다. 도구별 단계를 보려면 원하는 도구의 탭을 클릭하세요.

콘솔

Google Cloud 콘솔에서 App Engine 설정 페이지로 이동합니다.

설정으로 이동
애플리케이션 설정 탭에서 애플리케이션 설정 수정을 클릭합니다.
SSL 정책 목록에서 TLS 1.2 이상(최신 암호화)을 선택합니다. 이 선택은 최신 암호화 스위트가 적용된 TLS 버전 1.2 이상만 허용합니다. 1.0 이상의 보안 수준이 낮은 TLS 버전을 허용하려면 TLS 1.0 이상(사용되지 않음)을 선택합니다. 하지만 최신 지원되는 TLS 버전을 사용하도록 애플리케이션을 업데이트하는 것이 좋습니다.
저장을 클릭합니다.

gcloud

애플리케이션을 만들거나 업데이트할 때 --ssl-policy 플래그를 사용하여 허용되는 최소 TLS 버전을 지정합니다.

앱을 만드는 동안 최소 TLS 버전을 설정하려면 다음 단계를 따르세요.

gcloud app create --ssl-policy=TLS_VERSION

앱을 업데이트하는 동안 최소 TLS 버전을 설정하려면 다음 단계를 따르세요.

gcloud app update --ssl-policy=TLS_VERSION

TLS_VERSION를 TLS_VERSION_1_2로 바꿉니다. 이렇게 하면 최신 암호화 스위트가 있는 TLS 버전 1.2 이상만 허용됩니다. 1.0 이상의 보안 수준이 낮은 TLS 버전을 허용하려면 TLS_VERSION를 TLS_VERSION_1_0로 대체하세요. 하지만 최신 지원되는 TLS 버전을 사용하도록 애플리케이션을 업데이트하는 것이 좋습니다.

커스텀 TLS 버전 및 암호화 사용 중지

TLS 버전 1.2 이상을 사용하도록 애플리케이션 설정을 업데이트하면 App Engine에서 TLS 버전 1.1 이하를 사용하는 모든 보안되지 않은 트래픽을 자동으로 차단합니다.

Cloud Load Balancing 및 서버리스 NEGS를 사용하여 트래픽을 App Engine 애플리케이션으로 라우팅하는 경우 SSL 보안 정책을 정의하여 TLS 버전 또는 암호화를 사용 중지할 수 있습니다. HTTPS 또는 SSL 연결에서 사용할 수 있는 TLS 버전 및 암호화를 지정합니다.

다음 단계

SSL 인증서를 확인하고 관리하려면 SSL로 커스텀 도메인 보호를 참고하세요.
Cloud Load Balancing이 커스텀 도메인에 대한 수신 요청을 관리하도록 하려면 Cloud Load Balancing으로 App Engine 커스텀 도메인 마이그레이션을 참조하세요.