모든것에 오예스!!

1. 들어가며

HTTPS, TLS, 인증서 등은 우리가 매일 접하는 보안 기술입니다.

하지만 “이 모든 걸 실제로 처리하는 라이브러리는 무엇일까?”를 묻는다면, 대부분의 리눅스 개발자는 두 가지 이름을 떠올립니다.

바로 OpenSSL과 NSS(Network Security Services) 입니다.

이번 글에서는 이 두 라이브러리가 어떻게 다르고, 특히 리눅스 보안 통신 구성에서 NSS가 어떤 위치를 차지하는지를 정리해보겠습니다.

---

2. OpenSSL과 NSS란?

🔸 OpenSSL

• 기원: 1998년, SSLeay 프로젝트를 기반으로 시작된 오픈소스 암호화 라이브러리
• 역할: TLS/SSL 프로토콜 구현 + 대칭/비대칭 암호화, 해시, 인증서 처리 등
• 언어/라이선스: C 언어 기반, Apache-style License
• 대표 사용자: Linux 서버, Nginx, Apache, cURL, Python 등 대부분의 오픈소스 소프트웨어

➡️ OpenSSL은 “TLS 통신을 위한 표준 라이브러리”로서 사실상 리눅스 세계의 기본 도구입니다.

---

🔸 NSS (Network Security Services)

• 기원: 넷스케이프(Netscape)에서 Mozilla 프로젝트로 이어진 보안 라이브러리
• 역할: TLS/SSL, S/MIME, PKCS#11, X.509 인증서 관리 등
• 특징:
  • FIPS 140-2 인증을 획득한 암호화 모듈 제공 (공공기관, 금융기관에서 선호)
  • 모듈화 구조 (softoken, freebl, libnssutil 등으로 분리)
  • PKCS#11 기반 키 저장소를 사용하여 보안 토큰, HSM과 호환

➡️ NSS는 “보안 규격 준수를 위한 시스템 레벨 암호화 스택”으로 설계되었습니다.

---

3. OpenSSL vs NSS — 주요 차이점 비교

구분	OpenSSL	NSS
개발 주체	OpenSSL 재단	Mozilla 재단
주요 사용처	리눅스 서버, CLI 툴, 백엔드 서비스	Firefox, Chrome(일부), Red Hat, Fedora
키 관리 방식	PEM 파일 기반	PKCS#11 기반 데이터베이스 (cert8.db, key4.db 등)
FIPS 인증	선택적 모듈	기본적으로 FIPS 140-2 인증 지원
API 호환성	OpenSSL 전용 API	NSS API + PKCS#11 인터페이스
초점	속도, 범용성	보안 정책, 인증 준수
예시 명령어	openssl s_client -connect host:443	certutil, modutil, pk12util

💡 요약하자면,

OpenSSL은 “속도와 범용성” 중심,

NSS는 “보안 규격과 정책 준수” 중심입니다.

---

4. 리눅스 보안 통신 구성에서 NSS의 위치

리눅스는 하나의 SSL/TLS 스택만 사용하는 것이 아닙니다.

각 애플리케이션이나 배포판마다 다른 보안 라이브러리를 선택합니다.

🔹 구성 개념도

[ Application Layer ]
├── Firefox / Thunderbird / Chromium → NSS
├── curl / wget / Python / nginx / Apache → OpenSSL / GnuTLS
└── RPM, Yum, DNF 등 → NSS

[ Security Library Layer ]
├── OpenSSL (libssl, libcrypto)
├── NSS (libnss3, libsoftokn3)
├── GnuTLS (libgnutls)
└── WolfSSL, mbedTLS 등

[ Kernel / System Layer ]
└── /dev/random, HSM, PKCS#11 모듈

🔹 NSS의 역할

• 레드햇(RHEL), Fedora 계열에서는 시스템 기본 보안 스택으로 NSS가 채택되어 있습니다.
  • 예: DNF 패키지 관리자, RPM 서명 검증 등
• 브라우저 및 인증서 관리에서 NSS가 인증서 저장소 역할을 수행합니다.
  • 예: certutil -L -d sql:$HOME/.pki/nssdb 로 NSS DB를 조회 가능
• **보안정책이 엄격한 환경(FIPS 모드)**에서는 NSS 기반 암호화만 허용되는 경우가 많습니다.

즉, NSS는 리눅스의 “보안 근간”을 담당하는 시스템 레벨 암호화 인프라라고 볼 수 있습니다.

---

5. 결론

OpenSSL은 서버 애플리케이션 중심의 보안 도구이고,

NSS는 시스템 보안 정책과 인증서 관리를 담당하는 보안 플랫폼 계층입니다.

둘은 경쟁 관계라기보다 서로 다른 영역의 보안을 책임지는 협력 구조로 이해하는 것이 정확합니다.

✅ 정리

• OpenSSL → 통신 보안 (서버, CLI, API)
• NSS → 시스템 보안 정책, 인증서 저장소, FIPS 모듈

---