[iOS] ATS(App Transport Security), ATS설정 방법

 iOS에서 API 개발을 하다보면 http 통신을 하게 될 때도 있을텐데, 이전까지는 App Transport Security policy 관련한 컴파일 에러가 나면, Info.plist - App Transport Security Setting을 아래와 같이 생성해서 바꿔주었는데, 이렇게 하면 배포할 때 리젝 당한다는 말을 듣게 되었다..! 아무렇지 않게 사용해왔는데, 배포할 때는 설정을 잘 해줘야 하는 것 같았다!

 

---

 

1. ATS에 관련하여

Apple 플랫폼에서 앱 전송 보안(ATS)이라는 네트워킹 보안 기능은 모든 앱과 앱 확장의 개인 정보 보호 및 데이터 무결성을 향상시킵니다. 앱에서 만든 네트워크 연결이 신뢰할 수 있는 인증서와 암호를 사용하여 전송 계층 보안(TLS) 프로토콜에 의해 보호되도록 요구함으로써 이를 수행합니다. ATS는 최소 보안 요구 사항을 충족하지 않는 연결을 차단합니다.

 

ATS는 iOS 9.0 또는 macOS 10.11 SDK 이상과 연결된 앱에 대해 기본적으로 작동합니다.

 

하지만, 완전히 안전하지 않은 서버에 연결해야 하고 더 안전하게 만들기 위해 재구성할 수 없는 경우

( = http 서버, TLS 1.1 미만의 https 서버)

일부 ATS 요구 사항을 완화하기 위해 예외를 추가할 수 있으며, 심사 시에 예외에 대한 정당한 이유를 설명해야 합니다.

 

2. ATS 예외 추가하는 방법

HTTP인 경우

• 모든 HTTP 통신 허용: NSAllowsArbitraryLoads - YES 설정
  암호화 하지 않은 통신이므로 불가피한 때 외에는 사용하지 않는 것이 좋으며 배포하지 않을 때만 사용하자.

 

 

• ATS에서 제외할 특정 도메인 지정: Exception Domains - 연결이 필요한 도메인 추가
  a. 하단의 이미지처럼 도메인을 딕셔너리로 수정하고, NSTemporaryExceptionAllowsInsecureHTTPLoads의 값을 YES로 설정해줘야 합니다.
  b. 만약 sub domain까지 예외에 포함하려면 "www"를 지우고 딕셔너리를 하단의 이미지처럼 NSIncludesSubdomains를 YES로 설정합니다.

a. 특정 도메인 예외 설정

 

b. subdomain까지 예외 설정

 

Info.plist용 키를 자세히 보려면 더보기를 확인해주세요.

info.plist에서 사용 가능한 여러 키와 자세한 설명은 사이트에서 확인 가능합니다 > "여기"

• NSAppTransportSecurity (Dictionary)
  • NSAllowsArbitraryLoads (Bool)
  • NSAllowsArbitraryLoadsForMedia(Bool)
  • NSAllowsArbitraryLoadsInWebContent(Bool)
  • NSAllowsLocalNetworking(Bool)
  • NSExceptionDomains (Dictionary)
    • <domain-name-for-exception-as-string> (Dictionary)
      • NSExceptionMinimumTLSVersion (String)
      • NSExceptionRequiresForwardSecrecy (Bool)
      • NSExceptionAllowsInsecureHTTPLoads (Bool)
      • NSRequiresCertificateTransparency (Bool)
      • NSIncludesSubdomains (Bool)
      • NSThirdPartyExceptionMinimumTLSVersion (String)
      • NSThirdPartyExceptionRequiresForwardSecrecy (Bool)
      • NSThirdPartyExceptionAllowsInsecureHTTPLoads (Bool)

 

HTTPS인 경우(TLS 버전이 낮은 경우)

터미널에 다음 명령어를 입력합니다. Domain에 도메인 URL을 입력해주면 됩니다. 

nscurl -- ats diagnostics Domain --verbose

nscurl -- ats diagnostics https://www.tistory.com --verbose  (예시)

 

나오는 결과를 보고 "RESULT: Fail"인 부분을 참고해 필요한 옵션을 설정해주면 된다는데,

이는 아직 해보지 않았으므로,, 나중에 추가하겠다..!

 

3. 앱스토어 배포 시 정당화가 필요한 예외와 정당성의 예시

앱 Information Property List파일에 특정 ATS 예외를 추가하려면 정당성을 제공해야 하며 앱에 대한 추가 App Store 검토가 필요하게 될 수 있습니다. 앱 심사를 제출할 때 앱이 기본적으로 보안 연결을 설정할 수 없는 이유를 확인할 수 있도록 App Store에 충분한 정보를 제공해야 합니다.

 

정당화가 필요한 예외

• 임의 연결 예외(NSAllowsArbitraryLoads)
• 미디어 스트리밍 예외(NSAllowsArbitraryLoadsForMedia)
• 웹 콘텐츠 로드(NSAllowsArbitraryLoadsInWebContent)
• 도메인별 비보안 연결(NSExceptionAllowsInsecureHTTPLoads)
• 도메인당 최소 TLS 버전(NSExceptionMinimumTLSVersion)

고려할 수 있는 정당성의 예시

• 앱은 보안 연결을 지원하지 않는 다른 엔터티에서 관리하는 서버에 연결해야 합니다.
• 앱은 보안 연결을 사용하기 위해 업그레이드할 수 없고 공개 호스트 이름을 사용하여 액세스해야 하는 장치에 대한 연결을 지원해야 합니다.
• 앱은 다양한 소스에서 포함된 웹 콘텐츠를 표시해야 하지만 웹 콘텐츠 예외에서 지원하는 클래스를 사용할 수 없습니다.
• 앱은 암호화되어 있고 개인화된 정보가 포함되지 않은 미디어 콘텐츠를 로드합니다.

 

---

 

 

출처

https://developer.apple.com/documentation/security/preventing_insecure_network_connections

https://nopdin.tistory.com/1818

https://leibniz55.tistory.com/entry/ATS-%EC%98%B5%EC%85%98-%EC%84%A4%EC%A0%95%EB%B2%95

 

사실과 다른 내용이 있다면 댓글 남겨주세요 🙇🏻‍♀️