검수요청.png검수요청.png

"HTTPS"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
잔글
12번째 줄: 12번째 줄:
 
=== HTTP와의 차이 ===
 
=== HTTP와의 차이 ===
 
HTTPS URL은 기본적으로 "https : //"로 시작하고 포트 443을 사용하지만 [[HTTP]] URL은 기본적으로 "http : //"로 시작하고 포트 80을 사용한다.
 
HTTPS URL은 기본적으로 "https : //"로 시작하고 포트 443을 사용하지만 [[HTTP]] URL은 기본적으로 "http : //"로 시작하고 포트 80을 사용한다.
SSL 인증서를 통해 사용자가 사이트에 제공하는 정보를 암호화하는데, 쉽게 말하면 데이터를 암호로 바꾸는 의미이다. 이렇게 전송된 데이터는 중간에서 누군가 훔쳐 낸다고 하더라도 데이터가 암호화되어있기 때문에 해독할 수 없다. 그 외에도 HTTPS는 TLS(전송 계층 보안) 프로토콜을 통해서도 보안을 유지하고 TLS는 데이터 무결성을 제공하기 때문에 데이터가 전송 중에 수정되거나 손상되는 것을 방지하며, 사용자가 자신이 의도하는 웹사이트와 통신하고 있음을 입증하는 인증 기능도 제공한다. <ref> 위시켓, 〈[https://blog.wishket.com/http-vs-https-%EC%B0%A8%EC%9D%B4-%EC%95%8C%EB%A9%B4-%EC%82%AC%EC%9D%B4%ED%8A%B8%EC%9D%98-%EB%A0%88%EB%B2%A8%EC%9D%B4-%EB%B3%B4%EC%9D%B8%EB%8B%A4/]〉, 《위시켓 블로그》, 2020-02-21</ref>
+
SSL 인증서를 통해 사용자가 사이트에 제공하는 정보를 암호화하는데, 쉽게 말하면 데이터를 암호로 바꾸는 의미이다. 이렇게 전송된 데이터는 중간에서 누군가 훔쳐 낸다고 하더라도 데이터가 암호화되어있기 때문에 해독할 수 없다. 그 외에도 HTTPS는 TLS(전송 계층 보안) 프로토콜을 통해서도 보안을 유지하고 TLS는 데이터 무결성을 제공하기 때문에 데이터가 전송 중에 수정되거나 손상되는 것을 방지하며, 사용자가 자신이 의도하는 웹사이트와 통신하고 있음을 입증하는 인증 기능도 제공한다.  
  
 
=== 네트워크 계층 ===
 
=== 네트워크 계층 ===
23번째 줄: 23번째 줄:
  
 
=== 기밀성 ===
 
=== 기밀성 ===
HTTPS는 인터넷과 같은 공공 매체에서 두 참여자 간의 통신을 보호한다. 예를 들어, HTTPS가 없다면 와이파이Wi-Fi 액세스 포인트Access Point를 운영하는 사람은 액세스 포인트를 사용하는 사람이 온라인에서 무언가를 구입할 때 신용카드와 같은 개인정보를 볼 수도 있다.<ref>김도균, 〈[https://webactually.com/2018/11/http%EC%97%90%EC%84%9C-https%EB%A1%9C-%EC%A0%84%ED%99%98%ED%95%98%EA%B8%B0-%EC%9C%84%ED%95%9C-%EC%99%84%EB%B2%BD-%EA%B0%80%EC%9D%B4%EB%93%9C/ HTTP에서 HTTPS로 전환하기 위한 완벽 가이드]〉,《Smashing Magazine》, 2018-11-13</ref> 그렇기 때문에 암호화를 하여 사용자의 정보를 보호한다.
+
HTTPS는 인터넷과 같은 공공 매체에서 두 참여자 간의 통신을 보호한다. 예를 들어, HTTPS가 없다면 와이파이Wi-Fi 액세스 포인트Access Point를 운영하는 사람은 액세스 포인트를 사용하는 사람이 온라인에서 무언가를 구입할 때 신용카드와 같은 개인정보를 볼 수도 있다.<ref NAME= "SM">Vladislav Denishev, 〈[https://webactually.com/2018/11/http%EC%97%90%EC%84%9C-https%EB%A1%9C-%EC%A0%84%ED%99%98%ED%95%98%EA%B8%B0-%EC%9C%84%ED%95%9C-%EC%99%84%EB%B2%BD-%EA%B0%80%EC%9D%B4%EB%93%9C/ HTTP에서 HTTPS로 전환하기 위한 완벽 가이드]〉,《웹엑추얼리》, 2018-11-13</ref> 그렇기 때문에 암호화를 하여 사용자의 정보를 보호한다.
  
 
=== 무결성 ===
 
=== 무결성 ===
무결성 HTTPS는 변조되지 않은 정보로 목적지에 도달하게 한다. 예를 들어, 와이파이가 웹사이트에 광고를 추가하거나, 대역폭을 절약하고자 이미지 품질을 저하시키거나, 읽는 기사의 내용을 변조할 수 있지만 HTTPS는 웹사이트를 변조할 수 없도록 한다.<ref>김도균, 〈〈[https://webactually.com/2018/11/http%EC%97%90%EC%84%9C-https%EB%A1%9C-%EC%A0%84%ED%99%98%ED%95%98%EA%B8%B0-%EC%9C%84%ED%95%9C-%EC%99%84%EB%B2%BD-%EA%B0%80%EC%9D%B4%EB%93%9C/ HTTP에서 HTTPS로 전환하기 위한 완벽 가이드]〉,《Smashing Magazine》, 2018-11-13</ref>
+
무결성 HTTPS는 변조되지 않은 정보로 목적지에 도달하게 한다. 예를 들어, 와이파이가 웹사이트에 광고를 추가하거나, 대역폭을 절약하고자 이미지 품질을 저하시키거나, 읽는 기사의 내용을 변조할 수 있지만 HTTPS는 웹사이트를 변조할 수 없도록 한다.<ref NAME= "SM"></ref>
  
 
=== 인증 ===
 
=== 인증 ===
인증 HTTPS를 통해 웹사이트의 진위 여부를 확인할 수 있다. 예를 들어, 와이파이 액세스 포인트을 운영하는 사람이 가짜 웹사이트를 브라우저에 보낼 수도 있다. HTTPS는 example.com이라는 웹사이트가 실제로 example.com인지 확인한다. 일부 인증서는 yourbank.com이 YourBank.Inc라는 걸 알리기 위해 해당 웹사이트의 법적 신원을 검사하기도 한다.<ref>김도균, 〈〈[https://webactually.com/2018/11/http%EC%97%90%EC%84%9C-https%EB%A1%9C-%EC%A0%84%ED%99%98%ED%95%98%EA%B8%B0-%EC%9C%84%ED%95%9C-%EC%99%84%EB%B2%BD-%EA%B0%80%EC%9D%B4%EB%93%9C/ HTTP에서 HTTPS로 전환하기 위한 완벽 가이드]〉,《Smashing Magazine》, 2018-11-13</ref>
+
인증 HTTPS를 통해 웹사이트의 진위 여부를 확인할 수 있다. 예를 들어, 와이파이 액세스 포인트을 운영하는 사람이 가짜 웹사이트를 브라우저에 보낼 수도 있다. HTTPS는 example.com이라는 웹사이트가 실제로 example.com인지 확인한다. 일부 인증서는 yourbank.com이 YourBank.Inc라는 걸 알리기 위해 해당 웹사이트의 법적 신원을 검사하기도 한다.<ref NAME= "SM"></ref>
 
 
 
== 문제점 ==
 
== 문제점 ==
 
HTTPS를 사용 시 증명서를 구입해야 한다. 증명서의 구입 비용이 부담되는 서비스나 개인 웹사이트의 경우 [[HTTP]]만 선택하기도 한다. 그리고 HTTPS를 사용할 경우 처리가 늦어지게 되는 단점이 있다. 그 이유는 클라이언트 요청 시, [[SSL]]에 필요한 통신이 추가되고, 암호화 복호화 계산을 하기 때문에 서버나 클라이언트의 리소스를 추가적으로 소비하기 때문이다.<ref>손님1, 〈[https://blog.sonim1.com/99 10. HTTPS란?]〉, 《KENDRIC's BLOG》, 2016-04-12</ref>
 
HTTPS를 사용 시 증명서를 구입해야 한다. 증명서의 구입 비용이 부담되는 서비스나 개인 웹사이트의 경우 [[HTTP]]만 선택하기도 한다. 그리고 HTTPS를 사용할 경우 처리가 늦어지게 되는 단점이 있다. 그 이유는 클라이언트 요청 시, [[SSL]]에 필요한 통신이 추가되고, 암호화 복호화 계산을 하기 때문에 서버나 클라이언트의 리소스를 추가적으로 소비하기 때문이다.<ref>손님1, 〈[https://blog.sonim1.com/99 10. HTTPS란?]〉, 《KENDRIC's BLOG》, 2016-04-12</ref>

2020년 7월 28일 (화) 10:36 판

HTTPSHTTP 통신을 암호화하여 만든 프로토콜을 말한다. HTTPS는 HyperText Transfer Protocol over SSL(Secure Socket Layer)의 약자형태이고 443번의 포트번호를 사용한다. 보통 "https://"와 같이 소문자로 쓴다.

개요

HTTPS는 WWW 통신 프로토콜인 HTTP의 보안이 강화된 버전이다. HTTPS는 통신의 인증과 암호화를 위해 넷스케이프 커뮤니케이션즈 코퍼레이션이 개발했고, 전자상거래와 클라이언트-서버간 의 정보교환시에 자주 쓰이며 암호화 프로토콜인 SSL(TLL) 프로토콜을 사용하여 통신을 주고받는다.

등장 배경

넷스케이프 커뮤니케이션스는 1994년에 넷스케이프 내비게이터 웹 브라우저를 위해 HTTPS를 개발하였다. 원래 HTTPS는 SSL 프로토콜과 함께 사용되었다. SSL이 전송 계층 보안(TLS)으로 발전했을 때 2000년 5월 HTTPS는 공식적으로 RFC 2818에 규정되었다.

일반적으로 HTTP 프로토콜의 문제점은 서버에서부터 브라우저로 전송되는 정보가 암호화되지 않고 전송이 되었다. 즉, 데이터가 쉽게 도난당할 수 있다는 것이었는데, 이를 극복하기위해 HTTPS 프로토콜에 SSL(보안 소켓 계층)을 사용함으로써 등장하게 되었다. SSL은 서버와 브라우저 사이에 안전하게 암호화된 연결을 만들 수 있도록 공개키 암호화 인증서를 통해 도와주고, 서버 브라우저가 민감한 정보를 주고받을 때 해커의 공격을 방어한다.

특징

HTTP와의 차이

HTTPS URL은 기본적으로 "https : //"로 시작하고 포트 443을 사용하지만 HTTP URL은 기본적으로 "http : //"로 시작하고 포트 80을 사용한다. SSL 인증서를 통해 사용자가 사이트에 제공하는 정보를 암호화하는데, 쉽게 말하면 데이터를 암호로 바꾸는 의미이다. 이렇게 전송된 데이터는 중간에서 누군가 훔쳐 낸다고 하더라도 데이터가 암호화되어있기 때문에 해독할 수 없다. 그 외에도 HTTPS는 TLS(전송 계층 보안) 프로토콜을 통해서도 보안을 유지하고 TLS는 데이터 무결성을 제공하기 때문에 데이터가 전송 중에 수정되거나 손상되는 것을 방지하며, 사용자가 자신이 의도하는 웹사이트와 통신하고 있음을 입증하는 인증 기능도 제공한다.

네트워크 계층

HTTP는 가장 높은 계층에서 작동 TCP / IP 모델의 응용 프로그램 계층 ; TLS 보안 프로토콜 (동일한 계층의 하위 하위 계층으로 작동)은 전송 전에 HTTP 메시지를 암호화하고 도착 시 메시지를 암호 해독한다. 엄밀히 말하자면 HTTPS는 별도의 프로토콜은 아니지만 암호화된 SSL / TLS 연결을 통해 일반 HTTP를 사용하는 것을 의미한다.

HTTPS는 HTTP 헤더와 요청 / 응답 데이터를 비롯한 모든 메시지 내용을 암호화한다. 아래의 제한 항목에 설명된 가능한 CCA 암호화 공격을 제외하고 공격자는 두 당사자와 도메인 이름 및 IP 주소 간에 연결이 이루어지고 있음을 발견할 수 있어야 한다.

서버 설정

HTTPS 연결을 허용하도록 웹 서버를 준비하려면 관리자는 웹 서버에 대한 공개 키 인증서를 만들어야 한다. 이 인증서는 웹 브라우저가 경고 없이 인증서를 수락할 수 있도록 신뢰할 수 있는 인증 기관에서 서명해야 한다. 당국은 인증서 보유자를 증명하는 웹 서버의 운영자임을 인증한다. 웹 브라우저는 일반적으로 주요 인증 기관의 서명 인증서 목록과 함께 배포되므로 서명 된 인증서를 확인할 수 있다.

기밀성

HTTPS는 인터넷과 같은 공공 매체에서 두 참여자 간의 통신을 보호한다. 예를 들어, HTTPS가 없다면 와이파이Wi-Fi 액세스 포인트Access Point를 운영하는 사람은 액세스 포인트를 사용하는 사람이 온라인에서 무언가를 구입할 때 신용카드와 같은 개인정보를 볼 수도 있다.[1] 그렇기 때문에 암호화를 하여 사용자의 정보를 보호한다.

무결성

무결성 HTTPS는 변조되지 않은 정보로 목적지에 도달하게 한다. 예를 들어, 와이파이가 웹사이트에 광고를 추가하거나, 대역폭을 절약하고자 이미지 품질을 저하시키거나, 읽는 기사의 내용을 변조할 수 있지만 HTTPS는 웹사이트를 변조할 수 없도록 한다.[1]

인증

인증 HTTPS를 통해 웹사이트의 진위 여부를 확인할 수 있다. 예를 들어, 와이파이 액세스 포인트을 운영하는 사람이 가짜 웹사이트를 브라우저에 보낼 수도 있다. HTTPS는 example.com이라는 웹사이트가 실제로 example.com인지 확인한다. 일부 인증서는 yourbank.com이 YourBank.Inc라는 걸 알리기 위해 해당 웹사이트의 법적 신원을 검사하기도 한다.[1]

문제점

HTTPS를 사용 시 증명서를 구입해야 한다. 증명서의 구입 비용이 부담되는 서비스나 개인 웹사이트의 경우 HTTP만 선택하기도 한다. 그리고 HTTPS를 사용할 경우 처리가 늦어지게 되는 단점이 있다. 그 이유는 클라이언트 요청 시, SSL에 필요한 통신이 추가되고, 암호화 복호화 계산을 하기 때문에 서버나 클라이언트의 리소스를 추가적으로 소비하기 때문이다.[2]

최근 2019년 HTTPS를 이용한 피싱 이메일 공격이 17%증가 하였고, URL 기반 공격이 26%상승 했다고 파이어아이가 이메일 위협 보고서를 발표했다. 일반적으로 피싱 이메일은 자격 증명 정보나 신용 카드 정보를 탈취하기 위한 목적으로, 기존에 알고있는 연락처나 신뢰할 수 있는 회사를 사칭하여 이메일 수신인이 임베디드 링크를 클릭하도록 유도한다.[3]

이런 보안상의 문제를 해결하기 위해 정부는 HTTPS 사이트 접속 차단 조치를 내렸다. 하지만 "온라인상의 불법 정보를 차단하는 일은 좋은 목적에서 시행한다 해도, 표현의 자유를 의식해야 한다" 라고 지성우 성균관대 법학전문대 교수는 말했다. 이런 논란으로 인해 반대하는 국민들과 정책을 시행하려는 정부 측의 의견이 엇갈리고 있다.[4]

각주

  1. 1.0 1.1 1.2 Vladislav Denishev, 〈HTTP에서 HTTPS로 전환하기 위한 완벽 가이드〉,《웹엑추얼리》, 2018-11-13
  2. 손님1, 〈10. HTTPS란?〉, 《KENDRIC's BLOG》, 2016-04-12
  3. 길민권 기자, 〈2019년 1분기, HTTPS 이용 악성 URL 26% ↑, 피싱 시도 17% ↑〉, 《데일리시큐》, 2019-07-16
  4. 김평화 기자, 〈'https' 사이트 접속차단 논란, "'불법'에 국민동의 필요"〉, 《머니투데이》, 2019-06-07

참고자료

같이 보기


  검수요청.png검수요청.png 이 HTTPS 문서는 인터넷에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.