HTTPS
HTTPS는 암호화된 HTTP 통신 프로토콜을 말한다. HTTPS는 HyperText Transfer Protocol over Secure Socket Layer의 약자로서, http secure 또는 http over SSL이라고도 한다. 포트 번호는 443번이다. 보통 https://와 같이 소문자로 쓴다.
개요
HTTPS는 월드 와이드 웹 통신 프로토콜인 HTTP의 보안이 강화된 버전이다. HTTPS는 통신의 인증과 암호화를 위해 넷스케이프 커뮤니케이션즈 코퍼레이션이 개발했으며, 전자 상거래에서 널리 쓰인다. 보호의 수준은 웹 브라우저에서의 구현 정확도와 서버 소프트웨어, 지원하는 암호화 알고리즘에 달려있다. HTTPS를 사용하는 웹페이지의 URI은 'http://'대신 'https://'로 시작한다.
역사
넷스케이프 커뮤니케이션스는 1994년에 넷스케이프 내비게이터 웹 브라우저를 위해 HTTPS를 개발하였다. 원래 HTTPS는 SSL 프로토콜과 함께 사용되었다. SSL이 전송 계층 보안(TLS)으로 발전했을 때 2000년 5월 HTTPS는 공식적으로 RFC 2818에 규정되었다.
2019년 2월, 방송통신위원회는 대한민국 정부와 협력하여 불건전한 내용과 저작권 침해를 원천 차단하겠다는 명목으로 HTTPS를 통한 해외 사이트 접속을 막는 인터넷 검열 방안을 발표 및 실시하였다. 이 방식은 암호화의 인증 과정에서 주고받게 되는 SNI 패킷을 보고 웹사이트 접속을 차단하는 방식으로, 본래 방송통신심의위원회에서는 해당 위원회에서 지정한 '유해 사이트'에 국민들이 접속하지 못하도록 URL 접근을 특수한 사이트로 강제 우회시키고 있었는데, HTTPS를 통한 접속이 많아지면서 실용성이 없어지자 이같은 방안을 따르도록 국내 통신사들에 명령하였다.[1] 2019년 6월에는 사이버 범죄자들이 HTTPS를 피싱 공격에 적용하기 시작했다고 FBI가 경고했다. 최근 범죄자들은 HTTPS와 자물쇠 아이콘을 얻어내기 위해 인증서를 적극 활용하고 있으며, 그렇기 때문에 HTTPS도 완전히 믿어서는 안되고 자물쇠도 마찬가지라는 내용이다. 따라서 장기적으로는 새로운 웹 표준을 도입해야 피싱 공격을 막을 수 있다고 한다.[2]
특징
HTTP와의 차이
HTTPS URL은 기본적으로 "https : //"로 시작하고 포트 443을 사용하지만 HTTP URL은 기본적으로 "http : //"로 시작하고 포트 80을 사용한다. HTTP는 DNS 서버에 IP 주소를 요청하고 받을 때 암호화되지 않은 데이터를 주고받기 때문에 보안에 취약하며, 해커들의 공격을 받을 수 있고 개인 정보 등이 쉽게 유출될 위험이 크다. 그렇기 때문에 개발된 HTTPS는 인터넷상에서 받는 모든 데이터를 암호화하였기 때문에 HTTP에 비해 비교적 안전하다.[3]
네트워크 계층
HTTP는 가장 높은 계층에서 작동 TCP / IP 모델의 응용 프로그램 계층 ; TLS 보안 프로토콜 (동일한 계층의 하위 하위 계층으로 작동)은 전송 전에 HTTP 메시지를 암호화하고 도착 시 메시지를 암호 해독한다. 엄밀히 말하자면 HTTPS는 별도의 프로토콜은 아니지만 암호화된 SSL / TLS 연결을 통해 일반 HTTP를 사용하는 것을 의미한다.
HTTPS는 HTTP 헤더와 요청 / 응답 데이터를 비롯한 모든 메시지 내용을 암호화한다. 아래의 제한 항목에 설명된 가능한 CCA 암호화 공격을 제외하고 공격자는 두 당사자와 도메인 이름 및 IP 주소 간에 연결이 이루어지고 있음을 발견할 수 있어야 한다.
서버 설정
HTTPS 연결을 허용하도록 웹 서버를 준비하려면 관리자는 웹 서버에 대한 공개 키 인증서를 만들어야 한다. 이 인증서는 웹 브라우저가 경고 없이 인증서를 수락할 수 있도록 신뢰할 수 있는 인증 기관에서 서명해야 한다. 당국은 인증서 보유자를 증명하는 웹 서버의 운영자임을 인증한다. 웹 브라우저는 일반적으로 주요 인증 기관의 서명 인증서 목록과 함께 배포되므로 서명 된 인증서를 확인할 수 있다.
인증서
다수의 상업적 인증 기관이 존재하며 확장 인증 인증서를 포함한 다양한 유형의 유료 SSL / TLS 인증서를 제공한다. Let 's Encrypt는 2016년 4월에 시작되어 웹 사이트에 기본 SSL / TLS 인증서를 제공하는 무료 자동 서비스를 제공한다. 전자 프런티어 재단(Electronic Frontier Foundation)에 따르면 "Let 's Encrypt"는 하나의 명령을 실행하거나 버튼 하나만 클릭하는 것처럼 HTTP에서 HTTPS로 전환할 수 있다.[4] 대부분의 웹 호스트와 클라우드 공급자는 이제 Let 's Encrypt를 활용하여 고객에게 무료 인증서를 제공한다.
문제점
HTTPS를 사용 시 증명서를 구입해야 한다. 증명서의 구입 비용이 부담되는 서비스나 개인 웹사이트의 경우 HTTP만 선택하기도 한다. 그리고 HTTPS를 사용할 경우 처리가 늦어지게 되는 단점이 있다. 그 이유는 클라이언트 요청 시, SSL에 필요한 통신이 추가되고, 암호화 복호화 계산을 하기 때문에 서버나 클라이언트의 리소스를 추가적으로 소비하기 때문이다.[5]
최근 2019년 HTTPS를 이용한 피싱 이메일 공격이 17%증가 하였고, URL 기반 공격이 26%상승 했다고 파이어아이가 이메일 위협 보고서를 발표했다. 일반적으로 피싱 이메일은 자격 증명 정보나 신용 카드 정보를 탈취하기 위한 목적으로, 기존에 알고있는 연락처나 신뢰할 수 있는 회사를 사칭하여 이메일 수신인이 임베디드 링크를 클릭하도록 유도한다.[6]
이런 보안상의 문제를 해결하기 위해 정부는 HTTPS 사이트 접속 차단 조치를 내렸다. 하지만 "온라인상의 불법 정보를 차단하는 일은 좋은 목적에서 시행한다 해도, 표현의 자유를 의식해야 한다" 라고 지성우 성균관대 법학전문대 교수는 말했다. 이런 논란으로 인해 반대하는 국민들과 정책을 시행하려는 정부 측의 의견이 엇갈리고 있다.[7]
각주
- ↑ 이민정 기자, 〈방통위, 해외 불법사이트 접속 전면 차단…감청·검열 논란〉, 《중앙일보》, 2019-02-12
- ↑ 문가용 기자, 〈웹 세션 보호하는 HTTPS 기술과 자물쇠 아이콘, 공격자들도 활용〉, 《보안뉴스》, 2019-06-12
- ↑ 티타임즈, 〈"http와 https는 뭐가 다르죠?" 유해사이트 차단논란 정리〉, 《네이버 포스트》, 2019-02-15
- ↑ PETER ECKERSLEY, 〈Launching in 2015: A Certificate Authority to Encrypt the Entire Web〉, 《EFF》, 2014-11-18
- ↑ 손님1, 〈10. HTTPS란?〉, 《KENDRIC's BLOG》, 2016-04-12
- ↑ 길민권 기자, 〈2019년 1분기, HTTPS 이용 악성 URL 26% ↑, 피싱 시도 17% ↑〉, 《데일리시큐》, 2019-07-16
- ↑ 김평화 기자, 〈'https' 사이트 접속차단 논란, "'불법'에 국민동의 필요"〉, 《머니투데이》, 2019-06-07
참고자료
- 〈HTTPS〉, 《위키백과》
- 이민정 기자, 〈방통위, 해외 불법사이트 접속 전면 차단…감청·검열 논란〉, 《중앙일보》, 2019-02-12
- 문가용 기자, 〈웹 세션 보호하는 HTTPS 기술과 자물쇠 아이콘, 공격자들도 활용〉, 《보안뉴스》, 2019-06-12
- 티타임즈, 〈"http와 https는 뭐가 다르죠?" 유해사이트 차단논란 정리〉, 《네이버 포스트》, 2019-02-15
- PETER ECKERSLEY, 〈Launching in 2015: A Certificate Authority to Encrypt the Entire Web〉, 《EFF》, 2014-11-18
- 길민권 기자, 〈2019년 1분기, HTTPS 이용 악성 URL 26% ↑, 피싱 시도 17% ↑〉, 《데일리시큐》, 2019-07-16
- 김평화 기자, 〈'https' 사이트 접속차단 논란, "'불법'에 국민동의 필요"〉, 《머니투데이》, 2019-06-07
- 손님1, 〈10. HTTPS란?〉, 《KENDRIC's BLOG》, 2016-04-12
같이 보기