• 목차

1. Overview

HTTPS(HyperText Transfer Protocol Secure**)**는 클라이언트(웹 브라우저)와 서버(웹 사이트) 간의 통신에 사용되는 HTTP 프로토콜의 보안이 강화된 버전이다. HTTPS는 소켓 통신에서 전송되는 데이터를 SSL/TLS 프로토콜을 통해 데이터를 암호화한다.

여기서 나오는 SSL/TLS란 컴퓨터 네트워크에 통신 보안을 제공하기 위해 설계된 암호 규약이며, TCP/IP 네트워크를 사용하는 통신에 적용된다.

한마디로 전송계층 상에서 클라이언트와 서버에 대한 인증 및 데이터 암호화를 수행한다.

2. HTTP와 HTTPS

2.1. HTTP

HTTP는 W3 상에서 서로 다른 시스템들 사이에 정보를 주고 받게 해주는 가장 기초적인 프로토콜이다. TCP를 사용하고 HTTP/3 부터는 UDP를 사용한다. 기본적으로 80번 포트를 사용하는데, 데이터를 주고 받을 때 내용이 암호화 되지 않아 중간에 내용을 들여다 볼 수 있다.

HTTP를 사용하면 노출되는 위험

• 스니핑: 네트워크 상에서 자신이 아닌 다른 상대방들의 패킷 교환을 엿보는 것을 의미한다. (=네트워크 트래픽을 도청하는 과정)
• 변조: 공격자는 HTTP를 통해 전송되는 데이터를 수정하거나 변조할 수 있다.
• 세션 하이재킹: 공격 대상이 이미 시스템에 접속되어 세션이 연결되어 있는 상태(로그인 상태)를 가로채기 하는 공격이다.
• 피싱: 공격자가 HTTP를 사용해 기존의 웹사이트를 모방하는 가짜 사이트(피싱 사이트)를 만들어 사용자의 민감 정보를 입력하도록 속일 수 있다. HTTPS가 없으면 기존의 사이트와 피싱사이트를 구분할 수 없다.

2.2. HTTPS

앞서 설명했듯이 HTTP를 사용하면 암호화가 이뤄지지 않아 데이터가 쉽게 도난당할 수 있다. HTTPS 프로토콜은 SSL/TLS을 사용함으로써 이 문제를 해결했다.

2.2.1. SSL/TLS

SSL/TLS란 컴퓨터 네트워크에 통신 보안을 제공하기 위해 설계된 암호 규약(프로토콜)이며, TCP/IP 네트워크를 사용하는 통신에 적용된다.

주요 기능으로는 다음과 같다.

• 상호 인증: 공개키 인증서를 이용해 클라이언트/서버 서로간의 인증을 제공한다.
• 기밀성: SSL로 웹 서버와 브라우저와 교환된 정보를 하나의 세션키(대칭키)로 암호화하고, 세션키를 안전하게 브라우저에게 전달하기 위해서 웹 서버의 공개키로 암호화한 후 보낸다(디피 헬만의 키 교환 방식). 각 세션에 한 브라우저에 하나의 키가 사용되어 제3자는 정보를 가로챌 수 없다.