웹사이트 주소를 보면 "http://" 또는 "https://"로 시작하는 걸 한 번쯤 봤었을텐데
근데 이 둘, 대체 뭐가 다른 걸까요? 그냥 "s" 하나 차이처럼 보여도 사실 보안과 신뢰에 직결되는 중요한 차이가 있습니다.
HTTP
HyperText Transfer Protocol 란?
HyperText : 문서 안에 다른 문서나 정보로 연결되는 링크가 포함된 텍스트
Transfer : 전송, 전달
즉, 웹에서 클라이언트와 서버 간에 데이터를 주고받기 위한 비보안 통신 프로토콜입니다.
HTTP 특징
- 서버와 주고받을 때 암호화를 하지않습니다.
- 빠르고 주고받기가 간단합니다.
이러한 특징들로 인해 빠르고 간단하지만 암호화를 하지않아
누군가 통신을 가로채면 내용을 그대로 볼 수 있습니다.
HTTPS
기존 HTTP 에 Secure를 붙인 프로토콜입니다.
여기서 "Secure" 이 무엇이냐?
Secure
영문 뜻 그대로 "안전한" 이라는 뜻입니다.
데이터 전송을 할 때 안전하게 보내기위한 프로토콜을 뜻합니다.
여기서 쓰이는 안전한 전송방법은
SSL (Secure Sockets Layer), TLS (Transport Layer Security)
이 두개를 사용하여 암호화를 시킵니다.
SSL
예전에 쓰이던 https 암호화방식입니다.
지금은 보안문제가 생겨 더이상 사용하지않습니다.
TLS
SSL 를 계승하여 만든 더 좋은 암호화방식입니다.
전체적인 기능은 이전에 쓰이던 SSL 과 거의 일치합니다.
HTTPS 특징
서버간의 보안을 신경쓴 만큼 여러가지 기능들이있습니다.
- 보안성 : 위에 말했던 SSL/TLS 암호화 방식을 사용하여 서버와 클라이언트간의 통신과정에서 제 3자가 데이터를 볼 수 없도록 하고 혹여 가로챈다해도 해석할 수 없게끔 합니다.
- 무결성 보장 : 서버와 클라이언트가 데이터를 주고받을때 요청(request) 과 응답(response) 시에 중간에 데이터가 변질되었는지 확인해줍니다.
TSL프로토콜에서는 메시지 인증 코드(MAC) 등을 활용해서 이 무결성을 검사합니다.
- 신원 인증 : 서버가 HTTPS로 접속을 할 때 SSL인증서를 통해 서버 또는 클라이언트가 인증된 진짜인지 확인을 합니다.
*SSL 인증서 : 인증서는 공인된 인증기관(CA)에서 발급하며, 위조하기 매우 어렵습니다.
즉, HTTP 를 SSL/TSL 암호화를 사용하여 안전하게 데이터를 주고받는 프로토콜입니다.
HTTP vs HTTPS
서로 비교했을때 장단점이 확실한 프로토콜들입니다.
HTTP : 빠르고 간단하지만 데이터의 보안이 취약함
HTTPS : 암호화를 사용하여 안전하며, 최근 기술 발전 덕분에 성능 저하도 거의 없음
보안이 강화된 만큼, 페이지의 성격에 따라 HTTP와 HTTPS는 적절히 선택되어 사용됩니다.
즉, 기능과 중요도에 따라 두 프로토콜은 다음과 같은 용도로 나뉘어 사용됩니다.
HTTP
HTTP는 정보 제공 위주의 콘텐츠나, 사용자의 민감한 정보를 입력받지 않는 페이지에 주로 사용됩니다.
예 )
- 뉴스 기사, 블로그 포스트
- 이미지, 동영상, 일반 콘텐츠 리스트
- 단순 소개용 랜딩 페이지 등
이러한 페이지들은 데이터 보안 요구 수준이 낮기 때문에 상대적으로 간단한 HTTP로도 충분한 경우가 많았습니다.
HTTPS
HTTPS는 로그인, 회원가입, 결제 등
개인 정보나 금융 정보와 같이 민감한 데이터를 다루는 모든 페이지에서 반드시 사용해야 합니다.
예 )
- 로그인/회원가입 화면
- 마이페이지(개인정보 수정 등)
- 결제창 및 카드 정보 입력 페이지
- 은행, 병원, 쇼핑몰, 공공기관 서비스 페이지 등
이외에도 REST API 서버, 관리자 페이지, 백오피스 등
보안이 중요한 모든 통신 영역에서 HTTPS는 필수로 사용됩니다.
최근 흐름과 마무리
과거에는 속도와 비용 문제 등으로 HTTP도 많이 사용되었지만,
지금은 크롬과 같은 브라우저에서 HTTP 페이지에 '안전하지 않음' 경고를 표시하고,
SEO(검색 최적화)에서도 HTTPS 사이트를 우선 노출하는 등 HTTPS가 웹 표준이 되어가고 있습니다.
