클라우드 컴퓨팅이 필요하신가요? 지금 시작해보세요

HTTPS란 무엇일까요?

HTTPS 또는 보안 웹 프로토콜이란 무엇일까요?

이제 보안 웹 프로토콜, HTTPS에 대해 알아보겠습니다. 물론 HTTPS의 끝에 있는 'S'는 '보안'을 의미합니다. HTTPS는 웹사이트의 인증과 통신의 암호화를 지원합니다. 웹사이트의 인증은 사용자가 실제로 가짜 사이트가 아닌 www.apple.com 사이트에 방문하고 있음을 확인하는 수단입니다. 처음에 HTTPS는 온라인 뱅킹 및 온라인 쇼핑과 같은 로그인 및 기밀 온라인 거래를 보호하는 데 사용되었습니다. 그러나 요즘에는 대부분의 경우 HTTPS가 기본적으로 사용됩니다.

HTTPS는 공개 키 암호화라는 기술을 기반으로 합니다. 이를 위해 웹사이트에 인증 기관에서 인증한 공개 및 비공개 키 쌍이 필요합니다. 본 비디오에서는 공개 키 암호의 작동 방식에 대해서는 다루지 않습니다.

다시 예제를 살펴봅니다. 지금은 HTTPS를 사용합니다. 1단계는 전과 동일합니다. 주소를 입력하거나 링크를 클릭합니다.

2단계로 넘어가기 전에 새로운 1.5단계가 필요합니다. 이 단계에서 브라우저와 웹 서버는 암호화 동작을 수행합니다. 이 동작에는 메시지 교환과 몇 가지 흥미로운 계산이 포함되며, 이때 웹 서버의 공개 및 비공개 키 쌍을 사용해 웹사이트를 인증하고 세션 키라고 하는 두 개의 새로운 키(클라이언트 및 서버에 대해 각각 하나씩)를 만듭니다. 이러한 세션 키는 메시지를 암호화하고 해독하는 데 사용됩니다.

암호화 기능은 현재 사용되지 않는 SSL(Secure Sockets Layer)의 후속 버전인 TLS(Transport Layer Security)라는 프로토콜에 의해 수행됩니다.

이제 2단계로 넘어갈 수 있습니다. 전과 같이 작동하지만 이제 브라우저가 요청 메시지를 작성한 후 전송 전에 세션 키를 사용해 메시지를 암호화합니다. 그런 다음 암호화된 메시지가 웹 서버로 전송됩니다. 웹 서버는 메시지를 수신한 후 세션 키를 사용해 메시지를 해독하고 읽습니다.

3단계는 응답 메시지와 유사하게 작동합니다. 응답 메시지를 작성한 후 웹 서버는 세션 키를 사용해 응답 메시지를 암호화한 다음, 브라우저로 다시 전송합니다. 그러면 브라우저가 메시지를 수신한 후 세션 키를 사용해 메시지를 해독하고 읽습니다.

마지막으로 4단계도 이전과 동일하게 작동합니다. 브라우저가 응답을 렌더링하면 웹페이지를 볼 수 있습니다.

자물쇠 아이콘은 웹사이트의 보안 연결 및 인증을 나타냅니다.

요청 및 응답 메시지가 웹 서버로 전송되는 방법이 궁금할 수 있습니다. 그 답은 IP(인터넷 프로토콜)를 사용하는 것입니다. 다음 프레젠테이션의 주제이기도 합니다. IP 주소란 무엇일까요?

보안 웹사이트는 인터넷 사용자에게 중요한 신뢰의 신호가 되었습니다. 브라우저 주소 표시줄에 자물쇠 기호가 있으면 웹사이트를 사용하는 사람은 해당 웹사이트가 정상적이고 안전하다고 확신할 수 있습니다. 

인터넷은 HTTP(Hypertext Transfer Protocol)를 포함한 프로토콜을 기반으로 합니다. 웹사이트 URL에서 HTTP에 있는 S가 있으면(즉, HTTPS) 사이트가 HTTP의 보안 버전을 사용함을 나타냅니다. 여기서, 즉 S는 보안을 의미합니다. HTTPS(Hypertext Transfer Protocol Secure)는 원래 온라인 로그인을 보호하고 온라인 뱅킹 및 쇼핑 거래의 보안을 유지하는 데 사용되었습니다. 하지만 2014년, Google 기업은 HTTPS를 랭킹 신호(ranking signal)로 사용해 HTTPS의 위상을 높였습니다. 이후 HTTPS가 널리 도입되었고, 오늘날 전체 웹사이트의 80%가 HTTPS를 사용하고 있습니다.

HTTP와 HTTPS는 서로 어떻게 다른가요?

HTTPS 및 관련 보안 프로토콜인 SSL(Secure Sockets Layer)은 Netscape 브라우저를 보호하기 위해 1994년 Netscape에 의해 출시되었습니다.

HTTPS 연결은 신뢰를 구축하고 인터넷에서 보안 연결을 생성하는 데 도움이 되는 두 가지 중요한 기능을 지원합니다.

  • 웹 사이트 인증: HTTPS는 apple.com이 Apple Inc.의 웹사이트인 것처럼 사용자가 사이트의 진위를 알 수 있도록 웹사이트를 인증합니다.
  • 데이터 암호화: HTTPS 웹사이트는 TLS(Transport Layer Security) 프로토콜(SSL의 후속 버전)을 사용해 웹 트래픽을 암호화함으로써 클라이언트(예: 웹 브라우저)와 웹 서버 사이에서 민감한 정보를 보호합니다. 예를 들어 온라인으로 물건을 사고 구매를 위해 신용카드 데이터를 보내는 경우 사이트가 HTTPS이면 해당 데이터는 일반 텍스트가 아닌 암호화된 형식으로 웹 서버에 전송됩니다.

HTTPS는 어떻게 작동하나요?

HTTPS는 PKI(공개 키 인프라)라고 하는 기술에 기반합니다. PKI는 공개 키 암호화 및 디지털 서명을 사용합니다. '키 쌍'은 웹사이트 소유자가 만들고 공개 키는 'CA(인증 기관)'라고 하는 신뢰할 수 있는 기관으로 전송됩니다. 그러면 이 기관은 공개 키에 서명하고, 디지털 인증서라는 문서가 생성됩니다. 이제 웹사이트는 비공개 키와 공개 키를 보관하는 SSL 인증서를 보유합니다. 공개 키는 비공개 키에 의해 서명된 모든 내용을 확인합니다. 디지털 인증서는 웹사이트의 진위를 확인하는 신뢰 및 유효성 검사 체인을 제공합니다. HTTPS는 보안 프로토콜(SSL/TLS)과 함께 작동해 웹 브라우저와 웹 서버 간 통신 및 민감한 데이터를 암호화하고 해독합니다.

HTTPS 요청 및 응답 흐름의 단계

HTTPS 프로토콜의 요청 및 응답 흐름은 HTTP와 같은 방식으로 시작됩니다. 단, 중간 단계인 1.5단계를 사용해 두 흐름을 구분합니다.

1단계: 탐색 및 시작

사용자가 브라우저에 웹 주소를 입력하거나 이메일 또는 기타 통신에 포함된 링크를 클릭합니다. 주소에는 URL(Uniform Resource Locator)이 포함되어 있습니다. URL을 나타내는 문서를 가져올 때 HTTP를 사용함을 브라우저에 알리기 위해 URL에 HTTP가 포함됩니다.

1.5단계: 암호화 동작

단계 1.5에서는 브라우저와 웹 서버가 '암호화 동작'을 수행합니다. 여기에 암호화된 메시지의 교환이 포함됩니다. 이 단계를 수행하려면 CA(인증 기관)를 통해 생성된 웹 서버의 공개 및 비공개 키 쌍을 사용해 TLS 프로토콜에서 복잡한 암호화 기능을 수행해야 합니다. 이 단계에서는 웹사이트를 인증하고 클라이언트용 키와 서버용 키 두 개(세션 키)를 새로 만듭니다. 이러한 세션 키는 메시지를 암호화하고 해독하는 데 사용됩니다.

2단계: 클라이언트가 서버로 HTTP 요청 메시지 전송

2단계는 HTTP 2단계 요청 및 응답 흐름과 동일합니다. 클라이언트(예: 브라우저)는 웹 서버로 리디렉션되는 요청 메시지를 작성합니다. 메시지에는 요청 엔터티와 같은 요청에 대한 추가 정보가 포함됩니다. 그러나 HTTP와 달리 요청 메시지를 작성한 후 브라우저에서 메시지를 보내기 전에 HTTP(S) 요청은 세션 키를 사용해 메시지를 암호화해야 합니다.

3단계: 웹 서버가 HTTPS 응답을 클라이언트로 다시 전송

요청이 수신되면 웹 서버는 세션 키를 사용해 메시지를 해독하고 읽습니다. 그런 다음 웹 서버는 응답 메시지를 작성하고, 세션 키를 사용해 암호화한 후 브라우저로 다시 보냅니다.

4단계: 브라우저에서 메시지 렌더링

암호화된 메시지를 수신하면 브라우저는 세션 키를 사용해 암호를 해독하고 메시지를 읽습니다. 이 단계의 마지막 부분에서는 브라우저에서 응답 메시지를 렌더링하고 브라우저에 웹페이지를 표시합니다.

HTTPS 사용이 왜 중요한가요?

HTTPS가 없으면 클라이언트(예: 브라우저)와 웹 서버 사이에서 온라인으로 교환되는 데이터 및 인터넷 사용자는 다음과 같은 리스크에 노출됩니다.

가로채기 공격: HTTPS는 TLS 프로토콜을 사용해 통신을 암호화합니다. 공격자가 통신을 가로채더라도 데이터를 해독하거나 훔칠 수 없습니다.

인증정보 도용: 인증정보 도용은 Ponemon의 보고서에 따르면 보안 사고의 54%를 차지합니다. 웹사이트에 HTTPS가 올바르게 구축된 경우 해당 웹사이트를 통해 제출된 모든 데이터(예: 로그인 인증정보)는 암호화되므로 안전합니다.

신뢰도 저하: HTTPS임을 알리는 웹사이트에는 신뢰할 수 있는 CA에서 디지털 인증서를 발급합니다. CA는 인증서 발급 중에 회사에 대한 실사 검사를 수행합니다. 하지만 APWG(Anti-Phishing Working Group)의 통계에 따르면, 피싱 사이트의 83%가 HTTPS를 사용하므로 여전히 주의해야 합니다.

자주 묻는 질문(FAQ)

HTTPS는 HTML 문서와 같은 리소스를 가져오는 HTTP(Hypertext Transfer Protocol)의 보안 버전입니다. HTTPS는 클라이언트(브라우저)와 웹 서버 사이에서 안전한 메시징을 용이하게 합니다. HTTPS는 TLS(Transport Layer Security) 프로토콜과 함께 키 쌍 암호화를 사용해 이러한 메시지의 암호화 및 해독을 수행합니다. 또한 HTTPS는 웹사이트가 이 보안 프로토콜을 사용하며 웹사이트 소유자를 확인했음을 알립니다.

HTTP는 웹사이트의 콘텐츠를 전송하는 데 사용되는 웹 프로토콜로, 해당 콘텐츠를 브라우저에 표시할 수 있도록 합니다. 웹 프로토콜 HTTP는 웹 클라이언트가 웹 서버와 통신하는 방법을 정의하는 요청 및 응답 프로토콜입니다. HTTPS는 클라이언트(예: 브라우저)와 웹 서버 사이에서 메시지 교환을 보호하기 위해 TLS(Transport Layer Security) 프로토콜 및 키 쌍 암호화를 사용하는 이 프로토콜의 보안 버전입니다.

아니요, HTTPS라고 해서 웹사이트가 반드시 안전함을 의미하지는 않습니다. 

HTTPS(Hypertext Transfer Protocol Secure)는 웹 브라우저와 웹사이트 사이에서 통신을 암호화해 안전한 연결을 제공하는 프로토콜입니다. 이는 사용자와 웹사이트 사이에서 전송되는 데이터를 권한이 없는 당사자가 가로채거나 조작할 수 없도록 보장합니다.

HTTPS는 전송 중 데이터를 보호하는 중요한 보안 수단이지만 웹사이트의 전반적인 안전성이나 신뢰성을 보장하지는 않습니다. 웹사이트는 HTTPS를 사용하더라도 여전히 악성 콘텐츠를 포함하거나, 취약점이 있거나, 사기 활동과 관련될 수 있습니다.

HTTPS는 'Hypertext Transfer Protocol Secure'의 약자입니다. HTTPS에서 'S'는 웹 브라우저와 웹사이트 사이에서 통신이 암호화되고 안전함을 나타냅니다.

HTTPS의 'S'는 웹사이트에 SSL/TLS 인증서가 설치되어 있고 연결이 암호화되고 안전함을 나타냅니다. 이러한 암호화를 통해 민감한 정보를 보호하고 진짜 웹사이트와의 신뢰할 수 있는 연결을 보장합니다.

고객이 Akamai를 선택하는 이유

Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업으로, 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층 방어 기능을 제공한다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공한다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰한다.

Akamai 보안 솔루션 둘러보기