홈페이지 주소에 있는 HTTP 와 HTTPS 의 차이

 

이번에는 홈페이지 주소를 보시면 HTTP와 HTTPS 주소가 있으며 이 주소의 차이와 왜 HTTPS로만 접속을 하는 게 좋은지 알려드리려고 합니다.

 

 

◆ HTTP와 HTTPS의 차이

 

 

HTTP는 HyperText Transfer Protocol의 약자로 웹 상에서 정보를 주고받으며 통신할 수 있는 웹 표준 프로토콜이며 도메인 및 웹서버에서 필수로 사용하는 네트워크 프로토콜 중 하나입니다.

 

반대로 HTTPS의 경우 HyperText Transfer Protocol over Secure Socket Layer의 약자로 같은 웹 표준 프로토콜이지만 SSL (Secure Socket Layer)을 통해서 서로 주고받는 내용을 암호화하여 해커가 알 수 없도록 통신하는 신규 암호화 프로토콜입니다.

 

따라서 HTTP는 비문 통신 네트워크이며 HTTPS는 암호화 통신 네트워크로 구분됩니다.

 

 

---

 

◆ HTTP 프로토콜의 위험성

 

 

HTTP 프로토콜에서 로그인을 하면 로그인 정보를 웹 서버로 전송하게 되며 웹서버는 해당 내용을 검증하여 로그인 성공, 실패 여부를 클라이언트에게 알려주게 되면서 로그인 가능 여부를 알려줍니다.

 

하지만 해당 로그인 정보는 암호화가 되지 않았기 때문에 해커가 중간에 데이터 하이재킹(가로채기)을 시도하면 누구나 쉽게 아이디, 비밀번호와 같은 정보를 탈취할 수 있게 됩니다.

 

 

HTTPS 프로토콜의 경우 로그인을 시도하면 로그인 정보를 중간에 암호화를 하여 서버로 전송하게 되며 서버는 복호화를 하지 않고 암호화된 내용을 기반으로 해쉬(Hash) 값 비교로 로그인 가능 여부를 클라이언트에게 알려주는 것입니다.

 

따라서 해커는 중간에 가로채더라도 전혀 알 수 없는 암호화 데이터로 인해 해독이 가능하더라도 그렇게까지 복호화를 시도하면서 탈취하는 것은 불가능에 가깝습니다.

 

 

따라서 HTTP 프로토콜의 경우 현재 시점에서는 사용이 암묵적으로 금지된 프로토콜로 사용 못하는 것은 아니지만 권장하지 않는 프로토콜로 HTTPS 프로토콜을 의무화한 상태입니다.

 

 

---

 

◆ HTTPS 프로토콜 의무화의 의미

 

 

HTTPS 프로토콜이 2018년부터 전 세계적으로 의무화가 되기 시작했으며 2020년 3월부터 가장 많은 점유율을 가진 구글 크롬에서는 HTTP 프로토콜로 접근을 차단하고 파일을 다운로드할 수 없도록 조치하였습니다.

 

HTTPS 보안성이 높고 해킹 시도가 있다 하더라도 탈취된 암호화 데이터를 복호화할 수 있는 방법이 없기 때문에 대부분 사이트에서는 필수적으로 사용되고 있습니다.

 

 

이렇게 웹에서 HTTPS가 의무화가 되고 SSL이라는 보안 암호 프로토콜이 필수가 되면서 웹뿐만 아니라 ioT 기기를 포함한 여러 곳에서 무조건적으로 사용되고 있습니다.

 

따라서 HTTPS 의무화는 현재 보안 네트워크에 대한 밑 발판을 가져왔다고 생각하시면 될 것 같습니다.

 

---

 

◆ HTTPS의 단점

 

 

일단 개발자 및 운영자 입장에서 보면 HTTPS 프로토콜은 누구든지 무료로 오픈할 수 있지만 이 HTTPS 프로토콜이 안전하다는 것을 인증해주는 기관을 통해서 SSL 보안 인증을 검증받아야만 정상적인 프로토콜로 사용할 수 있습니다.

 

인증서가 올바르지 않은 경우

 

인증서에 문제가 있거나 프로토콜을 정상적으로 인증을 할 수 없는 상태인 경우 위와 같이 각 브라우저에서 해당 보안 프로토콜은 정상적인 암호화가 되어있지 않거나 페이크이니까 접근하지 말라면서 접근할 때마다 나타나게 됩니다.

 

이런 내용이 사이트에 접근할 때마다 나타나면 사용자 입장에서는 거부감이 들고 이용을 하지 않게 되는 효과를 가지게 되어 운영자에게는 방문자수 저하의 큰 원인이 됩니다.

 

 

더 큰 문제는 HTTPS 구축을 위한 SSL 보안 인증서가 싼 편도 아니며 도메인이 여러 개일 경우에는 개수만큼의 비용을 더 내야 한다는 것입니다.

 

또한 a.domain.com와 b.domain.com의 경우에도 같은 도메인 주소이지만 서로 다른 주소로 인식하기 때문에 이를 Wildcard SSL이라는 *.domain.com을 하나로 묶어서 인증받을 수 있는 인증서가 있지만 이 인증서는 가격이 매우 비싸며 중소기업에서는 부담이 되는 가격입니다. 이 처럼 기업 측면에서는 고정지출이 됩니다.

 

 

사용자 입장에서는 주소가 번거로워지고 HTTPS로 바꾼다고 해서 해킹이 발생 안 하는 것도 아니고 HTTPS를 검증한다고 해도 사용자가 봤을 땐 이게 안전한 것을 누가 보증할 수 있는지를 알 수가 없습니다.

 

그렇다 보니 HTTPS를 한다고 해서 사용자가 느끼는 보안성과 신뢰성에는 사실 크게 변화가 없는 것이 현실입니다.

 

 

글이 유익하셨다면 공감, 댓글, 구독해주시면 블로그 발전에 큰 도움이 됩니다. ^^-