[Network] HTTP와 HTTPS

채린·2023년 6월 7일
network
1

CS

목록 보기
3/5
post-thumbnail

❓ HTTP와 HTTPS의 차이점에 대해 간략히 설명해주세요

HTTP와 HTTPS의 결정적인 차이는 보안입니다. HTTP 프로토콜은 인터넷 상에서 정보를 주고받는 프로토콜을 말하는데 이 HTTP 프로토콜의 경우 데이터를 암호화하지 않은 일반 텍스트로 송수신하기 때문에 보안에 취약합니다. 이를 보완한 프로토콜이 HTTPS 프로토콜이며, HTTPS는 HTTP 프로토콜로 송수신하는 일반 텍스트를 SSL 또는 TLS 프로토콜을 통해 암호화하여 송수신합니다.


⭐ HTTP(Hyper Text Tranfer Protocol)


HTTP(Hyper Text Tranfer Protocol)란 서버/클라이언트 모델을 따라 데이터를 주고 받기 위한 웹의 기본 통신 프로토콜이다. 인터넷에서 하이퍼텍스트를 교환하기 위한 통신 규약으로, 일반적으로 TCP/IP 통신 위에서 동작하며 기본 포트는 80번이다. 즉, HTTP 서버가 80번 포트에서 요청을 기다리고 있으며, 클라이언트는 80번 포트로 요청을 보내게 된다. 또한 HTTP 프로토콜은 상태가 없는(stateless) 프로토콜인데 여기서 상태가 없다는 말은 데이터를 주고 받기 위한 각각의 데이터 요청이 서로 독립적으로 관리가 된다는 뜻이다.

하지만 HTTP는 암호화가 되지 않는 평문 데이터를 전송하는 프로토콜이기 때문에, HTTP로 비밀번호나 주민등록번호등을 주고 받으면 제 3자가 정보를 조회할 수 있습니다. 이러한 문제를 해결하기 위해 등장한 것이 HTTPS 입니다.



⭐ HTTPS(Hyper Text Tranfer Protocol Secure)

Desktop - 2


HTTPS 는 HTTP에 데이터 암호화가 추가된 프로토콜이다. HTTPS는 HTTP와 다르게 443 포트를 사용하며, 네트워크 상에서 중간에 제 3자가 정보를 볼 수 없도록 암호화를 지원하고 있다. 웹 사이트를 HTTPS에서 실행하려면 SSL (Security Socket Layer) 인증서가 필요합니다. SSL 인증서는 사용자가 사이트에 제공하는 정보를 암호화하는데, 쉽게 말해서 데이터를 암호로 바꾼다고 생각하면 된다. 이렇게 전송된 데이터는 중간에서 누군가 훔쳐 낸다고 하더라도 데이터가 암호화되어있기 때문에 해독할 수 없습니다. 그 외에도 HTTPS 는 TLS(Transport Layer Security) 프로토콜을 통해서도 보안을 유지합니다. TLS의 경우 데이터 무결성을 제공하기 때문에 데이터가 전송 중에 수정되거나 손상되는 것을 방지하고, 사용자가 자신이 의도하는 웹사이트와 통신하고 있음을 입증하는 인증 기능도 제공하고 있습니다.


또한 HTTPS의 경우 검색엔진최적화(SEO)에 있어서도 큰 혜택을 볼 수 있습니다. 이는 구글이 HTTPS 웹사이트에 가산점을 주는 이유 때문이기도 하지만, 사용자들이 결국에는 안전하다고 생각하는 사이트를 더 많이 방문하기 때문이기도 합니다.



⭐ HTTPS의 암호화

HTTPS는 대칭키 암호화 방식비대칭키 암호화 방식을 모두 사용하고 있다. 각각의 암호화 방식은 다음과 같다.


대칭키 암호화

  • 클라이언트와 서버가 동일한 키를 사용해 암호화 / 복호화를 진행함
  • 키가 노출되면 매우 위험하지만 연산 속도가 빠름

비대칭키 암호화

  • 1개의 쌍으로 구성된 공개키와 개인키를 암호화 / 복호화 하는데 사용함
  • 키가 노출되어도 비교적 안전(키 전송과정 중 빼앗겨도 빼앗은 사람이 해독을 할 수 없으니까) 하지만 연산 속도가 느림

👀 용어 설명

  • 암호화 : 어떤 정보를 암호화된 정보로 바꾸는 것

  • 복호화 : 암호화된 정보를 다시 원래 정보로 바꾸는 것

  • 공개키 : 모두에게 공개가능한 키

  • 개인키 : 나만 가지고 알고 있어야 하는 키


❓ HTTPS는 이 두개를 어떻게 같이 쓸까?

HTTPS는 대칭키 암호화와 비대칭키 암호화를 모두 사용하여 빠른 연산 속도와 안정성을 모두 얻고 있다.

HTTPS 연결 과정(Hand-Shaking)에서는 먼저 서버와 클라이언트 간에 세션키를 교환한다. 여기서 세션키는 주고 받는 데이터를 암호화하기 위해 사용되는 대칭키이며, 데이터 간의 교환에는 빠른 연산 속도가 필요하므로 세션키는 대칭키로 만들어진다. 문제는 이 세션키를 클라이언트와 서버가 어떻게 교환할 것이냐 인데, 이 과정에서 비대칭키가 사용된다.

즉, 처음 연결을 성립하여 안전하게 세션키를 공유하는 과정에서 비대칭키가 사용되는 것이고, 이후에 데이터를 교환하는 과정에서 빠른 연산 속도를 위해 대칭키가 사용되는 것이다.



⭐ HTTP와 HTTPS


HTTP는 암호화가 추가되지 않았기 때문에 보안에 취약한 반면, HTTPS안전하게 데이터를 주고받을 수 있다.

하지만 HTTPS 를 이용하면 암호화 / 복호화의 과정이 필요하기 때문에 HTTP 보다 속도가 느리다. (오늘날에는 거의 차이를 못 느낄 정도이다.)

또한 HTTPS인증서를 발급하고 유지하기 위한 추가 비용이 발생한다.



📚 참고

https://developer.mozilla.org/en-US/docs/Web/HTTP
https://mangkyu.tistory.com/98
https://blog.wishket.com/http-vs-https-%EC%B0%A8%EC%9D%B4-%EC%95%8C%EB%A9%B4-%EC%82%AC%EC%9D%B4%ED%8A%B8%EC%9D%98-%EB%A0%88%EB%B2%A8%EC%9D%B4-%EB%B3%B4%EC%9D%B8%EB%8B%A4/
https://blog.wishket.com/http-%EA%B7%B8%EB%A6%AC%EA%B3%A0-https%EC%9D%98-%EC%9D%B4%ED%95%B4/
https://www.ascentkorea.com/difference-between-http-and-https/

Image by Anna Lysenko from Pixabay

profile
채린
이전 포스트

[Network] CORS(Cross Origin Resource Sharing)

다음 포스트

[Network] IP(Internet Protocol)

0개의 댓글