[240319] HTTP와 HTTPS의 차이점

2024.03.19

Careertone Challenge Study 01

 

 

HTTPS는 무엇인가요?

HTTPS(Hypertext Transfer Protocol Secure)

HTTP가 전송하는 데이터가 암호화되지 않은 부분을 보완한 프로토콜이다. TLS 계층을 거치는 방식으로 HTTP를 운영하여 HTTP의 전송 메시지 바디(전송되는 데이터가 있는 부분)를 암호화시키는 것이다.

 

 

HTTPS가 활성화된 배경

온라인 상거래나 사용자 인증 등 보안을 유지하는 데 사용되었다. 구글은 2014년 HTTPS 사용을 권고했고, 검색 엔진 가산점 정책에 HTTPS를 추가시켜서 많은 사이트가 전환하게끔 이끌었다.

 

 

HTTP와 HTTPS의 차이점

보안 적용의 유무이다. 보안의 핵심에는 SSL/TLS 프로토콜과 CA 인증 메커니즘이 존재한다. SSL/TLS(Secure Sockets Layer/Transport Layer Security) 프로토콜은 데이터를 암화화하고, CA(인증기관)는 인증서를 발급한다.

 

 

SSL/TLS의 작동 방식

웹 브라우저와 서버 간의 안전한 통신을 제공하며 크게 4가지의 방식으로 작동된다.

 

1. 핸드셰이크 : 클라이언트(웹 브라우저)가 서버에 연결 요청을 보내면, 서버는 인증서를 제공한다. 클라이언트는 서버의 신원을 확인하고, 통신에 사용할 대칭키를 생성한다.
2. 암호화 : 대칭키를 사용하여 통신을 암호화한다. 암호화는 중간에 제3자가 데이터를 엿볼 수 없도록 보호한다.
3. 데이터 교환 : 암호화된 데이터가 클라이언트와 서버 간에 안전하게 교환된다.
4. 연결 종료 : 통신이 완료되면, 클라이언트와 서버는 연결을 종료하고 통신에 사용된 대칭키를 폐기한다.

 

 

CA(인증기관)은 무엇인가?

CA는 서버의 신원을 확인하고 인증하는 역할을 담당한다. 웹사이트가 신뢰할 수 있는지 확인하기 위해 CA는 디지털 인증서를 발급한다. 웹사이트의 정보와 공개키가 포함되어 있으며, 신뢰성을 확인하고 안전한 연결을 설정한다.

 

 

암호화 메커니즘을 설명하시오.

암호학에서 핵심으로 두는 3가지 보안 기능성을 얻을 수 있다. (CIA)

 

1. 기밀성(Confidentiality) : 교환되는 데이터를 도청해도 의미가 없게끔 데이터가 강력한 암호 알고리즘으로 암호화된다. 대칭 알고리즘을 통해 암호화와 복호화된다.
2. 무결성(Integrity) : 정보가 중간에 변질되지 않았음을 보장하는 것이다. 중간에 중요한 정보만 가로채거나 수정하는 것을 방지한다. 클라이언트와 서버는 전자 서명(Digital Signature)을 통해 통신을 맺어 신뢰성을 확보한다.
3. 인증(Authentication) : 인증서 제도를 운영한다. 인증서 기관을 통해 해당 서버가 안전한 서버라는 것을 확인할 수 있다.

 

 

공개키 암호화 (비대칭 암호화)

공개키로 데이터를 암호화하여 공개키 소유자에게 전달한다. 공개키 소유자는 개인키로 복호화한다. 공개키는 데이터를 암호화하는 용도이고, 개인키는 데이터를 복호화하는 용도이다. 암호화 절차가 까다롭기에 데이터를 암호화하기보다는 서로의 신원을 확인하거나 특정 데이터( 대칭키)를 공유하는 용도로 사용한다.

 

 

대칭키 암호화 (대칭 암호화)

암호화와 복호화에 같은 "비밀키"를 사용한다. 빠르게 데이터를 암호화/복호화할 수 있으나 상대방이 안전한 사람인지 확인할 방법이 없다. 그래서 비대칭 암호화로 안전한 상대인지 확인하고 이후의 데이터를 대칭키로 암호화/복호화하는 하이브리드 방식으로 진행한다.

 

 

 

 

참고

https://brunch.co.kr/@swimjiy/47