HTTPS

 

📌 실전 프로젝트때 HTTPS로 발생하는 문제가 많아 도움이 될까 공부해본다.

 

 

HTTPS

📍HTTP + S (Secure)

의 의미로 기존 HTTP보다 보안성을 더한 프로토콜이다. 

 

 

📍 그럼 HTTP는?

Hypertext Transfer Protocol로 풀이하자면 하이퍼 텍스트를 전송하기 위한 프로토콜로 서로 다른 시스템들 간에 통신을 가능하게 하는 가장 기본적인 프로토콜이다.

하지만 HTTP에는 한가지 문제점이 있는데, 바로 서버에서 브라우저로 전송되는 정보가 암호화 되지 않는다는 것이다.

이는 중간에 탈취를 당한다면 그대로 정보가 노출되어 버리는 것이다.  

 

그래서 이런 문제를 보완하기 위해 나온 것이 바로 HTTPS다.

 

HTTPS는 SSL(Secure Sockets Layer / 보안 소켓 계층) 또는 TLS(Transport Layer Security : SSL이 발전하여 이름이 변경된 것으로 거의 같은 단어로 사용하고 있다)를 사용해 서버와 브라우저 간에 암호화된 연결을 시켜주어 정보가 도난당하는 것을 막아준다. 보는 페이지의 암호화 키를 특정 사용자에게만 알게해 오가는 데이터를 암호화 시키는 것이다.

 

 

📍 그럼 암호화는 어떤 방식으로 할까?

두가지 방식을 혼합하여 사용한다.

두가지 방식을 먼저 소개하자면, 

• 비대칭키 (공개키) 

서로 "다른 키"로 가지고 각각 서로 암호화하고 각자가 가진키로 복호화하는 방식이다. 둘 중 하나는 공개키(Public Key)라고 하며 데이터 암호화 시에 사용하고, 나머지 하나는 개인키(Private Key)라고 하여 복호화시에 사용한다. 공개키로 암호화한 정보는 오직 개인키로만 복호화 할 수 있기 때문에 공개키는 누가 가지고 있더라도 상관 없다. 따라서 키를 전송하는 과정에서 중간 탈취가 이루어져도 전혀 문제가 되지 않는다. 하지만 대칭키와 달리 암호화, 복호화의 연산이 더 어렵고 복잡해 시간이 더 드는 단점이 있다. 

 

• 대칭키

서버와 클라이언트가 각각 "같은 키"를 가지고 서로 암호화와 복호화 하는 방식이다. 그래서 키를 가지고 있는 누구든지 원래 정보로 복호화가 가능하고 빠르며 쉽다. 하지만 같은 키를 가지기 위해 전송하는 과정에서 탈취를 당하면 해커도 대칭키를 이용해 복호화할 수 있다는 단점이 있다.

 

둘다 쓴다는 말에서 두종류 중 하나를 선택한다는 착각을 할 수도 있지만 (내가 그랬다) 정확하게는 두가지를 "혼합"해 사용하며 서로의 단점을 보완하여 최적의 방법으로 사용한다.  

 

그 최적의 방법은 통신과정을 통해 알아보자.

 

 

📍 SSL 기본 통신과정

 

A가 B로 접속 요청을 보내면 B는 A에게 공개키를 전달한다. (공개키 방식)

그러면 A는 받은 공개키를 가지고 자신의 대칭키를 암호화 한다. (공개키 방식)

A는 암호화한 대칭키를 B에게 보낸다

B는 암호화한 대칭키를 받아 자신의 개인키로 복호화 한다. (공개키 방식)

이제부터는 복호화한 대칭키를 가지고 A와 통신을 이어간다 (대칭키 방식) 

 

즉, 서로 같은 키(대칭키)를 갖기위해 처음 연결 때에만 공개키 방식을 사용하고, 이후 서로 대칭키를 갖은 순간부터는 대칭키만을 이용해 쉽고 빠르게 통신한다.

 

그럼 이렇게 통신하는 과정은 알았다. 그래서 이걸 어떻게 적용할 수 있을까?

 

 

📍 HTTPS 적용 방법

 

SSL방식을 적용하려면 인증서를 발급받아 서버에 적용시켜야 한다. 이러한 인증서는 이 서버가 안전한 서버인지 사용자에게 알려주는 역할을 한다. 이러한 인증서를 발급해주는 인증기관, CA(Certificate Authority)라고 하며, 우리 프로젝트에서는 AWS의 Certificate Manager을 이용해 발급받았다. 

 

인증서를 받으려는 사이트는 자신의 정보와 공개키를 CA에게 제공하고 CA는 이를 검증한 후 인증기관의 개인키로 암호화한 인증서를 발급해 준다. 그리고 나서 CA는 이 공개키를 웹브라우저 그 자체에 제공한다. 웹브라우저라는 말에 사이트를 이용하는 클라이언트들에게 알린다는 건가? 생각할지도 모르지만 그게 아니라 웹브라우저 프로그램 그 자체에 공개키를 알린다는 것이다. 

 

 

📍  사용자가 사이트랑 사용하는 방식은?

 

이렇게 웹브라우저가 공개키를 알고 있고, 사이트가 인증서를 가지고 있다면 여기서 사용자는 공개키를 아는 웹브라우저를 사용해 사이트에 접근한다. 그럼 사이트는 발급받았던 인증서를 전송하고, 이를 받은 웹브라우저는 공개키를 가지고 복호화해 사이트 정보와 서버의 공개키를 알게 된다. 이렇게 얻은 서버의 공개키로 대칭키를 암호화하여 다시 사이트에게 보낸다. 그럼 사이트는 개인키로 이를 복호화해 대칭키를 얻고 그 다음부터는 서로 대칭키만을 가지고 정보를 주고 받는다. 그리고 세션이 종료되면 대칭키를 폐기한다. 

 

 

📍 그럼 오로지 보안 때문에 사용하나?

 

물론 가장 큰 사용 이유는 물론 보안이다. 정말 중요한 부분이기도 하고.. 하지만 요즘 사이트들 사이에서 필수적인 이유를 하나 더 들자면 SEO, Search Engine Optimization 즉, 검색 엔진 최적화 때문이기도 하다. 네이버 구글 등의 검색 엔진 사이트에서는 신뢰할 수 있는 사이트들을 우선 순위로 상위에 노출시키는 데 이 때 판단 기준으로 보안이 들어가기 때문이다. 노출도가 중요한 웹사이트에게 있어 당연히 중요하게 여겨질 수 밖에 없다. 그렇기 때문에 요즘에는 보통 다 적용하는 추세다. 하지만 HTTPS가 하는 암호화가 과부화를 주어 속도를 늦추는 등 단점도 있기 때문에 사이트의 일부만을 HTTPS로 관리하고 그렇지 않는 사이트는 HTTP를 사용하기도 한다. 

 

 

 

 

---

➕ 공부자료 

[네트워크] HTTPS (개념, SSL/TLS 암호화 과정, 장단점)