제 7장. 웹을 안전하게 지켜주는 HTTPS

📘 1. HTTP의 문제점과 해결 방안

HTTP의 3가지 문제점과 각각에 대한 해결 방안에 대해서 알아보자.

🔎 1-1. 평문(암호화하지 않은)이기 때문에 도청이 가능하다.

• HTTP를 사용한 요청과 응답의 통신 내용은 HTTP 자신을 암호화하는 기능이 없기 때문에 통신 전체가 암호화되지는 않는다.
• 즉, 평문(암호화되지 않은 메시지)으로 HTTP 메시지를 보낸다
• 어느 서버와 클라이언트가 통신을 할 때, 통신 경로 상에 있는 네트워크 기기, 케이블, 컴퓨터 등을 전부 자기 자신이 소유하고 있을 수는 없다.
• 그래서 악의를 가진 누군가가 HTTP 메시지를 엿볼 수 있다.

📌 해결책

• 통신 암호화
  SSL(Secure Socket Layer)이나 TLS(Transport Layer Security)라는 다른 프로토콜을 조합함으로써 HTTP의 통신 내용을 암호화할 수 있다
  SSL 등을 이용해 안전한 통신로를 확립하고 나서 그  통신로를 사용해 HTTP 통신을 한다.
  SSL을 조합한 HTTP를 HTTPS(HTTP Secure)나 HTTP over SSL이라고 부른다.
  
• 콘텐츠 암호화
  콘텐츠의 내용 자체를 암호화하는 방법
  HTTP를 사용해서 운반하는 내용을 암호화하는 것
  콘텐츠의 암호화를 유효하게 하기 위해서는 클라이언트와 서버가 콘텐츠의 암호화나 복호화 구조를 가지고 있는 것이 전제가 되어야 한다

 

 

🔎 1-2. 통신 상대를 확인하지 않기 때문에 위장 가능

• HTTP를 사용한 요청과 응답에서는 통신 상대를 확인하지 않는다.
• 문제점
  위장한 웹 서버일 수 있다
  위장한 클라이언트일 수 있다
  특정 상대만 통신을 허가할 수 없다
  어디의 누가 요청을 보냈는지 확인할 수 없다
  의미 없는 요청이라도 수신하게 되므로, 대량의 요청에 의한 DoS 공격을 방지할 수 없다
  
  

📌 해결책

• 상대를 확인하는 증명서
  SSL이 제공하는 상대를 확인할 수 있는 증명서를 사용
  증명서는 신뢰할 수 있는 제 3자 기관에 의해 발행되는 것이기 때문에 서버나 클라이언트가 실재하는 사실을 증명
  증명서를 위조하는 것은 기술적으로 상당히 어려움
  통신 상대의 서버나 클라이언트가 가진 증명서를 확인함으로써 통신 상대가 내가 통신하고자 하는 상대인지 아닌지를 판단
  클라이언트가 증명서를 가짐으로써 본인 확인을 하고, 웹 사이트 인증에서 이용 가능

 

 

🔎 1-3. 완전성을 증명할 수 없기 때문에 변조 가능

• 완전성이란 정보의 정확성을 가리킨다
• 완전성을 증명할 수 없기 때문에 정보가 정확한지 아닌지를 확인할 수 없음
• 즉, 요청이나 응답이 발신된 후에 상대가 수신할 때까지의 변조가 되었다고 해도 이 사실을 알 수 없음

📌 해결책

• HTTP를 사용해서 완전성을 확인하기 위한 방법은 있지만, 확실하면서 편리한 방법은 현재로서는 존재하지 않음
• 자주 사용되고 있는 방법은 MD5나 SHA-1등의 해시 값을 확인하는 방법과 파일의 디지털 서명을 확인하는 방법이 있음
• HTTP만으로는 완전성을 보증하는 것이 어렵기 때문에 다른 프로토콜을 조합함으로써 변조를 방지

 

 

📘 2. HTTPS = HTTP + 암호화 + 인증 + 완전성 보호

• HTTP에 암호화, 인증, 완전성 보호 등의 구조를 더한 것을 HTTPS(HTTP Secure)라고 부른다.

 

• HTTPS는 새로운 애플리케이션 계층의 프로토콜이 아니다.

• HTTP 통신을 하는 소켓 부분을 SSL(Secure Socket Layer)이나 TLS(Transport Layer Security)라는 프로토콜로 대체하는 것
• HTTP는 직접 TCP와 통신하지만, SSL을 사용한 경우에는 HTTP는 SSL과 통신하고 SSL이 TCP와 통신함
• 즉, SSL이라는 껍질을 덮어쓴 HTTP가 HTTPS임

 

• HTTPS는 공통키 암호와 공개키 암호의 양쪽 성질을 가진 하이브리드 암호 시스템을 사용
• 키를 교환하는 곳에서는 공개키 암호를 사용하고 그 후의 통신에서 메시지를 교환하는 곳에서는 공통키 암호를 사용

 

• 공개키가 정확한지 아닌지를 증명하는 하기 위해서 '인증 기관(CA: Certificate Authority)' 그 기관이 발행하는 '공개키 증명서'를 사용

 

 

📘 3. HTTPS의 문제점

• SSL을 사용하면 처리가 늦어진다는 문제가 있다.
• 이유 1. 통신 속도가 떨어진다
  TCP 접속과 HTTP의 요청/응답 이외에 SSL에 필요한 통신이 추가되기 때문에 전체적으로 처리해야 할 통신이 증가
• 이유 2. CPU나 메모리 등의 리소스를 다량으로 소비함으로써 처리가 느려진다
  SSL은 반드시 암호화 처리를 하고 있기 때문에 암호화나 복호화를 위한 계산이 필요하다.
  그렇기 때문에 서버나 클라이언트의 리소스를 소비하게 되어 HTTP에 비해 부담이 커짐

 

• 느려지는 것에 대한 근본적인 해결 방법은 없기 때문에, SSL 엑셀레이터라는 하드웨어를 사용해서 이 문제를 해결하기도 한다