[Network] HTTPS의 보안 원리(feat. SSL,공개키 암호화 방식)

HTTP의 보안

 

HTTP는 HyperText Transfer Protocol의 약자로 클라이언트와 서버 간 데이터를 주고 받는 통신 규약을 의미한다.

 

(자세한 설명은 이전 글인 Hyper Text는 무엇일까? 에서 볼 수 있다.)

 

HTTP는 단순히 HTML을 클라이언트와 서버가 주고 받기 때문에 정보를 다른 사용자에게 쉽게 노출될 수 있다.

 

즉, 악의적인 사용자가 있다면 네트워크 중간에서 정보를 가로채 조작하거나 없애버리는 등의 공격을 가할 수 있다.

 

(만약 데이터 상에 신용카드 비밀번호, 개인 정보 등이 있다면 치명적일 것이다.)

---

HTTPS란?

 

 

HTTPS는 HTTP + S로, HTTP에 추가적으로 S가 더해진 것이다.

 

그렇다면 이 S는 무엇을 의미할까?

 

바로 Secure Socket Layer, SSL을 의미한다.

 

원래 SSL은 TCP/IP 네트워크에서 통신할 때 사용되는 암호화 기반 프로토콜인데, 

 

이것이 발전되어 기존의 보안 상 위험이 있는 HTTP에 적용된 것이다.

 

즉, HTTP를 통해 주고 받는 HTML 정보를 암호화 시켜 외부 사용자로부터 데이터를 지키는 것이다.

---

SSL이란?

 

암호화의 핵심인 SSL에 대해 더 자세히 알아보자.

 

SSL은 위에서 말했다시피 TCP/IP 네트워크 즉, 전송 계층에서 사용되던 프로토콜이라고 말했다.

 

이것은 곧 TLS(Transport Layer Security)로 발전된다. (즉 TLS의 이전 버전이 SSL이다.)

 

엄밀히 따지면 현재 웹사이트에서 사용하고 있는 프로토콜은 TLS라고 부르는 것이 정확하다.

 

(두 프로토콜은 혼합되어 사용되기도 하고, SSL이 상대적으로 유명해 TLS를 SSL라고 부르는 경우가 많다.)

---

공개키 암호화 방식

 

SSL은 바로 "공개키 암호화 방식"을 이용해서 문서를 보안한다.

 

이 방식의 핵심은 바로 공개키와 개인키가 있는 것인데, 공개키는 누구에게나 공개되어 "모두가 접근이 가능한 키"고 개인키는 딱 한 사람만이 소유해 "본인을 제외한 누구도 접근이 불가능한 키"다.

 

 

조금 더 구체적으로 설명하면 아래와 같다.

 

1. 서버는 공개키와 개인키를 만든다.

 

2. 믿을만한 저장소(CA)와 계약해 두 키를 관리하도록 한다.

 

3.  CA도 자신만의 공개키와 개인키를 가지고 자체 암호화를 하여 SSL 인증서를 발급한다.

 

4. 클라이언트의 데이터 요청이 들어오면 서버는 CA에서 만든 SSL 인증서를 보내준다.

 

5. 클라이언트는 CA의 공개키를 이용해 SSL 인증서를 복호화(암호 해독)한다.

 

6. SSL 내부의 서버 공개키를 이용해서 암호화해서 인증서를 서버에게 보낸다.

 

7. 서버는 개인키로 암호화된 인증서를 복호화(암호 해독)하고 다시 암호화 하여 클라이언트에게 보낸다.

 

이 같은 방식으로 서버와 클라이언트의 문서를 외부에 노출되지 않도록 한다.