본문 바로가기
IT/IT월드

http보다 보안이 뛰어난 https란 무엇이고 왜 사용률이 높아지는가?

by 썬도그 2019. 1. 6.
반응형

티스토리는 모바일 앱에서 글 쓰기도 어렵고 수 많은 버그와 여전히 플래시를 사용해서 크롬 웹 브라우저에서 사진 1장 올리려면 매번 플래시 허용을 해줘야하고 자동 저장 기능도 매번 활성화 시켜줘야 합니다. 지금 이 포스팅도 길어질 것 같아서 잠시 플래시 허용을 했습니다. 이렇게 서비스가 방치되는 것에 대해서 쓴소리를 참 많이했고 지금은 그냥 자포자기 상태입니다.

그러나 티스토리가 변화를 꾀하고 있습니다. 먼저 통계서비스를 개편했습니다. 개편된 통계서비스는 꽤 유용합니다. 좋은 개편입니다. 그러나 유입경로 기능을 말도 없이 삭제했다고 많은 비판을 받고 다시 살릴 방법을 찾고 있습니다. 

티스토리는 2019년 초에 대대적인 개편을 예고했습니다. 가장 반가운 건 에디터 개편입니다. 지금 티스토리 에디터는 2012년 경에 만들어져서 많은 버그와 문제점이 있습니다. 무척 불편하기도 하고요. 


또한 2019년 1월 21일부터는 SSL을 강제로 일괄 적용한다고 발표했습니다. SSL은 Secure Socker Layer의 약자로 클라이언트인 PC나 스마트폰과 네이버나 다음과 같은 인터넷 서비스 제공자가 운영하는 서버와의 통신을 암호화해서 통신하는 규약입니다. 이 SSL 규약을 적용한 http 프로토콜이 https입니다. 


https는 무엇인가?


우리가 구글 크롬이나 ms 인터넷 익스플로러 같은 웹브라우저를 사용할 때 사용하는 프로토콜이 http입니다. 이 http는 웹 브라우저에 서버가 보내온 데이터를 인간이 보기 편하게 재현하는 프로토콜입니다. 네트워크 OSI 7layer에서 가장 상위에 있는 프로토콜이죠. 이 http는 서버와 스마트폰 또는 pc와 데이터를 주고 받을 때 데이터가 암호화가 되지 않아서 해커들이 네티워크 길목에서 패킷 감청을 하면 내가 입력한 정보가 고스란히 노출됩니다. 또한, 패킷을 조작해서 가짜 정보를 전송할 수 있습니다. 

쉽게 말하면 전화선 중간을 연결해서 전화 통화 내용을 그대로 들을 수 있습니다. 반면 https는 보안프로토콜인 SSL를 바른 프로토콜로 서버와 클라이언트 사이의 정보가 암호화 되어서 전송이 됩니다. 따라서 https를 제공하는 서비스가 주고 받는 데이터를 중간에 패킷 감청을 해도 그 내용이 암호화 되어서 알아 들을 수 없습니다. 

http가 중간에 훔쳐 듣기하면 "내일 어디서 만날까?"라고 또렷하게 들리는데 반해 https를 훔쳐 들으면 %&%$&$(*&^^#%@$@ 라고 들립니다. 즉 암호화 되어서 그 암호를 해독할 키가 없으면 무슨 소리인지 알 수 없습니다. 하지만 이 암호문을 열수 있는 키를 가진 사람은 암호를 해독(복호)하고 "내일 어디서 만날까?"라고 들을 수 있습니다.  이 암호를 열 수 있는 키가 디지털 인증서입니다. 이 인증서가 없는 사람은 훔쳐 듣기를 해도 그 내용을 알 수 없습니다. 참고로 암호는 40비트 키 크기의 RC4 스트림 암호 알고리즘을 사용합니다. 


htttps 보안 프로토콜은 스마트폰이나 노트북이나 PC를 사용하는 클라이언트들이 아닌 서버를 운영하는 인터넷 서비스 회사들이 제공해줘야 합니다. 최근 네이버와 다음은 이 https 보안 프로토콜을 제공하고 있고 티스토리도 1월 21일 부터는 강제로 적용할 예정입니다. 

이는 자발적인 것도 있지만 구글이 적극적으로 진행하고 있어서 따라가는 모습도 있습니다. 구글은 2017년 1월에 출시한 구글 크롬 56에서 http사이트에 접속하면 주소창에 안전하지 않다고 경고 표시를 하기 시작합니다. 이후 2018년 7월에 출시한 구글 크롬 68에서 http 사이트에 접속하면 '주의 요함'을 표시하고 있습니다. 반면 https를 사용하는 사이트는 https 옆에 자물쇠 잠금 표시를 하고 안전한 사이트라고 표시하고 있습니다. 


<보안이 강화된 http프로토콜인 https를 터치하는 사람/작성자: Jirsak/셔터스톡>

이렇게 구글이 https를 강력하게 요구하고 이유는 간단합니다. 웹 사이트에서 개인 정보나 여러가지 중요한 정보를 해킹당할 위험을 줄이기 위해서입니다. 구글은 항상 쾌적한 인터넷 생태계를 만들기 위해서 노력하고 있고 그게 자신들의 돈 벌이에 도움이 되기에 꾸준하게 https 사용을 권장하고 있습니다. 그래서 구글은 구글 검색에서 https로 된 도메인을 더 우대하고 있습니다. 이는 네이버나 다음도 따를 것으로 보입니다. 


SSL과 TLS의 차이점은?

SSL과 TLS는 큰 틀의 구조는 동일합니다. SSL 버전 업을 거듭 「SSL3.0」가되고, 그 다음 버전에서 "TLS1.0"라는 명칭으로 불리게되었습니다. SSL의 명칭은 인터넷 사용자 사이에서 널리 보급되어 있기 때문에 TLS를 가리키고 있어도 SSL 또는 SSL / TLS로 표기하는 경우가 많아지고 있습니다. 



<HTTPS를 지원하는 인증서와 고유 도메인 수 Let 's Encrypt 제공>

위 그래프는 https 서비스의 사용 증가를 담고 있는 그래프입니다. 오렌지 점선이 인증서 수, 파란 실선이 FQDN(전체주소도메인주소)이고 녹색 점선이 사용중인 등록된 도메인 수입니다. 이 3개의 수는 https 사용을 간접적으로 알 수 있는 지표로 모두 2016년 1월부터 증가 추세에 있습니다. 

Let 's Encrypt에 따르면 https 서비스에 필요한 루트 인증서가 2019년에는 1억 2천만 이상으로 올라갈 것으로 예상하고 있습니다. Let 's Encrypt는 무료 SSL 인증서를 제공하는 곳으로 하루에 수백만 개의 인증서를 발급하고 있습니다. 매일 4천만 건의 OCST(X.509 공개 키 인증서의 해지 상태를 취득하기 위한 통신 프로토콜)요청에 응답하고 인증서에 서명하고 있습니다. 전체적으로 하루 55억 회의 대응을 하고 있습니다. 2019년에는 40%가 더 증가할 것으로 예상하고 있습니다. 


https 사용이 증가하는 이유는 보안 이슈 때문

대한민국 국민의 개인 정보는 공공재라고 할 만큼 많은 웹 서비스를 제공하는 회사의 서버가 엄청나게 해킹을 당했습니다. 작은 기업의 웹 서비스 뿐 아니라 유명한 웹 사이트들도 참 많이 해킹당했죠. 오픈마켓은 물론이고요. 정말 많이 해킹을 당하자 정부는 가입자 정보를 암호화하고 1년 이상 접속을 하지 않은 가입자는 탈퇴나 휴면 계정으로 전환하라고 법으로 정했습니다. 

그러나 기업들의 보안 의식이 높아지지 않는 이상 개인 정보 유출은 앞으로 꾸준하게 일어날 것입니다. 해킹에 대한 방어 능력이 없으면 아예 개인 정보를 저장하지 않는 방향으로 가는 것이 좋고 온라인 쇼핑몰처럼 쇼핑 편의를 위해서 저장해야 한다면 최소하 그 정보를 암호화 해서 저장해야 합니다. 또한 서버 해킹 이전에 사용자와 서버의 데이터를 암호화해서 전송해서 주고 받게 하는 https 서비스를 기본적으로 제공해야 합니다. 

은행에서 사용하는 공인인증서는 아니더라도 보안 인증서를 주고 받아서 인가 된 사람끼리만 전송한 데이터를 해독해서 읽을 수 있는 서비스가 https 보안 프로토콜입니다. 따라서 웹 사이트에 접속했는데 주소창에서 주소가 https로 시작되면 좀 더 안심하고 이용할 수 있습니다. 


https 보급에 압장서는 구글은 https 사용 증가를 소개하고 있습니다. 먼저 구글 서비스들은 대부분 https를 모두 지원합니다.




https를 많이 사용하는 나라는 영국, 인도, 일본, 인도네시아 등이 높네요. 그러나 한국은 안 보이네요. 한국을 조사 안 한 것일 수 있지만 한국은 IT 인프라 강국이지 IT 보안 강국은 아닙니다. 한국 인터넷 기업들이 https를 꺼리는 건 비용 문제가 큽니다. 돈 많이 버는 네이버와 다음도 최근에 https를 지원했지 이전에는 http만 지원했습니다. 그 마저도 구글이 크롬에서 https가 아니면 안전하지 않다고 강력하게 표시하니 마지 못해 변화를 한 것도 있고요. 그러나 최근에 인증서를 공급하는 업체 중에 유료가 아닌 무료로 제공하는 곳이 늘고 있어서 비용은 줄어드는 추세입니다. 


운영체제 별로 보면 윈도우, 안드로이다, 크롬, 리눅스, 맥 모두 증가추세에 있습니다. ,아무래도 https를 지원하는 웹 서비스가 증가하면서 서서히 증가하는 모습이네요. 



https 프로토콜을 사용하는 서비스 사용 시간도 늘고 있습니다. 특히 안드로이드 스마트폰에서 https 브라우징 시간이 빠르게 증가하고 있습니다. 

1월 21일 티스토리도 강제로 https 서비스를 제공합니다. 제 블로그는 https 서비스로 진입했다가 네이버 검색에서 노출이 잘 안되는 문제가 있어서 http로 돌아왔습니다. 그러나 어쩔 수 없이 1월 21일에 https로 바뀌겠네요. 뭐 시대의 흐름을 따라야죠. 다만 https로 전환되면 네이버 웹마스터에 새로운 도메인으로 등록해야 하는 등 좀 준비하고 변경할 것이 있습니다.

반응형