ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • HTTPS 접속방식 소개
    카테고리 없음 2016. 6. 29. 14:08
    반응형


    웹브라우저 주소창에 있는 자물쇠 모양 아이콘은 암호화 접속방식인 HTTPS(Hypertext Transfer Protocol Secure)를 가리키며 이는 온라인에서의 뱅킹과 쇼핑 그리고 피싱 방지 측면 중요한 의미를 가진다. 대부분의 웹사이트는 HTTP 표준 프로토콜을 사용하는데 HTTPS는 여기에 암호화를 통해 보안을 강화한 방식이다.

     

    HTTP의 보안상 문제점

    HTTP 프로토콜을 채택한 웹사이트에 접속할 때 브라우저는 웹사이트에 대한 IP 주소를 열람하여 이를 통해 접속하기만 하면 접속한 위치를 올바른 웹사이트로 인식한다. 또한 데이터가 평문으로 전송되기 때문에 중간에서 와이파이 네트워크, 인터넷서비스공급자(internet service provider, ISP), 국가정보기관 등이

    사용자가 방문하는 웹페이지와 주고받는 데이터를 수집할 수 있다.

     

    이러한 HTTP 방식은 우선 접속한 대상이 올바른 웹사이트인지 확인(authenticate)할 방법이 따로 없다는 문제가 있다. 예를 들어 은행 웹사이트로 접속한 줄 알았는데 은행처럼 꾸민 허위 웹사이트에 접속하는 일이 생길 수 있다는 것이다. 또한 HTTP은 접속에 별도의 암호화가 없기 때문에 비밀번호나 카드번호 등 개인정보가 노출되어 외부인에게 탈취될 수 있으며 사용자의 방문 및 검색 기록도 유출될 수 있다.

     

    HTTPS의 작동원리와 장점

    HTTPS는 위와 같은 HTTP의 약점을 극복하이 위해 설계된 프로토콜이다. HTTPS를 채택한 사이트에 접속하면 웹브라우저가 웹사이트 측의 보안인증서를 확인하고 그 인증서가 정식 인증기관으로부터 발행됐음을 확인하게 된다. 따라서 주소창에 예를 들어 은행 웹사이트 주소가 https://bank.com이라고 적혀 있다면 그 은행 주소가 허위가 아닌 진짜임을 알 수 있다. 인증기관 측에서 불량인증서를 발행함으로 인해 웹사이트 접속이 잘못되는 경우도 없진 않다. 또한 개인계정 로그인을 하거나 카드번호, 결제기록 등 개안정보를 전송할 경우 해당 데이터는 암호화되어 외부인에 의한 정보 탈취를 차단한다. HTTPS가 완벽한 보안대책이라고 보긴 어렵지만 적어도 HTTP의 근본적 문제점을 대폭 수정했다는 면에서 의미가 있다.

     

    HTTPS는 웹사이트 정보에 대한 인증수단으로서 접속한 웹사이트가 올바른 웹사이트인지 가짜인지 판별하는 증요한 기준이 된다. 특히 은행 웹사이트에 접속할 때 로그인 페이지에 HTTPS 주소와 아이콘이 표시되지 않았다면 웹페이지 자체의 모양이 실제 은행 웹사이트와 비슷해 보여도 이는 허위로 꾸며졌을 가능성이 대단히 높다. 또한 웹사이트에서 개인정보를 입력하여 로그인하거나 결제관련 정보를 입력할 때 해당 웹사이트에서 이러한 데이터를 암호화하는 HTTPS 방식을 채택했는지가 중요하며 만약 단순 HTTP일 경우에는 별도 보안대책이 없는 한 개인정보 등 기밀정보를 입력해서는 안 된다.

     

    구글의 경우 이제 HTTPS가 기본 설정으로 채택되며 따라서 구글에서 검색을 실행할 경우 외부인이 사용자의 검색기내용을 볼 수 없게 된다. 예를 들어 사용자가 위키피디아에 HTTPS로 접속할 경우 외부인은 사용자가 위키피디아에 접속했다는 사실만 알 수 있고 위키피디아에서 구체적으로 어떤 글을 보는지는 알 수 없다.

     

    HTTPS 판별 및 주의사항

    어떤 웹사이트가 HTTPS를 채택했는지 확인하기 위해서는 주소창에 적힌 주소가 https://로 시작하는지 보면 된다. 이 경우 자물쇠 아이콘도 표시되며 이걸 클릭하면 웹사이트 보안에 대한 상세정보를 확인할 수 있다.



     


    그런데 사용자들이 이렇게 HTTPS 주소와 자물쇠 아이콘을 확인한다는 사실을 악용하여 웹사이트를 조작하는 경우도 있다. 실제로 HTTPS 인증서를 허위로 발행받아 악성웹사이트를 HTTPS 프로토콜로 위장하는 수법이 가능하다. 이는 HTTPS 인증방식 구조가 자신이 보유하지 않은 다른 사이트를 사칭하는 경우만을 차단하도록 돼 있기 때문이다. 예를 들어 https://bankofamerica.com.3526347346435.com이라는 주소가 있을 때 이 주소는 HTTPS 방식을 채택하기는 했으나 실제 접속되는 페이지는 Bank of America가 아닌 3526347346435.com의 하위 도메인이 되는 것이다. 한편 자물쇠 아이콘을 모방하여 주소창에 표시함으로써 사용자를 기만하는 수법도 쓰일 수 있다. 이러한 지능적 수법은 대체로 이메일 등에 첨부된 악성링크를 클릭할 때 접속하는 사이트가 스스로를 올바른 웹사이트로 위장할 때 사용될 수 있으므로 가장 확실한 방법은 불확실한 출처의 링크를 클릭하지 않는 것이라고 할 수 있다. https://를 확인하는 데 그치지 않고 주소 전체를 주의하여 확인하는 과정도 필요하다.


     

     


    Chris Hoffman, HTG Explains: What is HTTPS and Why Should I Care?, 2. 10. 2014.

    http://www.howtogeek.com/181767/htg-explains-what-is-https-and-why-should-i-care/

     

    번역요약: madfox




    참고링크 


    <유료안티바이러스 제품소개>

    반응형

    댓글

Designed by Tistory.