HTTP HTTPS 차이 (feat. 보이스피싱 사이트)

HTTP HTTPS 차이

안녕하세요, 감웅입니다! HTTP와 HTTPS 차이. 모르는 분들이 보기에는 글자가 비슷해서 그게 그거인 것처럼 보일 텐데요. 이 두 가지의 개념을 알기만 해도 내 컴퓨터의 보안에 있어서 엄청난 변화를 가져오리라 확신합니다. 최근에 저는 보이스피싱을 전화를 받았는데요. https인지 확인을 하여 보이스피싱 사이트임을 알아채서 다행히 금전적인 피해를 막을 수 있었습니다.

보이스피싱 사이트들은 주로 공공기관 사이트를 사칭하는데 공공기관 사이트들은 대부분 https가 적용되어 있는 반면 (특히 국세청과 같이 개인정보를 적어야 하는 공공기관 사이트는 무조건 https여야 됩니다.) 공공기관을 사칭하는 보이스피싱 사이트는 https가 적용 안된 사이트가 대다수이기 때문이죠. 저 같은 경우는 보이스피싱 사기꾼이 경찰청 사이트라고 보내준 페이지에 들어가 봤는데 내가 알고 있는 경찰청은 https인데 해당 사이트는 http인 것을 확인하여 위조 사이트라는 것을 알게 됐습니다.

이렇듯 http와 https의 개념을 알기만 해도 보안에 큰 힘이 됩니다. 서론은 이만하고 컴퓨터 공학을 1도 모르는 분들도 아주 쉽게 알려드릴 테니 제 글을 마음 편히 읽어보시면 컴퓨터 보안에 도움이 되리라 확신합니다. 

 

 

컴맹도 이해하는 HTTP , HTTPS 개념

HTTP는 일종의 통신방법입니다. 전문적인 용어로 '프로토콜'이라 부르는데요. 프로토콜에 대한 개념은 아래에서 쉽게 설명드리겠습니다.

웹에 대해서 모르시는 분들은 '갑자기 통신이 왜 나오지?'라고 생각하시겠지만, 사실 웹은 통신으로 페이지를 불러오고 통신으로 동영상을 불러옵니다. 쉽게 예를 들어보겠습니다.

예를 들어 환경부 사이트를 접속하시면 http://me.go.kr/ 와 같은 주소가 노출됩니다. 브라우저에서 http://me.go.kr/ 로 접속 시에  환경부 서버에 해당 주소에 대응되는 페이지를 요구합니다. 브라우저로부터 요청을 받은 환경부 서버는 브라우저에게 환경부 페이지를 응답하게 되죠. (위 주소의 경우는 메인 페이지가 노출됩니다.) 그림으로 그려보면 아래와 같습니다.

정말 간단하게 그린 통신 흐름

여기서 '주소'를 통해서 통신한다는 점을 알 수 있습니다. 만약 주소가 http://www.molit.go.kr/ 면 환경부 페이지가 아닌 국토교통부 사이트를 불러오게 됩니다. '주소'에 따라서 불러오는 페이지가 다르다는 뜻이죠. 이 주소를 전문용어로 URL이라 부르는데요. 이 URL을 가지고 브라우저와 서버 사이에 어떻게 통신할지에 대해 정의한 것을 HTTP라고 합니다.

사실 웹에 대해 조금만 관심 있으면 요즘은 http보단 https가 앞에 많이 붙어있는 것을 보실 수 있습니다. 제 티스토리만 해도 https://gamung.tistory.com/ 이죠. HTTPS는 '보안'을 위해서 HTTP를 업그레이드 한 프로토콜입니다. 왜냐하면 기존 HTTP로 통신을 할 경우 중간에 해커가 데이터를 가로채서 확인할 수 있었기 때문이죠. 쉽게 예를 들어 볼까요?

학교 다닐 때 흔히 뒷담화하는 친구들을 생각하면 됩니다. 뒷담화하는 친구들은 듣는 사람이 없을 거라고 생각하고 남을 헐뜯는 경우가 많죠. 하지만 결국 누군가가 들어서 소문은 퍼지게 되죠. HTTP는 이런 방식의 통신입니다. 해커가 브라우저와 서버의 통신내용을 언제든지 엿들을 수 있는 구조예요. 

하지만 뒷담화를 둘만의 약속된 은어로 한다면 어떻게 될까요? 지나가던 사람이 들어도 그 둘만 아는 언어로 대화하기 때문에 내용을 모를 겁니다. HTTPS는 바로 이러한 방식의 프로토콜입니다. 브라우저에서 서버로 내 정보를 보내거나, 서버에서 브라우저로 내 정보를 불러올 때 '암호화'해서 보내게끔 해주는 프로토콜입니다.

 

더 쉬운 예는 연인끼리의 대화를 생각하면 됩니다. 서로 애칭을 지어서 서로를 부르는 거죠. 이건 남들이 모릅니다. 둘만 아는 거죠. HTTPS는 연인끼리의 대화처럼 브라우저와 서버 둘만 해독할 수 있는 암호화 방식을 이용해 통신합니다. 

 

요즘 규모가 있는 사이트들은 대부분 https를 사용합니다. 한번 네이버, 구글과 같은 사이트를 접속해보세요. http로 접속하려고 해도 https로 나오는 것을 볼 수 있을 겁니다. 그 이유는 https가 http보다 더 우수한 프로토콜이기 때문이죠. 그렇다면 프로토콜이란 것이 정확히 뭘까요?

 

 

 

프로토콜

위에서 HTTP와 HTTPS는 '프로토콜'이라 했는데요. 프로토콜은 브라우저와 서버 사이에 통신방법에 대한 것을 어떻게 할지 약속한 겁니다. 이것도 쉽게 예를 들겠습니다.  

학교 체육시간을 떠올려 보면, 체육선생님이 활동적인 것을 하기 전에 항상 아픈 사람 있냐고 물어보죠? 그래서 몸이 불편하거나 아픈 친구들이 열외를 하죠. 마치 선생님과 제자들 사이에 약속이라도 한 것처럼 말이죠. 이런 것이 프로토콜입니다. 이 경우 프로토콜을 정의하자면 다음과 같습니다.

• 시간 약속 : 체육활동 전에
• 방법 약속 :  체육선생님이 열외 할 사람을 물어본다. 열외 할 사람은 손을 들어서 의사를 표현한다.

이것을 서버(예시로 네이버)와 브라우저로 바꿔서 로그인하는 상황을 예시로 들어보겠습니다.

• 시간 약속 : 사용자 브라우저에 네이버 아이디, 비밀번호를 입력하고 로그인 버튼을 누를 때 (정확히는 로그인에 대한 URL이 네이버 서버로 요청이 갑니다.)
• 방법 약속 : 브라우저와 네이버 서버가 통신할 수 있도록 서로의 주소(IP, 포트)를 공유하여 인터넷 연결을 한다.

시간 약속과 방법 약속은 이해를 돕기 위해 제가 쓴 용어입니다. 참고해 주세요 :) IP, 포트와 인터넷 연결에 대한 구체적인 설명은 해당 포스팅에서 다루지 않겠습니다. 간단하게 통신을 할 때 이용하는 정보라고 알아주세요. 프로토콜에 대한 감을 좀 잡으셨나요?

이번에는 실전으로 가서 우리가 자주 사용하는 사이트가 https를 사용하는지 아니면 http를 사용하는지 알 필요가 있습니다. 특히 내가 로그인을 하거나 주민등록번호를 입력할 때 https인지 꼭 확인을 하셔야 합니다. 그래야만 내 소중한 정보를 안전하게 서버에 전달할 수 있는 것이니까요.

 

 

 

HTTPS 확인방법

https 확인방법은 쉽습니다. 아마 Chrome을 많이들 쓰실 것 같으니 Chrome기준으로 설명드리면 아래와 같이 주소 왼쪽을 클릭해보면 됩니다.

 

https확인 (Chrome)

주소 왼쪽을 클릭해보면 프로토콜이 빨간색 네모처럼 뜨는데 https:// 라 되어있네요. 좀 더 쉽게 확인하는 방법은 초록색 네모처럼 자물쇠 모양이 있는지 확인하는 겁니다. 다만, 자물쇠 아이콘은 모든 브라우저가 지원하는 것은 아니니 빨간색 네모처럼 프로토콜을 확인하는 것이 일반적인 방법입니다. 

저는 Microsoft Edge를 쓰니 Edge를 봐보면 Chrome이랑 비슷합니다. 자물쇠 아이콘도 지원해주고, Edge는 클릭 안 해도 https:// 가 보이네요. 참고로 Internet Explorer는 자물쇠 아이콘 지원 안 해줍니다.(쓰지 마세요, 성능이 안 좋습니다.)

 

요약하면 Chrome, Edge , Firefox와 같은 자물쇠 아이콘 지원해주는 브라우저 쓰시면 간단히 자물쇠가 달려있나 확인하시면 되고, Internet Explorer와 같은 것을 쓰시면 https:// 가 붙어있나 확인하시면 됩니다.

이상으로 http, https의 간단한 개념과 https 확인방법을 포스팅해봤는데요 도움이 되셨나요? 개인정보를 입력하는 사이트의 경우 꼭 https인지 확인하시고 입력하시는 습관을 가지시길 바랍니다. 이상 감웅이였습니다!

 

 

같이 보면 좋은 포스팅

HTML에 대한 쉬운 이해

gamung.tistory.com/20

HTML 파일 여는법 (HTML 파일이 안 열릴 때)

부팅속도 빠르게 하는 너무 간단한 방법

gamung.tistory.com/13

부팅속도 빠르게 하는 너무 간단한 방법