2016.3.7 월 12:18
> 뉴스 > 칼럼 > 시사보안
   
[보안칼럼]https의 s는 단순 알파벳이 아니다
2014년 03월 12일 (수) 03:52:38 금석현 체크포인트코리아 지사장 keum@checkpoint.com

인터넷 사용자라면 누구나 브라우저 주소창에서 ‘HTTP’나 ‘HTTPS’와 같은 문자열을 볼 수 있다. 얼핏 보면 단지 알파벳 ‘S’ 차이로 여겨진다.

HTTP는 하이퍼텍스트 트랜스퍼 프로토콜(Hypertext Transfer Protocol)의 줄임말로 인터넷의 근간이 되는 커뮤니케이션 프로토콜이다. 웹브라우저의 주소창에 방문을 원하는 URL을 입력하면 HTTP 명령이 관련 웹서버로 전달돼 요청된 특정 웹페이지가 보인다.

HTTP 프로토콜은 1991년에 처음으로 문서화가 이뤄졌다. 프로토콜 연구가 지속됨에 따라 인터넷 커뮤니케이션에서 보안의 중요성 인식이 점점 높아졌으며 이를 배경으로 HTTPS로 알려진 하이퍼텍스트 트랜스퍼 프로토콜 시큐어(Hypertext Transfer Protocol Secure)가 탄생했다.

기술적으로 HTTPS는 실질적인 프로토콜이 아니다. 실제로 이것은 SSL·TLS 프로토콜 위에 레이어드된 HTTP다. 시큐어 소켓 레이어(Secure Sockets Layer)를 나타내는 SSL은 TLS(트랜스포트 레이어 시큐리티:Transport Layer Security)와 함께 인터넷 트래픽을 보호하기 위해 만들어진 암호화 프로토콜이다. SSL과 TLS는 공개키와 비밀키를 이용해 세션 키를 교환하고, 이 세션키로 클라이언트와 서버 간 통신을 암호화한다. TLS와 SSL은 커뮤니케이션 상대방에 대한 인증과 키 교환을 위해 X.509 인증서를 사용한다.

클라이언트와 서버 사이의 커뮤니케이션을 양방향으로 암호화하면 비밀을 캐려는 해커들로부터 데이터를 보호할 수 있다. 이는 커뮤니케이션이 이뤄지는 쌍방의 중간에 끼어들어 커뮤니케이션을 가로채고 조작된 트래픽을 주입하는 ‘맨 인 더 미들(man-in-the-middle)’ 공격 시도를 방지해 준다.

아직까지 웹상의 많은 사이트는 다양한 이유로 인해 HTTPS 대신 HTTP를 사용한다. 주요 이유 중 하나는 HTTPS가 웹사이트를 느리게 만들 수 있다는 것이다. 연초 발생한 카드사 개인 신용정보 유출 사태에서 볼 수 있듯이 상당수 금융권과 카드사들은 업무 효용성이 떨어진다는 이유로 암호화를 꺼리고 있는 상황이다.

하지만 HTTPS를 사용하는 것이 웹 사이트를 더 빠르게 해 주지는 않겠지만 이는 다양한 방법으로 극복될 수 있다.

이 프로세스의 최종 결과는 해커들이나 정부기관의 눈으로부터 데이터를 보호하기 위한 레이어의 추가다. 지난 몇 년 동안 구글이나 야후 같은 기업은 개인정보보호라는 목표에 따라 암호화 및 HTTPS 사용을 확대해 왔다.

또 같은 이유로 전자프런티어재단(EFF)과 토르(TOR) 프로젝트가 HTTPS 사용 확산을 위해 구글 크롬과 모질라 파이어폭스 브라우저 사용자에게 ‘HTTPS Everywhere’라고 불리는 플러그인을 제공하고 있다.

이것은 단순한 문자에 의해 설명되는 것과는 완전히 다른 것을 의미한다. HTTPS에서 ‘S’는 단순한 알파벳 이상이다. 이는 인터넷상 개인정보 보호와 개인정보 노출의 경계선인 것이다.

최근 잇따른 개인정보 유출 사고로 해당 기업의 최고경영자(CEO)들이 고개를 숙이고 있다. 이들이 사전에 최고보안책임자(CISO) 또는 최고정보책임자(CIO)를 통해 이 같은 ‘S’의 의미를 되새겨 봤더라면 좋았을 것 같다.
 

ⓒ 보안닷컴(http://www.boan.com) 무단전재 및 재배포금지 | 저작권문의  

     
이 기사를 추천하시면 "오늘의 좋은 기사" 랭킹에 반영됩니다   추천수 : 0
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
양승조 의원 "사물인터넷 보안 철...
<양승조 새정치민주연합 의원과 정진홍 한국ICT융합보안협회 회장 등 관계자들이 정책세미나 시작에 앞서 ...
[보안칼럼]IoT 산업의 미래, ...
모든 사물이 인터넷으로 연결되는 ‘초연결사회’가 도래했다. 이미 스마트워치와 같은 웨어...
[2014년 10대 뉴스]한수원 ...
고리와 월성 등 국내 주요 원자력발전소 제어시스템 설계도가 해킹된 후 웹에 공개되는 사상 초유의 사건이 발생...
[단독]이달초 한수원 업무망PC ...
원자력발전소 도면 등 주요 자료 유출사고로 홍역을 치르고 있는 한국수력원자력(한수원)의 그간 정보보호 체계가...
[정보보호]IoT 보안 이슈 ...
급성장하는 사물인터넷(IoT)시장의 보안기술을 한자리에서 보는 행사가 열...
[정보보호]SOPT `빅데이터...
안랩, 15일 코엑스서 ‘안랩...
[정보보호]제9회 POC201...
한국침해사고대응팀협의회 제주서...
한국해킹보안협회, 10월 7일...
안랩, 금융정보보호 콘퍼런스서...
사이트 소개기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부