방금 제 Gmail을 확인해보니 "전체 7386MB 중 현재 5620MB(76%)를 사용 중"이라고 합니다. 처음쓴게 2006년 2월이고 3년 반정도를 쓰면서 21078개의 메일을 받았고, 3784개의 메일을 썼습니다. Gmail을 쓰는 이유는 여러가지가 있겠지만, 오늘은 https에 관한 이야기를 좀 하고 싶습니다. 이게 뭔지 알아보기 위해서 네이버/다음의 메인페이지를 보시고, 회원가입페이지를 방문해보세요.
차이가 보이시나요?
쉽게 네이버의 메인페이지(위)는 http://로 시작하고, 회원가입 페이지(아래)는 https://로 시작합니다. 그리고 제일 뒷부분에 열쇠모양이 표시되었네요. 잘 몰라도 뭔가 열쇠모양인걸 안전하다는 의미같습니다.
위에서 보여준 HTTP는 HyperText Transfer Protocol1라는 의미를 가지고 있습니다. 뒤에 S가 붙는 것은 역시 Secure라는 의미를 가지고 있고, 이걸 좀 풀어쓰면 Hypertext Transfer Protocol over Secure Socket Layer 혹은 Secure HTTP를 의미합니다.
간단히 설명해볼께요.
우리가 흔히 쓰는 인터넷은 http라는 프로토콜(전송규칙)을 통해서 데이터를 보냅니다. 주소창에 도메인 주소를 입력하면, 여러 과정을 거쳐서 웹페이지(HyperText)가 내 브라우저에 전송되어 보이게 되는거죠. 그런데 문제는 이런 전송하는 과정에서 보안을 크게 고려하지 않았다는겁니다. (아마 지금 생각해보면 인터넷을 처음 만든 분도 이렇게까지 널리 쓰일줄 몰랐을 것 같습니다) 특히 웹페이지라는 것이 온라인 상에서 공개되어 있는 정보를 보기 위해서 만들어져 있으므로, 특정한 정보를 서버에서 내 컴퓨터에 전송하는 과정자체에 데이터를 암호화하지 않게 됩니다.
그런데 누군가 중간에서 서버에서 내 컴퓨터로 전송되는 데이터(패킷 packet)을 가로챈다면 어떻게 될까요? 그 누군가는 데이터(패킷 packet) 분석을 통해서 내가 보고 있는 정보를 고스란히 볼 수 있게 됩니다. 이런 기존 인터넷 전송규칙(HTTP)의 보안 취약성을 보완하기 위해서 제안된 것이 HTTPS입니다. HTTPS는 전송되는 정보들을 암호화함으로써 웹서버와 브라우저 사이의 보안을 유지해줍니다.
일반적인 네이버/다음의 웹페이지는 http로 처리하고, 회원가입페이지만 https로 처리하는 것은 회원가입시에 사용자가 입력하고 전송하는 정보를 암호화해서 보호하기 위한 조치입니다. (물론 이 방식은 전송과정에서 보안을 유지한다는 것이므로, 애초에 사용자 컴퓨터에 해킹 프로그램이 설치되어 있거나 서버가 해킹되었다면 당연히 보호되지 않습니다) 네이버/다음의 다른 페이지는 굳이 암호화할 필요가 없는 공개된 정보들인데다, 이렇게 암호화를 하게 될 경우 웹페이지가 느리게 작동할 수 있으며, 훨씬 많은 과정-암호화-을 거쳐야 함으로 서버에도 부담을 주게 됩니다.
길게 돌아왔지만, 결론은 Gmail은 메일을 보고 전송할 때 https를 사용할 수 있습니다. 제가 Gmail을 좋아하는 또한가지 이유가 바로 이것입니다. 저나 여러분이 가지고 있고, 가끔 로그인하는 다음/네이버 메일은 https를 제공하지 않거든요. 물론 네이버와 다음(혹은 다른 포털의 경우)도 로그인 및 회원가입할 때 https를 이용해서 정보를 암호화한다든지, IP보안/해킹방지프로그램 설치(ActiveX)를 통해서 보안을 제공합니다.
다만 이 글에서 말씀드리고 싶은건 로그인을 한 뒤에 내가 작성했거나, 내가 받은 메일의 내용이 서버에서 전송되어 내 브라우저에서 전송되어 보이는 과정에서의 보안을 이야기하고 싶었습니다. (혹시 제가 몰랐던 부분이 있다면 과감히 지적해주세요)
참, Gmail을 사용할 때 항상 https를 이용하여 데이터를 암호화해서 접속하게 하려면 환경설정에서 기본 설정값을 변경(위)할 수 있습니다. Gmail을 쓰고 계신 분이라면 가급적 꼭 설정해놓으시는게 좋겠단 생각을 해봅니다.
HTTPS는 단지 로그인이나 메일에 국한되는 이야기는 아닙니다. 온라인 쇼핑몰에서도 (굳이 보안이 필요없는) 상품을 볼 때 http로 정보를 전송하지만, 장바구니에 물건을 담거나 결제, 로그인, 회원가입 등 이용자의 데이터를 전송하는 기능에서는 https를 통해서 전송되는 데이터를 암호화하게 됩니다. (평소에 지나치게 되지만, 유심히 보시면 중요한 데이터가 전송되는 부분에는 HTTPS를 사용하고 있습니다)
- HyperText는 전통적인 책, 신문과 같은 순차적인 텍스트 구조를 넘어서는-hyper text-링크에 기반하는 문서형태를 의미합니다. 보통 흔히 웹페이지를 만들기 위해서 tag와 같은 형태로 정의하는 HTML라는 말에서 앞의 HT도 HyperText를 의미합니다. HTML은 HyperText를 표기하는 언어이고, HTTP는 HyperText를 전송하기 위한 전송규약을 의미합니다 [Back]
에서 구독하세요
댓글을 남겨주세요
좋은 정보 ㄳㄳ
방금 설정 변경하였습니다 ^^
근데 저희집은 https주소[로그인할때등등] 사용할때 페이지를 표시못한다고 뜨는데 이건 어떻게 해결해야할까요??..
일단 알려주신 정보가 적으니.. 원인을 찾으려면 아래 방법을 진행해보세요.
1. 다른 브라우저를 한번 설치해서 접속해보세요.(예를 들어 구글 크롬: http://www.google.com/chrome/?hl=ko)
2. 다른 브라우저에서 접속이 되면 아무래도 원래 쓰시던 브라우저 설정을 체크해봐야할 것 같고, 다른 브라우저에서도 안되면 네트워크에 문제가 있을텐데요.
3. 혹시 접속이 안되셨다면 공유기를 사용하고 계시다면 공유기에 빼서 직접 인터넷 라인에 연결해보세요. ^^
확인하셨다면 댓글 남겨주시면... 방법을 찾아볼 수 있겠네요. ^^
원래 지메일, 그것도 https 걸어놓은 상태에서 썼는데.
한메일로 갈아타고 나니까 왠지 좀 보안이 불안하네요.....
그래서 한메일에도 https 사용해달라고 제안했는데
당장은 안된다네요.....
저도 https로 지메일 쓰고 있어요~
참 좋아요~
그럼 이 https를 설정하면 따로 보안 메일을 쓸 필요가 없다는건가요?
제가 아는 분들하고 메일을 주고 받으려면 보안메일이 필수라서요.
네. 예전만해도 네트워크상에 흐르는 메시지를 일정 수준 이상으로 암호화하고 다시 복원하는 것이 미정부에서 해외로 반출할 수 없게 만들었던 기술입니다. 그런데 그건 지금 상황에서는 꽤 오래 전의 이야기고… 브라우저에 따라서 다르지만 대략 128비트에서 256비트의 암호화를 지원합니다. 우리나라의 경우 인터넷뱅킹을 할 때 전송되는 내용을 암호화하는 별도의 모듈을 설치하고 실행해서 암호화하는데, 사실 원래 브라우저 자체에서 그런 기능을 지원했던거죠.
HTTPS를 사용하시면 전송되는 메시지가 암호화해서 전달됩니다. 중간에 가로채더라도 해석할 수 없게 되는거죠. 특히 브라우저에서는 HTTPS를 사용할 때 접속한 서버가 실제로 인증받은 것인지를 인증기관에 확인하게 되므로 모듈을 설치하는 것보다도 더 안전하다고 할 수 있습니다.
(물론 클라이언트, 그러니까 사용하는 컴퓨터에 해킹 프로그램이 깔려 있다면 뭐 전송되는 메시지를 암호화하는게 의미없겠지만…. 그건 아니라고 생각하신거죠?)
한쪽 사용자가 https를 통해 서버와 교신한다고 해서 보안메일의 효과를 대체할 수는 없습니다.
일단, 메일을 주고받는 상대가 https를 이용하지 않을 경우 그쪽 단에서 정보가 노출될 수 있습니다.
또 양쪽 사용자가 모두 https를 이용한다고 해도, 이번에는 메일서버간 통신에서 보안이 유지되리라는 보장이 없습니다.
최악의 경우까지 상정하자면 각 메일 서버 관리자가 메일을 들여다볼 수 있기 때문에 메일의 내용이 보안에 민감할 경우 별도의 보안 메일 체계를 사용해야 합니다.
물론 BKlove 님의 말씀처럼 클라이언트가 크래커에게 접수당한 경우는 논외로 합니다.