http와 https의 차이? 한 글자로 달라지는 보안
서비스 기획자의 고군분투 업무 이야기 두 번째
http와 https의 차이, SSL의 정의를 서비스 기획자가 알아보게 된 계기
구글은 https로 시작하는 사이트를 검색결과 상위 페이지에 노출하겠다는 내용을 발표한 적이 있다. (https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html) 따라서, 내 글이나 쇼핑몰을 상위에 노출하고 싶다면 보안도 신경써야 한다.
아무쪼록, 나처럼 업무를 하며 리다이렉션 이슈로 인해 헤매고 있을 다른 서비스 기획자를 위해 리다이렉션 오류가 발생하는 이유와 명확한 차이점을 설명하고자 한다.
리다이렉션이란 무엇인가?
리다이렉션이란, 원래 접속한 URL 주소를 새로운 다른 주소로 자동으로 연결해주는 기능이다. 이 기능을 https로 변환할 때 많이 사용한다. 그 이유는 크게 두가지로 정리해보자면 이렇다.
1. 사용자들이 https를 적지 않고, http로 적을 때 자동으로 https로 변환 가능
2. SSL 활성화로 인해 보안 프로토콜인 https로 자동 변환하기 위해
두번째에서 말하는 SSL이란, Secure Sockets Layer의 약자다. 단순 직역하면 '보안 소켓 레이어'로 자세한 의미를 예시로 설명하자면 이렇다.
우리는 보편적으로 어떤 웹사이트에 최초 가입할 때, 나에게 익숙한 아이디와 비밀번호로 가입한다. 따라서 개인이 자주쓰는 아이디와 비밀번호를 알면 해킹이 쉽게 가능하지만, 각 사이트는 이러한 보편적 특징을 알기 때문에 사이트마다 아이디/비밀번호 암호화 후 개인정보 보호하도록 조치한다. 이를 돕는 것이 바로 SSL이다. 웹 서버 인증, 서버인증 이라고도 불린다.
SSL을 통해 HTTPS를 적용해야 하는 이유들
일반적인 리다이렉션은 http에서 https로 리다이렉션을 진행한다. 다만, 우리 사이트는 default.asp 소스에 https에서 http로 리다이렉션하는 스크립트로 구성되어 있었다.
https가 적용되지 않는 게 큰 문제인 이유를 정리하자면 이렇다.
1. 구글이 크롬 56 버전으로 업데이트하며, http 페이지에서 아이디/패스워드/금융정보 등 개인정보를 입력받는 홈페이지에 접속할 경우에 안전하지 않다는 경고를 띄우기 시작했다. 안전하지 않은 사이트(http)의 콘텐츠는 보이지 않도록 했기 때문에 컨텐츠 마케팅 또는 사이트 서비스를 기획하는 사람들에겐 엄청난 영향을 준다.
2. https를 적용하면 해커가 서버와 클라이언트 간의 통신을 중간에서 훔쳐보는 것(패킷 스니핑)이 어렵게 된다. 개인 해커 수준에선 통신을 훔쳐보는게 불가능하기 때문에 보안 수준이 급격하게 올라간다고 평가받는다.
3. 또한 파밍(가짜 홈페이지를 활용해 사용자의 금융 정보를 빼돌리는 기법)을 방지하는 데에도 큰 효과가 있다. https를 적용하려면 구글트러스트서비스, 베리사인 등 제 3자 인터넷 보안 인증 기관에게 인증을 받아야 한다.
위의 여러 보안상의 장점들로 인해 구글, 모질라 등 인터넷 관련 기업들이 https 적용을 권고하고 있는데, 현재 내가 운영하는 사이트가 https로 리다이렉션을 못한다는 건 굉장한 이슈였다.
현재는 개발사에서 리다이렉션 소스 설정을 수정하여 보안 설정이 된 사항이다.
리다이렉션 관련하여 오류가 발생했을 때, 내가 알게된 대응 방법
1. 일단 서버사를 통해 SSL 인증서 설치가 완료되었는지 확인하기
(만약 내가 직접 우리 사이트의 SSL 상태를 확인하고 싶다면, SS Labs 사이트에서 확인 가능!)
※ SS Labs 주소: https://www.ssllabs.com/ssltest/
2. 인증서 설치가 정상적으로 되었는지 확인되었다면, 리다이렉트가 http 에서 https로 되고 있는지 확인하기
3. 리다이렉트가 제대로 되고있지 않다면, https가 적용된 포트로 리다이렉트되게 소스가 수정되도록 담당 개발자가 작업 필요 (이 때, 담당개발자에게 FTP 정보를 줘야 함.)
SSL 관련 이슈를 처리하며 느낀 점
난 평소처럼 UI/UX 기획 업무를 하다가 사이트가 SSL 적용이 된 포트를 사용하고 있지 않다는 이슈를 발견했다. 나는 이 이슈로 인해 SSL과 http/https의 명확한 차이를 알게 되었고, 서비스 기획자로서 이 사실과 이론을 늦게 공부하고 알았다는게 스스로 잠시 부끄럽기도 했다.
문득 좋은 서비스 기획자가 되려면, 부끄러움을 내려두고 공부하고 사실을 받아들여 판단하는 연습이 많이 필요하단 깨달음을 얻는다.
※ 글 작성에 도움받은 사이트 출처:
