쉬운 설명
예전엔 많은 사이트가 평문 HTTP로 통신했습니다. 사용자가 입력한 비밀번호·결제 정보·검색어가 카페 와이파이를 거쳐 가다가 누구나 엿볼 수 있는 상태였습니다. HTTPS는 그 통신 전체를 암호화해 중간에서 못 보게 합니다.
HTTPS의 두 축은 암호화와 신원 확인입니다. ① 브라우저가 서버의 인증서(공인 인증기관이 발급)를 검증해 '이게 진짜 우리은행 서버다'를 확인. ② 그 인증서를 기반으로 안전한 통로를 만들어 그 안에서만 데이터가 오갑니다. 인증서가 없거나 만료됐으면 브라우저가 빨간 경고를 띄웁니다.
동작은 핸드셰이크로 시작합니다. ① 클라이언트와 서버가 사용할 암호 방식을 합의. ② 서버가 인증서를 제시. ③ 클라이언트가 그 인증서를 신뢰할 만한 기관이 서명한 것인지 검증. ④ 안전한 통로의 키를 만들어 공유. 이 과정이 1~2 round-trip 안에 끝납니다. TLS 1.3에서는 더 빠르고 안전해졌습니다.
오늘날에는 사실상 모든 웹 트래픽이 HTTPS입니다. 이유 두 가지. ① 구글·브라우저들이 HTTP 사이트를 '안전하지 않음'으로 표시해 사용자가 무의식적으로 떠나게 만듭니다. ② Let's Encrypt 덕분에 인증서가 무료라 도입 비용이 사라졌습니다. 새로 만드는 사이트는 처음부터 HTTPS만 켜 두는 것이 표준입니다.
주의: HTTPS는 '통신 중 도청'만 막습니다. 서버 안의 데이터·사용자의 비밀번호 강도·피싱 사이트 같은 다른 위협은 별도의 방어가 필요합니다. 또 인증서를 잘못 관리하면(만료·키 유출·낮은 등급의 발급자) HTTPS의 가치가 떨어집니다. 자동 갱신(certbot·ACM 같은 매니지드)이 표준입니다.
비유로 보면
HTTPS는 우체국에서 보내는 등기우편과 비슷합니다. 일반 우편은 누구나 봉투를 열어 볼 수 있지만, 등기는 봉인된 봉투에 추적 번호가 붙어 도착지까지 누구도 못 열어 봅니다. 보내는 곳과 받는 곳의 신원도 우체국이 한 번 확인해 줍니다.
어디에서 만나나
사실상 모든 현대 웹사이트(95% 이상이 HTTPS), API 통신, 모바일 앱과 서버 통신, 이메일·메시징의 일부, IoT 기기의 클라우드 통신. 검색엔진 SEO와 사용자 신뢰에도 영향을 미쳐, HTTPS가 없는 사이트는 사실상 운영이 어렵습니다.
작은 예시
카페 와이파이에 접속해 인터넷뱅킹을 합니다. 그 자리의 다른 사람이 통신을 엿보더라도 HTTPS로 암호화돼 있어 '어떤 사이트와 통신하고 있다'는 사실 정도만 알 수 있고, 비밀번호·송금 내용 같은 본문은 알 수 없습니다.
자주 하는 오해
한 줄 정리
HTTPS는 '통신의 안전' 한 층입니다. 모든 사이트의 기본값이 됐지만, 그것만으로 보안이 끝나지는 않습니다.