네트워크(IP, TCP/UDP, HTTPS)

🌐

네트워크의 기원

과거에 사용한 회선교환 방식

패킷교환 방식

IP (인터넷 프로토콜)

IP 프로토콜의 한계

TCP / UDP

TCP/IP 패킷

TCP의 특징

UDP

TCP vs. UDP

네트워크 계층 모델

OSI 7계층 모델

각 계층의 구분

데이터 캡슐화

TCP/IP 4계층 모델

각 계층의 구분

응용 계층

HTTP

HTTP의 역사

HTTP의 특징

클라이언트-서버 구조

무상태(Stateless) 프로토콜

비연결성(Connectionless) 모델

HTTP Header

HTTP 요청/응답 주요 헤더

표현 헤더

컨텐츠 협상 헤더

HTTPS

암호화 방식

1. 대칭 키 암호화 방식

2. 공개 키(비대칭 키) 암호화 방식

SSL/TLS 프로토콜

SSL/TLS 프로토콜 암호화 과정

네트워크의 기원

우리가 지금 사용하는 인터넷 프로토콜(IP) 기반의 네트워크는 냉전시대 당시 핵전쟁을 대비하기 위한 통신망 구축을 위해 미 국방성에서 진행한 아르파넷(ARPANET) 프로젝트에서 시작되었다. 이때 기존 사용되던 회선교환 방식이 아닌 패킷교환 방식으로 네트워크를 구축했고 이를 토대로 현재의 인터넷 통신 방식의 기반이 세워졌다.

과거에 사용한 회선교환 방식

회선교환 방식은 마치 통화하는 것 처럼 발신자와 수신자 간에 데이터를 전송할 전용선을 미리 할당하고 둘을 연결한다. 만약 내가 연결하고 싶은 상대가 다른 상대와 연결중이라면 상대방의 기존 연결이 끊어지고 나서야 상대방과 연결할 수 있다. 또한 특정 회선이 끊어지는 경우에는 처음부터 다시 연결을 성립해야 해서 데이터 전송 요청이 많아지면 많아질 수록 효율이 떨어졌다.

패킷교환 방식

아르파넷 프로젝트는 회선이 사용중이면 대기를 해야하는 문제를 해결하기 위해 패킷교환 방식의 네트워크를 고안하게 된다. 패킷교환 방식은 패킷이라는 단위로 데이터를 잘게 나누어 전송하는 방식이다. 각 패킷에는 출발지와 목적지 정보가 있고 이에 따라 패킷이 목적지를 향해 가장 효율적인 방식으로 이동할 수 있어 이를 이용하면 특정 회선을 전용선으로 할당하지 않고 빠르고 효율적으로 데이터 전송이 가능하다.

IP (인터넷 프로토콜)

복잡한 인터넷 망 속 수많은 노드(하나의 서버 컴퓨터)를 지나 어떻게 서버와 클라이언트가 통신을 할까? 인터넷 프로토콜은 출발지와 목적지의 정보를 IP주소라는 특정한 숫자값으로 표기하고 패킷단위로 데이터를 전송한다. 이 때 인터넷 프로토콜 상에서 주고받는 IP 패킷은 택배 송장처럼 전송데이터를 무사히 전송하기 위해 출발지 IP, 목적지 IP와 같은 정보를 포함한다.

패킷 단위로 전송하면 노드들은 목적지 IP에 도달하기 위해 서로 데이터를 전달하고, 이를 통해 복잡한 인터넷 망 사이에서도 정확한 목적지로 패킷을 전송할 수 있다. 서버에서 무사히 데이터를 전송받는다면 서버도 이에 대한 응답을 IP 패킷을 이용해 클라이언트에 전달한다.

IP 프로토콜의 한계

• 비연결성

  만약 패킷을 받을 대상이 없거나 서비스 불능 상태여도 클라이언트는 서버의 상태를 파악할 방법이 없어 패킷을 그대로 전송하게 된다.

• 비신뢰성

  중간에 있는 서버가 데이터를 전달하던 중 장애가 생겨 패킷이 중간에 소실되더라도 클라이언트는 이를 파악할 방법이 없다. 또한 전달 데이터 용량이 클 경우 이를 패킷 단위로 나눠 데이터를 전달하게 되는데, 패킷들은 중간에 서로 다른 노드를 통해 전달될 수 있어 클라이언트가 의도하지 않은 순서로 서버에 패킷이 도착할 수 있다.

TCP / UDP

앞서 다룬 IP 패킷에는 비연결성, 비신뢰성과 같은 한계들이 존재하는데, 네트워크 계층 구조를 통해 이런 한계를 보완할 수 있다.

실제로 컴퓨터가 네트워크를 통해 데이터를 전송하는 절차는 다음과 같다.

1. HTTP 메세지가 생성되면 프로그램이 네트워크에서 데이터를 송수신할 수 있도록 네트워크 환경에 연결할 수 있게 만들어진 연결부인 네트워크 소켓(Socket)을 통해 전달된다.

2. 데이터를 포함한 TCP 세그먼트를 먼저 생성한다.

3. TCP 세그먼트를 포함하는 IP 패킷을 생성한다. (TCP/IP 패킷)

4. 만들어진 TCP/IP 패킷을 LAN 카드와 같은 물리적 계층을 지나기 위해 이더넷 프레임 워크에 포함하여 서버로 전송된다.

TCP/IP 패킷

TCP 세그먼트에는 IP 패킷의 출발지 IP와 IP 정보를 보완할 수 있는 출발지 PORT, 목적지 PORT, 전송 제어, 순서, 검증 정보 등을 포함한다.

TCP의 특징

TCP는 같은 계층에 속한 UDP에 비해 상대적으로 신뢰할 수 있는 프로토콜이며, 다음과 같은 특징이 있다.

• 연결 지향 - TCP 3 Way Handshake (가상연결)

  

  TCP는 장치들 사이에 논리적인 접속을 성립하기 위해 3 Way Handshake를 사용하는 연결지향형 프로토콜이다.

  • 3 Way Handshake
    1. 클라이언트는 서버에 접속을 요청하는 SYN(Synchronize, 동기화) 패킷을 보낸다.
    2. 서버는 SYN요청을 받고 클라이언트에게 요청을 수락한다는 ACK(Acknowledgment, 승인)와 SYN가 설정된 패킷을 발송하고, 클라이언트가 다시 ACK로 응답하기를 기다린다.
    3. 클라이언트가 서버에게 ACK을 보내면 이 이후부터 연결이 성립되어 데이터를 전송할 수 있다. (현재는 최적화가 이루어져 이 때 데이터를 함께 보내기도 한다.)
    • 만약 서버가 꺼져있다면 클라이언트가 SYN을 보내고 서버에서 응답이 없기 때문에 데이터를 보내지 않는다.

• 데이터 전달 보증

  

  TCP는 데이터 전송이 성공적으로 이루어진다면 이에 대한 응답을 돌려주기 때문에 IP 패킷의 한계인 비연결성을 보완할 수 있다.

• 순서 보장

  

  만약 패킷이 순서대로 도착하지 않는다면 TCP 세그먼트에 있는 정보를 토대로 다시 패킷 전송을 요청해 이를 통해 IP 패킷의 한계인 비신뢰성(순서가 보장안됨)을 보완할 수 있다.

• 신뢰할 수 있는 프로토콜

UDP

UDP는 IP 프로토콜에 PORT, 체크섬(중복 검사의 한 형태) 필드 정보만 추가된 단순한 프로토콜이다. 앞서 TCP 특징과 비교해 보면 신뢰성은 낮지만 3 Way Handshake 방식을 사용하지 않아 TCP와 비교해 빠른 속도를 보장한다.

HTTP3는 UDP를 사용하며 이미 여러 기능이 구현된 TCP보다는 하얀 도화지처럼 커스터마이징이 가능하고, 신뢰성보다는 연속성이 중요한 서비스(ex. 실시간 스트리밍)에 자주 사용된다.

TCP vs. UDP

TCP	UDP
연결지향형 프로토콜	비 연결지향형 프로토콜
전송 순서 보장	전송 순서 보장 X
데이터 수신 여부 확인함	데이터 수신 여부 확인하지 않음
신뢰성 높지만 속도 느림	신뢰성 낮지만 속도 빠름

네트워크 계층 모델

네트워크 계층 모델은 다음과 같이 크게 OSI 7계층과 TCP/IP 4계층으로 나뉜다. IP 프로토콜보다 더 높은 계층에 TCP 프로토콜이 존재하기 때문에 앞서 다룬 IP 프로토콜의 한계를 보완할 수 있다.

🤔

TCP/IP 4계층은 OSI 7 계층보다 먼저 개발되었으며 TCP/IP 프로토콜의 계층은 OSI 모델의 계층과 정확하게 일치하지는 않다. 실제 네트워크 표준은 업계표준을 따르는 TCP/IP 4 계층에 가깝다.

OSI 7계층 모델

OSI 7계층 모델은 ISO(International Organization for Standardization)라고 하는 국제표준화기구에서 1984년에 제정한 표준 규격이다. 과거에는 같은 회사에서 만든 컴퓨터끼리만 통신이 가능했고 다른 회사의 시스템이라도 네트워크 유형에 관계 없이 상호 통신이 가능한 규약, 즉 프로토콜(Protocol)이 필요했다. 이를 위해 ISO에서 제조사와 상관 없이 공통으로 사용할 수 있는 네트워크 표준 규격을 정의한 것이다. OSI 7계층 모델은 하드웨어 및 소프트웨어가 수행하는 기능에 따라 네트워크를 이루고 있는 구성요소들을 7단계로 나누고, 각 계층의 표준을 정했다.

OSI 7계층 모델은 표준화를 통해 포트, 프로토콜 호환 문제를 해결하고 네트워크 시스템에서 일어나는 일을 해당 계층 모델을 이용해 쉽게 설명할 수 있게 함을 목적으로 한다. 또한 네트워크 관리자가 문제가 발생했을 때 이것이 물리적인 문제인지, 응용 프로그램과 관련이 있는지 원인의 범위를 좁혀 문제를 쉽게 파악할 수 있게 한다.

각 계층의 구분

• 1계층 : 물리계층

  시스템 간의 물리적인 연결과 전기 신호를 변환 및 제어하는 계층이다. 주로 물리적 연결과 관련된 정보를 정의하며, 주로 전기 신호를 전달하는데 초점을 두고 들어온 전기 신호를 그대로 잘 전달하는 것이 목적이다.

  • ex. 디지털 또는 아날로그로 신호 변경

• 2계층 : 데이터링크 계층

  네트워크 기기 간의 데이터 전송 및 물리주소(ex. MAC 주소)를 결정하는 계층이다. 물리 계층에서 들어온 전기 신호를 모아 인식 가능한 데이터 형태로 처리하며, 주소 정보를 정의하고 출발지와 도착지 주소를 확인한 후 데이터 처리를 수행한다.

  • ex. 브리지 및 스위치, MAC 주소

• 3계층 : 네트워크 계층

  여러 계층 중 가장 복잡한 계층으로 실제 네트워크 간에 데이터 라우팅(네트워크 내에서 짜여진 알고리즘에 의해 통신 데이터를 최대한 빠르게 보낼 최적의 경로를 선택하는 과정)을 담당한다.

  • ex. IP 패킷 전송

• 4계층 : 전송 계층

  컴퓨터간 신뢰성 있는 데이터를 서로 주고받을 수 있도록 하는 서비스를 제공하는 계층이다. 하위 계층에서 신호와 데이터를 올바른 위치로 보내고 신호를 만드는데 집중한다면 전송 계층은 해당 데이터들이 실제로 정상적으로 보내지는지 확인하는 역할을 하며, 네트워크 계층에서 패킷이 유실되거나 순서가 바뀌는 경우 이를 바로 잡는 역할도 담당한다.

  • ex. TCP/UDP 연결

• 5계층 : 세션 계층

  세션 연결의 설정과 해제, 세션 메세지 전송 등의 기능을 수행한다. 즉, 컴퓨터간의 통신 방식에 대해 결정하며, 양 끝 단의 프로세스가 연결을 성립하도록 도와주고 작업을 마친 후에 연결을 끊는 역할을 한다.

• 6계층 : 표현 계층

  응용 계층으로 전달하거나 전달 받는 데이터를 인코딩/디코딩 하는 계층이다. 일종의 번역기와 같은 역할을 수행한다고 볼 수 있다.

  • ex. 문자 코드, 압축, 암호화 등의 데이터 변환

• 7계층 : 응용 계층

  최종적으로 사용자와의 인터페이스를 제공하는 계층으로 사용자가 실행하는 응용프로그램들이 해당 계층에 속한다.

  • ex. 이메일 및 파일 전송, 웹 사이트 조회

데이터 캡슐화

OSI 7계층 모델은 송신측의 7계층과 수신측의 7계층을 통해 데이터를 주고 받고, 각 계층은 독립적이기 때문에 데이터가 전달되는 동안 다른 계층의 영향을 받지 않는다.

데이터를 전송하는 측은 상위계층(7계층)에서 하위 계층(1계층)으로 데이터를 전달한다. 이 때 각 계층에서 필요한 정보를 데이터에 추가하는데 이 정보를 헤더(데이터링크 계층에서는 트레일러)라고 부른다. 그리고 이렇게 헤더를 붙여나가는 것을 캡슐화라 한다.

마지막 물리 계층에 도달하면 송신 측의 데이터링크 계층에서 만들어진 데이터가 전기 신호로 변환되어 수신측에 전송되고, 데이터를 받는 쪽은 하위 계층(1계층)에서 상위 계층(7계층)으로 각 계층을 통해 전달된 데이터를 받게 된다. 이 때 상위 계층으로 데이터를 전달하며 각 계층에서 헤더를 제거해 나가는 것을 역캡슐화라 하고, 역캡슐화를 거쳐 마지막 응용 계층에 도달하면 전달하고자 했던 원본 데이터만 남게 된다.

TCP/IP 4계층 모델

TCP/IP 4계층 모델은 OSI 모델을 기반으로 실무적으로 이용할 수 있도록 현실에 맞춰 단순화된 모델이다. 즉, OSI 7계층 이론을 실제 사용하는 실용성에 기반을 둔 현대의 인터넷 표준이라 할 수 있다.

각 계층의 구분

• 4계층 : 어플리케이션 계층 → OSI 계층의 세션, 표현, 응용 계층(5~7계층)에 해당

  TCP/UDP 기반의 응용 프로그램을 구현할 때 사용한다.

  • ex. FTP, HTTP, SSH

• 3계층 : 전송 계층 → OSI 계층의 전송 계층(4계층)에 해당

  통신 노드간의 연결을 제어하고, 신뢰성 있는 데이터 전송을 담당한다.

  • ex. TCP/UDP

• 2계층 : 인터넷 계층 → OSI 계층의 네트워크 계층(3계층)에 해당

  통신 노드 간의 IP 패킷을 전송하는 기능 및 라우팅을 담당한다.

  • ex. IP, ARP, RARP

• 1계층 : 네트워크 인터페이스 계층 → OSI 계층의 물리, 데이터 링크 계층(1~2계층)에 해당

  물리적인 주소로 MAC을 사용한다.

  • ex. LAN, 패킷망 등에 사용됨

응용 계층

응용 계층은 앞서 말했듯 네트워크 모델의 최상위 계층으로 최종적으로 사용자와의 인터페이스를 제공하는 계층이다. 실제 네트워크는 전송되는 여러 과정을 거치지만 실제로 사용자가 조작하고 사용하는 것은 모두 응용 계층에서 일어나는 것이며, 이는 서버와 클라이언트 모두 동일하다.

HTTP

HTTP는 응용 계층의 대표적인 프로토콜로 웹 사이트를 이용하기 위해 사용합니다. 웹 개발은 모두 HTTP를 기반으로 하기에 중요한 특징들을 알아두는 것이 중요하다.

HTTP의 역사

HTTP의 특징

클라이언트-서버 구조

클라이언트가 서버에 요청(Request)을 보내면 서버는 그에 대한 응답(Response)을 보내는 클라이언트-서버 모델(2-Tier 아키텍쳐) 구조로 이루어져 있다.

무상태(Stateless) 프로토콜

HTTP는 서버가 클라이언트의 상태를 보존하지 않는 무상태 프로토콜이다. 클라이언트의 상태를 기억하지 않아도 되기 때문에 서버 확장성이 높다는 장점(스케일 아웃)이 있지만, 클라이언트가 추가로 데이터를 전송해야 한다는 단점이 존재한다.

• 실무에서의 한계점

  모든 것을 무상태로 설계할 수 있는 경우도 있지만 그렇지 않은 경우도 존재한다. 로그인이 필요 없는 단순 서비스 소개 화면과 같은 경우에는 무상태로 설계가 가능하지만, 로그인이 필요한 서비스라면 유저의 상태를 서버에 유지해야 하기 때문에 브라우저 쿠키, 서버 세션, 토큰 등을 이용해 상태를 유지하여야 한다. 또한 상태 유지는 최소한만 사용하여야 한다.

비연결성(Connectionless) 모델

TCP/IP는 연결을 유지하는 모델을 사용하지만, HTTP는 기본적으로 연결을 유지하지 않는 모델이다. 초기에는 트래픽이 많지 않았기 때문에 빠른 응답을 제공할 수 있어 이 특징이 효율적으로 작동한다.

하지만 트래픽이 많고 큰 규모의 서비스가 생겨나면서 비연결성은 여러 리소스를 요청할 때마다 연결을 반복하는 한계가 존재하며, 이를 위해 지금의 HTTP는 연결이 이루어지고 난 뒤 각각의 자원들을 요청하고 모든 자원에 대한 응답이 돌아온 후에 일정 시간동안 추가 요청이 없으면 그때 연결을 종료하는 HTTP 지속 연결(Persistent Connections)를 사용한다.

HTTP Header

HTTP Message는 Header와 Body로 구분하며, Body에서는 데이터 본문(payload)을 통해 표현(Representation) 데이터를 전달한다. 여기에서 표현은 요청과 응답에서 전달할 실제 데이터를 뜻하며 표현 헤더는 표현 데이터를 해석할 수 있는 정보를 제공한다.

HTTP Header는 <field-name(대소문자 구분 없음)>:<field-value>형식을 따르며, HTTP 전송에 필요한 모든 부가정보를 담기 위해 사용한다. 이 중에는 표현 데이터를 해석할 수 있는 표현 헤더도 포함된다.

HTTP 요청/응답 주요 헤더

• 요청(Request)에서 사용되는 헤더
  • From : 유저 에이전트의 이메일 정보. 일반적으로 잘 사용하지 않으며 검색 엔진에서 주로 사용
  • Referer : 이전 웹 페이지 주소. 현재 요청 된 페이지의 이전 웹 페이지 주소이며 Referer 사용 시 유입경로 수집 가능
  • User-Agent : 유저 에이전트 어플리케이션 정보. 클라이언트의 어플리케이션 정보(웹 브라우저 정보 등)을 담고 있으며 통계 정보 중 하나로 어떤 종류의 브라우저에서 장애가 발생하는지 파악하는 용도로 사용 가능
  • Host : 요청한 호스트 정보(도메인). 필수 헤더이며 하나의 서버가 여러 도메인을 처리해야 할 때나 하나의 IP 주소에 여러 도메인이 적용되어 있을 때 호스트 정보를 명시하기 위해 사용
  • Origin : 서버로 POST 요청을 보낼 때 요청을 시작한 주소. 여기서 요청을 보낸 주소와 받는 주소가 다르면 CORS 에러가 발생하며 응답 헤더의 Access-Control-Allow-Origin와 관련됨
  • Authorization : 인증 토큰(ex. JWT)을 서버로 보낼 때 사용. 토큰의 종류와 실제 토큰 문자를 전송한다. (ex. Authorization: Basic YWxhZGRpbjpvcGVuc2VzYW1l)

• 응답(Response)에서 사용되는 헤더
  • Server : 요청을 처리하는 ORIGIN 서버의 소프트웨어 정보.
    • ex. Server: Apache/2.2.22 (Debian)
  • Date : 메세지가 발생한 날짜와 시간.
    • ex. Date: Tue, 15 Nov 1994 08:12:31 GMT
  • Location : 페이지 리디렉션. 요청에 의해 생성된 리소스의 URI(응답코드 201등)나 요청을 자동으로 리디렉션(응답코드 3XX 등) 하기 위한 대상 리소스를 가리킴
  • Allow : 허용 가능한 HTTP 메서드. 응답코드 405(Method Not Allowed)일 때 포함됨
    • ex. Allow: GET, HEAD, PUT
  • Retry-After: 유저 에이전트가 다음 요청을 하기까지 기다려야 하는 시간. 서비스가 불능(503 : Service Unavailable)일 때 언제까지 불능인지 알려줄 수 있음
    • ex. Retry-After: Fri, 31 Dec 2020 23:59:59 GMT(날짜 표기)
    • ex. Retry-After: 120(초 단위 표기)

표현 헤더

표현 헤더는 요청, 응답 양쪽 모두 사용한다.

• Content-Type : 표현 데이터의 형식

  미디어 타입과 문자 인코딩 형식이 값으로 들어간다.

  • ex. Text/html;charset=UTF-8, application/json, Image/png 등

• Content-Encoding : 표현 데이터의 압축 방식

  표현 데이터를 압축하기 위해 사용하며, 데이터를 전달하는 쪽에서 압축 후 인코딩 헤더를 추가하고 데이터를 읽는 쪽에서는 인코딩 헤더의 정보로 압축을 해제한다.

  • ex. gzip, deflate, identity 등

• Content-Language : 표현 데이터의 자연 언어

  표현 데이터의 자연 언어가 값으로 들어간다.

  • ex. ko, en, en-US 등

• Content-Length : 표현 데이터의 길이

  바이트 단위로 표현하며, Transfer-Encoding(전송 코딩) 사용 시에는 작성하면 안된다.

  ⚠️

  Transfer-Encoding은 전송 시 어떤 인코딩 방법을 사용할 것인지를 명시하는데, 이 경우 chunked 방식을 사용하며 이는 많은 양의 데이터를 분할하여 보내기 때문에 전체 데이터 크기를 알 수 없어 표현 데이터의 길이를 명시해야 하는 Content-Length 헤더와 함께 사용할 수 없다. 현재는 Transfer-Encoding 보다는 Content-Encoding을 사용한다.

컨텐츠 협상 헤더

요청 시에만 사용하며, 클라이언트 측에서 선호하는 표현에 대한 내용을 담는다. 서버 측에서는 해당 요청의 헤더 내용이 지원 가능한 컨텐츠라면 그에 맞춰 응답하게 된다. 서버 측에서 지원하지 않는 경우를 대비해 원하는 컨텐츠에 대한 우선순위를 지정할 수 있다.

• Accept : 클라이언트가 선언하는 미디어 타입 전달

• Accept-Charset : 클라이언트가 선호하는 문자 인코딩

• Accept-Encoding : 클라이언트가 선호하는 압축 인코딩

• Accept-Language : 클라이언트가 선호하는 자연 언어

HTTPS

HTTPS는 HTTP Secure의 약자로, 단어 뜻 그대로 기존의 HTTP 프로토콜에서 요청과 응답으로 오가는 내용을 암호화하여 더 안전하게(Secure) 사용할 수 있음을 의미한다.

암호화 방식

데이터를 암호화 할 때는 암호화 시 사용할 키, 암호화한 데이터를 복호화할 때 사용할 키가 필요하다. 이 때 암호화/복호화할 때 사용하는 키가 동일하면 대칭 키 암호화 방식, 다르다면 공개 키(비대칭 키)암호화 방식이라고 한다.

1. 대칭 키 암호화 방식

대칭 키 암호화 방식은 하나의 키만 사용한다. 암호화할 때 사용한 키로만 복호화가 가능해 두 개의 키를 사용하는 공개 키 방식에 비해 연산 속도가 빠르다는 장점이 있으나 키를 주고 받는 과정에서 탈취당한 경우 암호화가 소용없어지기 때문에 키를 관리하는데 신경을 많이 써야한다.

2. 공개 키(비대칭 키) 암호화 방식

공개 키 암호화 방식은 두개의 키를 사용한다. 암호화할 때 사용한 키와 다른 키로만 복호화가 가능하고 이 때 두 개의 키를 각각 공개 키, 비밀 키라 부른다. 여기서 공개 키는 이름 그대로 공개되어 있어 누구든지 접근 가능하며, 누구든 이 공개 키를 사용해 암호화한 데이터를 보내면 비밀 키를 가진 사람만 그 내용을 복호화 할 수 있다. 보통 요청을 보내는 클라이언트가 공개 키를, 요청을 받는 서버가 비밀 키를 가지며 비밀 키는 서버가 해킹당하지 않는 이상 탈취되지 않는다.

공개 키를 사용해 암호화 한 데이터가 탈취당하더라도 비밀 키가 없다면 복호화 할 수 없으며, 반대의 경우인 비밀 키로 암호화 한 데이터는 공개 키로만 복호화 할 수 있다. 이런 방식은 대칭 키 방식보다 보안성이 더 좋지만, 더 복잡한 연산을 필요로 하여 더 많은 시간을 소모한다는 단점이 있다.

SSL/TLS 프로토콜

https://www.figma.com/file/jIkoJXAewtsDQQKQti2QzP/SSL%2FTLS?node-id=0%3A1

HTTPS는 HTTP 통신을 하는 소켓 부분에서 SSL 혹은 TLS라는 프로토콜을 사용해 서버 인증과 데이터 암호화를 진행한다. SSL이 표준화 되며 바뀐 이름이 TLS이므로 사실상 같은 프로토콜로 이해하면 된다. SSL/TLS의 특징은 다음과 같다.

• CA를 통한 인증서 사용

• 대칭키, 공개 키 암호화 방식을 모두 사용

SSL/TLS 프로토콜은 아래와 같은 과정을 통해 서버를 인증하고 데이터를 암호화하게 되며, HTTP에 SSL/TLS 프로토콜을 더한 것을 HTTPS라 부른다.

SSL/TLS 프로토콜 암호화 과정

1. 인증서와 CA(Certificate Authority)

   HTTPS를 사용하면 브라우저가 서버의 응답과 함께 전달된 인증서를 확인할 수 있다. 이런 인증서는 서버의 신원을 보증해주며, 이 때 인증서를 발급해주는 공인된 기관들을 Certificate Authority, CA라고 부른다.

   

   서버는 인증서를 발급받기 위해 CA로 서버의 정보와 공개 키를 전달한다. CA는 서버의 공개 키와 정보를 CA의 비밀 키로 암호화 하여 인증서를 발급한다.

   서버는 클라이언트에게 요청을 받으면 CA에게 발급받은 인증서를 보내준다. 이 때, 사용자가 사용하는 브라우저에는 CA들의 리스트와 공개 키를 내장하고 있어 해당 인증서가 리스트에 있는 CA가 발급한 인증서인지 확인하고, 리스트에 있는 CA라면 해당되는 CA의 공개 키를 사용해 인증서의 복호화를 시도한다. CA의 비밀 키로 암호화된 데이터(인증서)는 CA의 공개 키로만 복호화가 가능하기 때문에, CA에서 발급한 인증서가 맞다면 복호화가 성공적으로 진행되어야 한다.

   

   복호화가 성공적으로 진행 되었다면 클라이언트는 서버의 정보와 공개 키를 얻게 됨과 동시에 해당 서버가 신뢰할 수 있는 서버임을 알 수 있게 되고, 복호화가 실패된다면 서버가 보내준 인증서가 신뢰할 수 없는 인증서임을 확인하게 된다.

2. 대칭 키 전달

   클라이언트가 서버의 인증서를 성공적으로 복호화하여 서버의 공개 키를 확보했다면 서버의 공개 키와 비밀 키를 이용해 통신하는 것이 아닌 클라이언트와 서버가 함께 사용할 대칭 키를 주고 받는데 사용된다. 공개 키 암호화 방식은 보안은 확실하지만 복잡한 연산이 필요해 더 많은 시간을 소모하기 때문이다.

   

   

   클라이언트는 데이터를 암호화하여 주고 받을 때 사용할 대칭 키를 생성하여 서버의 공개 키로 암호화하여 전달한다. 서버는 전달받은 데이터를 비밀 키로 복호화 하여 대칭 키를 확보하고, 동일하게 가지고 있는 대칭 키를 이용해 데이터를 암호화하여 전달한다. 대칭 키 자체는 오고 가지 않기 때문에 키가 유출 될 위험이 없어지고, 요청이 중간에 탈취되어도 제3자가 암호화된 데이터를 복호화 할 수 없게 되어 HTTP보다 안전하게 요청과 응답을 주고 받게 된다.

Uploaded by N2T