Skip to main content

Encrypting the Web

mytubethumb play
%3Ciframe%20src%3D%22https%3A%2F%2Fwww.youtube.com%2Fembed%2FI3a0bItZ3sI%3Fshowinfo%3D0%26amp%3Bcc_load_policy%3D1%26amp%3Bhl%3Dko%26autoplay%3D1%22%20frameborder%3D%220%22%20width%3D%22650%22%20height%3D%22365%22%3E%3C%2Fiframe%3E
Privacy info. This embed will serve content from youtube.com

웹은 현재 비보안 HTTP에서 보안 HTTPS 프로토콜로 바뀌는 거대한 흐름의 중간 지점에 있습니다. 모든 웹 서버는 HTTP와 HTTPS 중 하나의 프로토콜을 이용하여 서버에서 브라우저로 웹 페이지를 전송합니다. HTTP는 콘텐츠가 중간에서 가로채지거나 도청당할 수 있는 심각한 문제가 있습니다. HTTPS는 이 문제를 대부분 해결해줍니다. 때문에 EFF와 우리와 마음이 맞는 다른 지지자들은 웹 사이트가 기본적으로 HTTPS를 채택하도록 주장하고 있습니다. 2016년에는 모든 웹 페이지의 절반이 HTTPS를 이용하고 있습니다. 과거에 비해서는 엄청난 발전입니다만, 아직 갈 길이 더 남아 있습니다.

우리는 모든 웹 사이트의 소유자가 HTTPS를 이용하도록 요청하고 있으며, 이를 가능케 할 수 있도록 여러 도구 또한 제공하고 있습니다.

많은 시간 동안 웹 사이트의 소유자는 비밀번호나 신용 카드 번호를 입력하는 페이지 같은, 적은 부분에만 HTTPS를 이용해왔습니다. 하지만 근래에 들어 인터넷 보안 업계는 모든 웹 페이지에 보호가 필요하다는 것을 인식했습니다. HTTP로 전송되는 페이지는 도청과 콘텐츠 인젝션에 취약하며, 쿠키가 도용되어 온라인 계정이 탈취당할 수도 있습니다.

콘텐츠 인젝션은 HTTP로 통신 되는 웹 페이지 사이에 다른 누군가가 데이터나 코드를 주입하는 것으로 일어납니다. 예를 들어, GCHQ와 NSA는 이 방법으로 벨기에의 ISP 컴퓨터를 장악했습니다. 또한 콘텐츠 인젝션은 Github에 만리 대포라고도 부르는 거대한 DDoS 공격을 하여 서비스를 중단시켰던 방법이기도 합니다. 콘텐츠 인젝션은 ISP에서도 쓰이기 시작했습니다. Verizon은 모든 고객의 연결 요청에 추적 헤더를 삽입했습니다. 또한 Comcast는 본디 사이트에는 있지 않은 팝업을 띄우게 했습니다. 이 모든 공격은 HTTPS를 기본으로 이용하는 것으로 막을 수 있습니다.

개인으로서 할 수 있는 일

안타깝게도 HTTPS 연결을 지원하는 웹 사이트에만 HTTPS 연결을 사용할 수 있습니다. 그리고 아직 많은 웹 사이트들이 이를 지원하지 않고 있죠. 하지만 HTTPS를 기본적으로 이용하지는 않지만, 연결 자체는 지원하는 웹 사이트들도 있습니다.

EFF는 그런 사이트들의 HTTPS 연결을 자동으로 도와주는 HTTPS Everywhere라는 브라우저 확장 기능을 개발 및 관리하고 있습니다. 이러한 사이트에서 도청과 콘텐츠 인젝션을 막을 수 있도록 모든 브라우저에 이 확장 기능을 설치하는 것을 추천해 드립니다.

HTTPS Everywhere logo

또한, 자주 방문하는 사이트를 확인해보시기 바랍니다. 웹 사이트를 방문했을 때, 브라우저 상단의 URL이 "https://"로 시작하나요? 그렇지 않다면 웹 사이트 관리자에게 HTTPS 지원을 요구하시기 바랍니다. 이 페이지를 링크하여 이러한 조치가 왜 중요한 것인지 설명하실 수 있으실 겁니다.

웹 사이트 관리자로서 할 수 있는 일

우리는 모든 웹 사이트가 HTTPS를 이용하고 방문자를 기본적으로 HTTPS로 연결할 수 있도록 리다이렉트 하는 것을 권장합니다. HTTPS 이용에 드는 금액은 10년이 흐르면서 점차 절감됐으며, 오늘날에는 HTTPS 연결이 웹 사이트를 느리게 하거나 서버의 CPU를 더 많이 사용하게 하지는 않습니다. 더불어, HTTPS를 이용하면 최신 HTTP/2 표준을 구현할 수 있기에 HTTP와 비교하여 웹 탐색 속도를 크게 높일 수 있습니다.

HTTPS 연결에는 인증 기관에서 발급한 인증서가 필요합니다. 이는 복잡하고 금액이 많이 드는 방법이었습니다만, 새로운 인증 기관인 Let's Encrypt는 쉽게 자동화할 수 있는 API를 이용하여 대중에게 무료로 인증서를 발급합니다. Let's Encrypt는 EFF, Mozilla, 그리고 다른 많은 스폰서들로 이루어진 공동 프로젝트입니다.

Let's Encrypt logo

웹 인터페이스를 통하여 웹 사이트 전체를 관리하는 경우, 호스팅 제공 업체가 Let's Encrypt 지원을 통합하여 설정에서 이를 켤 수 있게 하는 방법이 있습니다. 이미 많은 호스팅 제공 업체가 Let's Encrypt를 지원하고 있으며, 앞으로 더 많이 추가될 것입니다.

셸을 통하여 호스팅 제공 업체로 연결할 수 있는 경우, EFF에서 개발한 도구인 Certbot을 사용하실 수 있습니다. Certbot으로 Let's Encrypt에서 무료 인증서를 발급받을 수 있습니다. 또한, Apache 또는 Ngnix 서버에서 자동으로 인증서를 사용할 수 있도록 구성할 수 있습니다.

Certbot logo

호스팅 제공 업체로서 할 수 있는 일

우리는 모든 호스팅 제공 업체와 CDN에게 HTTPS 연결을 기본으로 사용하도록 권장하고 있으며, HTTP 서비스와 대비하여 추가 비용이 발생하지 않습니다. Cloudflare, OVH, WordPress.com, SquareSpace 같은 이미 많은 업체들이 HTTPS 연결을 사용하고 있습니다. Let's Encrypt 통합 가이드에 HTTPS를 기본적으로 구현하는 방법에 대한 자세한 내용이 있습니다. 우리는 무료로 쓸 수 있는, 자동화된 HTTPS가 웹 호스팅 업계의 표준이 되기를 기대하고 있습니다.

Protect digital privacy and free expression. EFF's public interest legal work, activism, and software development preserve fundamental rights.
Protect digital privacy and free expression. EFF's public interest legal work, activism, and software development preserve fundamental rights. DONATE TO EFF
JavaScript license information