개발 보안
D
dev_to
AI Store에서 AI코딩으로 만들어진 앱을 만나보세요!
지금 바로 방문하기

HTTP와 HTTPS: 암호화만으로는 공격을 막을 수 없다

카테고리

인프라/DevOps/보안

서브카테고리

보안

대상자

  • 개발자, 보안 전문가, DevOps 엔지니어
  • 초보자 및 중급자 대상 (암호화와 보안 장비의 차이점 이해에 초점)

핵심 요약

  • HTTPS는 데이터 전송 중 암호화만 제공 (TLS 기반)
  • 악의적인 요청 (SQLi, XSS 등)은 HTTPS로도 차단 불가능
  • WAF (Web Application Firewall)이 암호화된 트래픽 내부 공격 감지 및 차단

섹션별 세부 요약

1. HTTP와 HTTPS의 기본 차이

  • HTTP
  • 데이터 전송 시 평문 방식
  • 공공 Wi-Fi 등에서 데이터 유출 위험
  • HTTPS
  • TLS (Transport Layer Security) 암호화 적용
  • 로그인 정보, 결제 데이터 등 암호화 전송

2. HTTPS의 한계

  • TLS는 패킷 내용 검증 불가
  • 악의적인 요청 (예: SQLi)은 암호화된 상태로 전송 가능
  • 예시:

```http

POST /login HTTP/1.1

Host: example.com

username=admin&password=1' OR '1'='1

```

  • 서버에서 입력 검증 미흡 시 공격 성공 가능

3. WAF의 역할

  • 암호화 후 트래픽 분석
  • SQLi, XSS, RCE 등 공격 패턴 감지
  • CAPTCHA, JavaScript 챌린지로 봇 차단
  • 0-day 공격에 대응하는 스마트 규칙 적용

4. 보안 강화 전략

  • TLS + WAF 조합 필요
  • 암호화 (TLS): 데이터 보호
  • WAF: 암호화된 트래픽 내부 공격 대응
  • 표준 WAF 예시: SafeLine WAF (오픈소스, 프로덕션 준비 완료)

결론

  • HTTPS는 필수 조건 (Google의 "Not Secure" 표시 등)
  • WAF 도입 (예: SafeLine)으로 암호화된 트래픽 내부 공격 차단
  • TLS + WAF 조합이 실제 보안 강화에 필수적
HTTPS WAF 암호화 보안 SQL injection XSS TLS
목록으로 원문 보기