왜 지금 이 내용을 알아야 할까?
요즘 개발자 유튜브, AI부업 강의, 1인 개발자 혹은 스타트업의 정부 과제, 회사 서비스 개발 등 굉장히 많은 컨텐츠와 정보 속에서
“네트워크 보안에서 HTTPS는 무조건 필수입니다”, “TLS 설정 안 하면 해킹됩니다”, “API 호출할 때 인증서를 반드시 확인하세요”
같은 말을 자주 듣게 됩니다.
정확히 무슨 뜻인지 이해를 할 수 있으신가요? 우리 같은 비전공자, 입문 개발자에게는 이런 말을 들어는 봤지만 정확하게 무슨 뜻이며 어떤 행위를 의미하는지 알 수는 없을 겁니다.
“HTTPS는 뭐고 SSL은 뭐고 TLS는 또 뭐야?”
“대칭키? 비대칭키? 암호화 방식이 왜 두 개나 있어?”
“그냥 주소창에 자물쇠만 뜨면 되는 것 아닌가?”
이러한 질문을 스스로 해결하지 못하면 정보처리기사 실기나 필기에서도 막히고 실무에서도 왜 특정 설정이 중요한지 이해할 수 없습니다. 특히 웹 개발자, 서버 개발자, 앱 개발자, 클라우드를 다루는 사람에게는 필수 개념입니다. 왜냐하면 우리가 다루는 데이터는 대부분 민감한 개인정보이기 때문입니다.
예를 들면 다음과 같습니다.
- 로그인/회원정보
- 결제정보
- API 통신
- 의료/금융 데이터
- 사내 시스템
이렇게 많은 개인정보들이 네트워크 상에서 돌아다니고 있습니다. 이런 부분에 대한 데이터의 보안에 대한 개념도 자연스럽게 중요하게 여겨지고 있고 관련해서 많은 네트워크 보안 피해들이 뉴스에 보도되고 있습니다. 최근 있었던 통신사 해킹문제 등 이 모든 것들이 네트워크 보안 영역에 들어간다는 것. 여러분들 모두 알고 계셨나요?
그래서 이번 포스팅은 여러분들에게 네트워크 보안과 데이터 암호화의 중요성과 더불어 개념에 대한 쉬운 설명, 실무에서 사용하는 용어 및 정보처리기사 기출에서는 어떻게 출제되는지 한방에 아우를까 합니다.
인터넷이 위험한 이유
우리가 매일 사용하는 인터넷이라는 공간은 기본적으로 공공도로처럼 “누구나 그 길을 이용한다”라고 생각하면 이해가 편합니다.
우리가 네트워크로 웹사이트에 접속하여 로그인을 하면 그 정보는 모두 “패킷” 이라는 형태로 데이터가 이동합니다. 하지만 이 통로는 벽도 없거니와 비밀번호나 보안요원 등 그 어떠한 장애물이 없는 “누구나 지나다니는 길” 인 겁니다.
그렇기 때문에 이러한 네트워크 취약점을 활용해 해커가 ‘패킷 도청(sniffing)’을 할 수 있고, 중간에서 ‘내가 서버인 척(MITM)’ 네트워크를 속여서 정보를 탈취할 수도 있습니다.
대표적인 위험들
- 🔓 도청(Sniffing) : 지나가는 데이터를 몰래 엿봄
- 🕵 스푸핑(Spoofing) : 공격자가 나인 척 위장
- 🔧 MITM 공격 : 중간자가 대화 내용을 모두 조작
- 🎯 세션 하이재킹 : 세션정보(쿠키 등) 훔쳐서 몰래 로그인
정보처리기사 실기에서도 반복 출제되는 내용이죠.
즉, 우리가 흔히 사용하는 기본적인 인터넷은 누구나 사용할 수 있는 네트워크지만 아무도 지켜주지 않는 위험한 길이라는 것.
그래서 이를 막기 위해 등장한 것이 바로 네트워크의 암호화(Encryption), SSL/TLS, HTTPS, 인증서(Certificate) 라는 것들입니다.
암호화 기본 구조 — 대칭키와 비대칭키는 왜 두 개일까?
많은 입문자 및 IT를 모르는 일반인이 해당 개념을 모르기도 하고 공부를 해도 많이 헷갈리는 부분입니다. 누구나 이해할 수 있도록 쉽게 설명하였으니 참고해주세요.
대칭키 = 하나의 열쇠
처음부터 끝까지 “같은 열쇠”로 잠그고 연다고 이해하면 됩니다. 이와 같은 부분은 다음과 같은 장점과 단점이 있습니다.
- 장점 : 빠름
- 단점 : 안전하지만 “열쇠 전달”이 문제 (중간에서 탈취 위험)
예시 : 우리 둘만 공유하는 비밀번호 “1234” 로 메시지를 암호화/복호화
비대칭키 = 열쇠 두 개
공개키(Public Key) ↔ 개인키(Private Key)
- 개인키는 본인만 갖고 있음
- 장점 : 공개키는 누구에게나 공개해도 안전
- 단점 : 안전하지만 느림
- 그래서 “인증서” 처럼 금융 / 공공 등 개인정보가 굉장히 중요한 부분에 주로 쓰임
왜 두 개를 섞어 쓸까?
비대칭키는 느리지만 안전하고, 대칭키는 빠르지만 키 전달이 위험하기 때문입니다. 더 쉽게 예를 들자면 내연기관 자동차와 전기차의 장점을 합친 하이브리드 자동차라고 생각하면 이해가 더 빠를 겁니다.
마치 하이브리드 자동차와 유사한 개념이 바로 HTTPS 입니다.
- 비대칭키로 대칭키를 안전하게 교환
- 이후 실제 데이터는 대칭키로 빠르게 암호화
즉, 비대칭키 = 문을 처음 여는 열쇠 // 대칭키 = 안에서 대화를 나누는 비밀 대화방
SSL/TLS는 무엇일까?
인터넷을 사용할 때 웹사이트 주소창에 HTTPS 로 시작하는 URL과 자물쇠 아이콘을 본 적 있을 겁니다.
그 안에서 데이터를 안전하게 보호하는 핵심 기술이 바로 SSL과 TLS입니다.
1️⃣ SSL과 TLS의 정의
SSL (Secure Sockets Layer)
- 1990년대 넷스케이프(Netscape)가 만든 초기 보안 프로토콜
- TCP/IP 위에서 동작하며, 데이터 암호화 + 인증 + 무결성을 제공
- 버전 : SSL 2.0, SSL 3.0 (현재는 취약점 때문에 사용 금지)
- 목적 : “인터넷 통신을 안전하게 만드는 터널”
TLS (Transport Layer Security)
- SSL의 업그레이드 버전
- IETF에서 공식 표준으로 개발
- TLS 1.0 → 1.1 → 1.2 → 1.3 (현재 최신 안정화 버전)
- 보안 강화 + 성능 향상
- 목적 : SSL과 동일하지만 더 안전하고 빠르게 통신
정리하자면 SSL은 옛날버전 / TLS는 최신 버전 이라고 생각하면 됩니다.
취약성 문제로 인해 요즘은 TLS만 사용하며 보통 “SSL/TLS” 라고 같이 부르는 편입니다.
2️⃣ SSL과 TLS 비교
| 항목 | SSL | TLS | 비고 |
|---|---|---|---|
| 개발 | Netscape | IETF | TLS는 SSL 업그레이드 |
| 보안 수준 | 낮음, 취약점 많음 | 높음, 최신 암호화 | SSL 3.0 이하 사용 금지 |
| 버전 | SSL 2.0, 3.0 | TLS 1.0~1.3 | TLS 1.2 이상 추천 |
| 암호화 | 대칭키 + 비대칭키 혼합 | 동일하지만 알고리즘 개선 | TLS 1.3에서는 일부 오래된 알고리즘 제거 |
| 무결성 검증 | MAC | HMAC | TLS는 더 안전 |
쉽게 비유하자면 :
- SSL = 구형 안전문
- TLS = 최신 디지털 안전문 + 경보 시스템 추가
3️⃣ SSL/TLS가 제공하는 3가지 보안 기능
- 암호화(Encryption)
- 데이터가 중간에서 도청되어도 읽을 수 없게 변환
- 예: 로그인 패스워드, 결제정보
- 인증(Authentication)
- 상대방 서버가 진짜인지 확인
- 인증서(Certificate)를 사용
- 예: 은행 사이트가 진짜인지 확인
- 무결성(Integrity)
- 데이터가 전송 중 변경되지 않았는지 검증
- HMAC(Hash 기반 MAC) 사용
4️⃣ SSL/TLS 작동 과정
단계별 흐름
- 클라이언트 접속 : 브라우저가 서버에 “HTTPS로 연결하고 싶습니다” 요청
- 서버 인증서 전달
- 서버 공개키 포함
- 도메인, 발급기관, 유효기간 포함
- 브라우저 인증서 검증
- 발급기관(CA) 검증
- 도메인 일치 확인
- 유효기간 확인
- 세션키 교환
- 브라우저가 세션키 생성 후 서버 공개키로 암호화
- 서버는 개인키로 복호화
- 이제 안전한 대칭키 통신 시작
- 대칭키로 실제 데이터 암호화 : 빠르고 안전하게 모든 데이터를 주고받음
포인트 : SSL/TLS는 비대칭키 → 대칭키 순으로 사용
6️⃣ 정보처리기사 시험 포인트
- SSL과 TLS 정의 구분
- TLS가 SSL의 개선 버전
- 시험에서 혼용된 문제 자주 출제
- X.509 인증서 이해
- Subject, Issuer, Public Key, Signature, Validity
- 암호화 과정 문제
- 비대칭키로 세션키 교환 → 대칭키로 데이터 암호화
- 보안 공격 방어 이해
- MITM, 스니핑, 세션 하이재킹 등 방어 가능
7️⃣ 실무 적용 예시
- 웹사이트 : HTTPS 적용 필수 → TLS 1.2 이상
- API 서버 : 클라이언트 인증서 검증
- 메일 서버 : SMTPS / IMAPS → TLS로 암호화
- 클라우드 : TLS 기반 인증서 자동 갱신 (Let’s Encrypt)
8️⃣ 참고 자료
HTTPS가 연결되는 과정 (입문자+실무+시험 ALL 포커스)
아래 설명은 정보처리기사 실무형 문제와 거의 동일한 구조를 나타냅니다.
1. 브라우저가 서버에 접속 → “HTTPS로 연결하고 싶습니다!”
2. 서버가 인증서를 보여줌
인증서 안에는
- 서버의 공개키
- 도메인 정보
- 발급기관(CA) 정보
- 유효기간
- CA의 서명(Signature)
시험 포인트 : X.509 인증서에는 개인키가 들어 있지 않다.
3. 브라우저가 인증서가 진짜인지 확인
- CA의 공개키로 인증서 서명 검증
- 유효기간 확인
- 도메인 일치 여부 확인
이 과정에서 문제가 있으면 “주의: 보안 연결이 안전하지 않습니다” 라는 경고 문구 알림.
4. 브라우저가 세션키 생성 후 서버 공개키로 암호화
→ 서버는 개인키로 이걸 해독
→ 둘만 아는 “비밀 대칭키” 생성
5. 이제 모든 데이터는 대칭키로 암호화 → 빠르고 안전한 통신 완성.
HTTPS가 막아주는 공격
| 공격 | HTTPS 방어 여부 | 왜 막을까? |
|---|---|---|
| 도청 | ✔ 완전 방어 | 데이터를 암호화함 |
| MITM | ✔ 대부분 방어 | 인증서를 검증하기 때문 |
| 위·변조 | ✔ 방어 | HMAC으로 무결성 확인 |
| 하이재킹 | ✔ 상당 부분 방어 | Secure 쿠키·암호화 사용 |
실무자가 알아야 할 HTTPS 설정 포인트
- TLS 1.2/1.3 활성화(시험에 자주 출제)
- HSTS 적용(관공서 및 대기업 필수)
- Mixed Content 차단(HTTPS 페이지 내 HTTP 리소스 로드 금지)
- 인증서 자동 갱신(실무에서 자주 언급되는 부분, 경우에 따라 수동으로 갱신해야 할 때가 있음.)
정보처리기사 실기 기출 예시 모음
✔ 기출 1 — 인증서 구조
X.509 인증서에 포함되지 않는 것은?
정답: 개인키
✔ 기출 2 — 대칭키/비대칭키 구분
공개키로 암호화한 데이터는 무엇으로 복호화하는가?
정답: 개인키
✔ 기출 3 — HTTPS 과정
클라이언트가 서버 인증서 검증 후 수행하는 단계는?
정답: 세션키 생성
✔ 기출 4 — HMAC
HMAC이 사용하는 기반 기술은?
정답: 해시 함수 + 대칭키
참고할 만한 외부 링크 (공식 문서 위주)
- Mozilla: HTTPS와 TLS 기본
https://developer.mozilla.org/en-US/docs/Web/HTTP/Overview - Let’s Encrypt 공식 문서
https://letsencrypt.org/docs/ - Cloudflare: SSL/TLS 설명
https://www.cloudflare.com/learning/ssl/what-is-ssl/ - TLS 1.3 RFC
https://datatracker.ietf.org/doc/html/rfc8446
오늘 내용 이해하면 시험·실무 모두 절반은 잡은 셈
비전공자·입문자에게 TLS나 인증서는 너무 어려울 수 있습니다. 하지만 어려운 이유는 당연합니다. 처음 보는 부분도 있지만 여러분들이 무의식적으로 외우려고만 하고.
“암호화 기술이 어떻게 작동하는지”
“왜 두 종류의 키를 쓰는지”
“HTTPS가 데이터를 어떻게 지키는지”
이런 기본 개념과 왜 사용하는지라는 이유를 모르기 때문입니다.
하지만 오늘 정리한 내용은
- 인터넷 보안의 필요성
- 암호화 방식의 차이
- HTTPS가 작동하는 실제 구조
- 인증서의 의미
- 정보처리기사 기출과 직접적 연결
모두 포함하고 있습니다. 이 글을 읽으면서 공부하면 입문자 → 실무자 → 정보처리기사 실기 준비까지 전부 연계가 될 것이라 생각합니다.
다음 편 예고
다음 편에서는 이번에 다룬 네트워크 및 데이터 보안에 대한 내용에서 API 연동·인증 구조 (JWT, OAuth, HTTPS 연계)로 의미를 확장해볼까 합니다. 다음편도 많이 기대해주세요!
정보처리기사 필기ㆍ실기 통합편을 보지 못하셨다면?
[정보처리기사] 필기 실기 통합 이론 제 1편 – 정보와 보안의 모든 것
[정보처리기사] 필기 실기 통합이론 제2편 – 디자인패턴
[정보처리기사] 필기·실기 통합이론 제3편 – IT 신기술 및 전산 용어 총정리
[정보처리기사] 필기·실기 통합 이론 제 4편 – 실무에서 바로 쓰이는 기출전산용어
[정보처리기사] 필기·실기 통합 이론 제 5편 – 기출용어 중 실무에서 자주 쓰이는 고급 전산용어