작성
·
338
1
안녕하세요 강의 잘 듣고 있습니다.
간호사여서 그런지 관련 IT지식이 전무하여 여쭤보는점 양해 부탁 드립니다.
다음과 같이 문의 드리니, 제가 이해한 바가 맞는지 확인 부탁 드립니다.
1) SSL을 안하게 된 사이트를 운영할 경우, http://로만 나타나는게 맞는지?
2) 위 1이 맞을 경우, http://로 접속하여 로그인하는 고객의 정보 들이 해킹 당할 수 있는 건지?
3) 결국 해킹을 막기 위해서는 반드시 SSL이 필요한 것인지?
4)SSL이 되면서 인증서는 못받을 수도 있는건지?
5) SSL 인증은 누가 해주는건지?ㅠㅠ 어느 기관에 신청을 해서 사는건가요?
6)SSL이 되면 인증서는 자동 발급되는건지? 누가?
7) SSL인증을 받은 모든 url사이트는 https//로 봐도 되는건지?
8) 그럼 https://는 전혀 해킹 리스크가 없는 것인지?
감사합니다
답변 2
1
안녕하세요! 질문 확인이 늦었습니다. 와...간호사 분께서 제 강의를 듣고 계신다니, 너무 감사하고 좋내요. 문의 주신 질문에 대해서 아래에 답변 드립니다. 혹시 답변중 내용이 어려운게 있으면 추가 질문 부탁드리겠습니다.
세부 답변을 드리기 전에 미리 말씀 드리는 것은, 기본적으로 SSL은 이용자쪽에서 뭔가를 하는 것이 아니라, 보안 적용을 하는 개발쪽 서버에 세팅을 하며 이용자는 보안되는 서비스를 쓰지만, 뭔가 설치하거나 체감하는 것은 없다는 것을 미리 설명 드립니다.
1) SSL을 안하게 된 사이트를 운영할 경우, http://로만 나타나는게 맞는지?
=> 네 맞습니다.
2) 위 1이 맞을 경우, http://로 접속하여 로그인하는 고객의 정보 들이 해킹 당할 수 있는 건지?
=> 해킹은 다양한 방식이 있어서 구분을 하면, 웹을 통해 이동하는 정보는 http:// 나 https:// 모두 빼았길수 있습니다.
=> 단 http:// 는 암호화 되지 않은 정보를 그대로 빼았기고
=> https:// 는 암호화 된 정보를 빼앗기기 때문에 상대적으로 안전합니다.
=> 하지만 어떤 방식이든 100% 해킹에 안전하다고 보장할 수는 없습니다. 그래 https:// 가 http:// 보다는 더 안전하다고 표현하는 것이 정확합니다.
3) 결국 해킹을 막기 위해서는 반드시 SSL이 필요한 것인지?
=> 해킹은 다양한 기술들이 있지만, 대표적인 기술을 3가지 정도 콘셉으로 설명드리면
=> 첫번째 강탈 : 정보를 빼았기는 부분 (이것은 SSL도 동일하게 빼앗길 수 있음)
=> 두번째 해석 : 빼앗긴 정보를 해석해서 이용하는 부분
(이것은 SSL의 암호화 기술이 기본적으로 보호)
=> 세번째 조작 : 해석한 정보를 해커들의 목적에 맞게 변경 하는 부분
(이것은 해석이 되어야 조작이 가능하므로, SSL이 보호)
=> 결론은 해킹을 근본적으로 막을 수 는 없지만, 정보를 해석 및 조작 당하는 부분은 더 안정적임 입니다.
4)SSL이 되면서 인증서는 못받을 수도 있는건지?
=> SSL 적용를 위한 인증서는 무료 배포본을 받거나, 유료 구매를 해야 하며, 인증서는 서버쪽에 설치 됩니다.
=> 사용자는 SSL 이 적용된 웹사이트로 보안을 적용 받지만, 이것을 화면에서 체감하지는 않으며, 뒷단(보이지 않는 서버쪽) 처리 됩니다.
5) SSL 인증은 누가 해주는건지?ㅠㅠ 어느 기관에 신청을 해서 사는건가요?
=> 인증은 목적에 따라서, 무료 배포, 기관 배포, 사설 업체 배포 등을 통해서, 무료, 허가, 유료 구매 등을 통해서 이용할 수 있습니다.
6)SSL이 되면 인증서는 자동 발급되는건지? 누가?
=> 인증서는 5번의 형태로 구매하고, 서버에 설치 적용해야 합니다.
=> SSL은 사이트 제공자쪽에서 진행하는 것이며, 이용자는 별도로 할 것은 없습니다.
7) SSL인증을 받은 모든 url사이트는 https//로 봐도 되는건지?
=> 네 SSL 인증을 받으면 기본적으로 https:// 를 적용하게 됩니다.
=> 보통서버에서 적용시, 이용자 http://로 접근해도 서버에서 https://로 접근하도록 리다이렉션(쩐환)해서 처리 합니다.
8) 그럼 https://는 전혀 해킹 리스크가 없는 것인지?
=> 3번에 8번의 질문에 대한 대답이 함께 있습니다.
좋은 질문 감사드리며, 즐거운 하루 되세요~^^
0
안녕하세요 빠른 답변 감사 드립니다. 일부는 이해했고 일부는 이해를 못하여 재여쭤보는 점 양해 부탁 드립니다.
그러면 인증서를 구매하기만 하면 되는건가요?아니면 예컨대 당사 IT팀에서 '우리는 고객 정보를 이렇게이렇게 처리할거고, 현재눈 이렇게 처리하고 있어' 라는 현황 보고서 등 같은 것을 공신력있는 기관이나 인증서를 발급해주는 기관에 제출하고 난 뒤, 거기에서 '인증'을 해서 '인증서를 발급받는 형식인가요?
아니면 그냥 인증서를 구매만 하면 알아서 서버에 설치되어 암호화 처리 되는 방식 <- 으로 이해하면 될지요?...
ㅠㅠ 감사합니다.