HTTPS 프로토콜에서도 VPN 서비스가 필요한 이유
6분 소요
HTTP보다 안전한 HTTPS 프로토콜 도입으로 인터넷 환경이 더욱 안전해짐에 따라 일부 사람들은 더 이상 VPN 서비스가 필요하지 않다고 주장하기도 합니다. HTTPS 프로토콜 도입으로 많은 온라인 위협을 방지할 수 있게 된 것은 사실입니다. 그러나 HTTPS 프로토콜의 보안성이 높다고 해서 모든 온라인 위협을 완벽하게 보호할 수 있는 것은 아니며, 최상의 보안을 위해서는 여전히 VPN 서비스가 필요합니다. 이 글에서는 VPN과 HTTPS 프로토콜에 대해 알아보고, HTTPS 프로토콜에서도 VPN 서비스가 필요한 이유를 확인해 보겠습니다.
목차
VPN 서비스란 무엇인가요?
VPN은 가상 사설 통신망(Virtual Private Network)의 약자로, 실제 IP 주소를 가상 IP 주소로 대체하는 서비스입니다. VPN 서비스는 사용자의 인터넷 트래픽을 암호화하며 데이터가 추적되거나 유출되지 않도록 안전하게 보호합니다. 또한 실제 IP 주소를 가상 IP 주소로 대체하기 때문에 실제 위치가 노출되는 일을 방지할 수 있습니다.
특히 NordVPN과 같은 프리미엄 VPN 서비스는 사용자의 로그인 정보가 유출되었는지 파악하는 다크 웹 모니터링 기능, 프라이버시 보호 기능 등 다양한 기능을 제공함으로써 단순한 VPN 프로그램이 아닌 종합 보안 소프트웨어 역할을 하고 있습니다.
HTTPS 프로토콜이란 무엇인가요?
HTTPS란 하이퍼텍스트 보안 전송 프로토콜(Hypertext Transfer Protocol Secure)의 약자로, 웹사이트 방문 시 정보를 보호하는 역할을 합니다. HTTPS 프로토콜이 사용되기 이전에는 HTTP(Hypertext Transfer Protocol: 하이퍼텍스트 전송 프로토콜)가 사용되고 있었습니다.
하지만 HTTP 프로토콜은 제삼자가 웹사이트와 사용자의 정보를 확인할 수 있으며, 비밀번호와 같은 개인 정보가 유출될 수 있다는 문제가 있었습니다. 이러한 문제를 해결하고자 SSL(Secure Sockets Layer: 보안 소켓 계층)이 도입되었으며, 지금은 SSL 대신 TLS(Transport Layer Security: 전송 계층 보안)가 적용되었습니다.
한 마디로 HTTPS는 보안성이 취약한 HTTP에 암호화를 적용한 프로토콜입니다. 웹사이트 주소가 ‘https://’로 시작하고 주소창에 자물쇠 모양이 표시된다면 HTTPS가 사용자의 정보를 보호하고 있다는 의미로, 비밀번호와 신용 카드 번호 등의 개인 정보가 웹사이트에 비공개 상태로 전송됩니다.
일부 웹사이트는 아직도 HTTP를 사용하고 있는 경우가 있습니다. 이때는 주소창의 ‘http://’를 ‘https://’로 변경하면 HTTPS 웹사이트로 접속할 수 있으며, 만약 HTTPS 웹사이트에 접속이 되지 않는다면 보안성이 취약한 웹사이트라는 의미이므로 가능하다면 접속하지 않는 것이 좋습니다.
VPN과 HTTPS 비교
| VPN 서비스 | HTTPS 프로토콜 |
|---|---|
| 모든 트래픽 암호화 | 브라우저 트래픽 암호화 |
| 고급 암호화 적용 | 암호화 적용 |
| 루트 인증서 공격 방지 가능 | 루트 인증서 공격에 취약 |
| 실제 IP 주소를 원하는 위치의 가상 IP 주소로 대체 가능 | IP 주소 대체 불가능 |
사이버 보안은 최근 10년 동안 빠르게 개선되었으며, 현재 대부분의 웹사이트는 HTTPS 프로토콜로 웹 브라우저와 웹사이트 간 통신을 암호화하고 있습니다. HTTPS 프로토콜은 TLS 암호화로 사용자와 웹사이트 간의 데이터를 안전하게 보호합니다. 덕분에 제삼자에게 데이터 트래픽이 유출될 걱정이 없습니다.
그러나 HTTPS 프로토콜로 인터넷 보안이 강화되었다고 해서 더 이상 VPN이 필요하지 않은 것은 아닙니다. HTTPS와 VPN은 서로 다른 특징을 지니고 있기 때문입니다. HTTPS와 VPN의 공통점과 차이점은 다음과 같습니다.
일반적으로 VPN의 암호화 성능이 더 뛰어난 편
HTTPS와 VPN은 모두 정보를 암호화한다는 공통점이 있습니다. 다만 HTTPS 프로토콜은 브라우저와 서버 간의 데이터만 암호화하며, 방문한 웹사이트에서 암호화를 활성화되어 있어야 합니다. 반면 VPN 서비스는 모든 데이터를 암호화하며, 보안 VPN 프로토콜을 이용하기에 일반적으로 HTTPS 프로토콜보다 암호화 성능이 뛰어난 편입니다.
다양한 추가 기능을 제공하는 VPN 서비스
VPN 서비스는 HTTPS 프로토콜과 달리 다양한 추가 기능을 제공하며, VPN 서비스를 이용하면 실제 IP 주소를 가상 IP 주소로 대체해 다른 국가의 스트리밍 사이트에 접속하는 등의 작업이 가능합니다. 그리고 NordVPN과 같은 프리미엄 VPN에서는 바이러스 및 위협 방지Pro와 분할 터널링 기능 등 고급 보안 기능도 제공되기에 더욱 편리하게 이용할 수 있습니다.
HTTPS 프로토콜에서도 VPN 서비스가 필요한 이유
‘대부분의 웹사이트가 HTTPS 프로토콜로 암호화되어 있기 때문에 VPN 서비스는 더 이상 필요하지 않다’라는 주장은 도둑이 들 확률이 높지 않으니 문을 잠그지 않아도 괜찮다”라는 주장과 같습니다.
초록불에 횡단보도를 건널 때도 좌우를 살피는 이유는 만에 하나 교통사고가 발생할 가능성이 있기 때문입니다. 마찬가지로 HTTPS 프로토콜에서도 여전히 VPN을 사용할 필요는 있습니다. VPN과 HTTPS 모두 인터넷 보안을 강화하는 역할을 하기 때문입니다. 따라서 HTTPS 프로토콜 적용 여부에 상관없이 VPN 서비스도 함께 사용해 모든 온라인 위협에 대응해야 합니다.
HTTPS 프로토콜에서도 VPN 서비스를 사용해야 하는 이유는 다음과 같습니다.
중간자 공격 발생 가능
일부 웹사이트의 경우 처음 접속하면 암호화 버전(HTTPS) 대신 암호화되지 않은 버전(HTTP)의 웹사이트에 먼저 접속될 때가 있습니다. 이렇게 HTTP 웹사이트에 먼저 접속되는 경우에는 중간자 공격(man-in-the-middle attack)에 노출될 가능성이 있습니다.
중간자 공격은 메시지 가로채기 공격이라고도 하며, 암호화되지 않은 사용자의 연결을 방해하고 악성 웹사이트로 리디렉션하는 공격 방식을 말합니다. 이렇게 악성 웹사이트로 리디렉션되는 경우에는 피싱 사기, 멀웨어 감염 등의 피해를 받게 될 수 있습니다.
중간자 공격을 방지하려면 HTTPS 프로토콜 외에도 HSTS(HTTP Strict Transport Security: HTTP 강제 전송 보안)이라는 특별 메커니즘이 필요합니다. HSTS는 브라우저가 암호화되지 않은 웹사이트 대신 HTTPS 버전의 웹사이트만 로드하도록 강제하는 메커니즘입니다.
그러나 상위 1백만 개의 웹사이트 중 HSTS를 사용하고 있는 웹사이트는 11%에 불과합니다. 다시 말해 대부분의 웹사이트에서는 중간자 공격이 발생할 가능성이 있으며, 중간자 공격을 효과적으로 방지하려면 VPN 서비스로 모든 트래픽을 암호화해야 합니다.
클릭 한 번으로 암호화 불가능
HTTPS 프로토콜이 효과적으로 작동하려면 브라우저와 웹사이트가 적절한 환경을 갖추고 있어야 합니다. 먼저 브라우저는 사용자가 암호화되지 않은 웹사이트에 접속할 때 알림을 전송하거나 HTTP 접속을 완전히 차단할 수 있어야 하며, 웹사이트에는 TLS 암호화가 적절히 구현되어 있어야 합니다. 또한 사용자는 HTTPS와 HTTP 웹사이트의 차이점을 이해하고 있어야 합니다.
하지만 모든 브라우저가 HTTPS 프로토콜에 최적화되어 있는 것은 아니며, 웹사이트 중 일부는 서버와 클라이언트 간 트래픽을 보호하지 않기 때문에 HTTPS 프로토콜이 효율적으로 작동하지 않는 경우가 많습니다. 이 경우에는 사용자가 브라우저와 웹사이트의 안정성을 직접 확인해야 하는 불편함이 있습니다.
반면 프리미엄 VPN 서비스에는 클릭 몇 번으로 원하는 보안 서버에 접속해 모든 인터넷 트래픽을 보호할 수 있으며, 브라우저와 웹사이트에서 HTTPS 프로토콜이 효과적으로 작동하지 않는 경우에도 데이터를 안전하게 지킬 수 있습니다
피싱 사기 방지 불가능
HTTPS 프로토콜이 적절히 구현되어 있더라도 웹사이트 자체가 악성 웹사이트인 경우에는 위협을 방지할 방법이 없습니다. 사실 피싱 사기 웹사이트 중 83%는 HTTPS 웹사이트이기 때문에 HTTPS 프로토콜 적용 여부는 피싱 사기 웹사이트 여부와 전혀 상관이 없습니다.
반면 프리미엄 VPN 서비스는 데이터 암호화 터널과 보안 기능을 제공하며, 사용자의 개인 데이터의 유출 여부와 악성 웹사이트 접속 여부를 파악해 피싱 사기와 멀웨어 감염을 방지할 수 있습니다.
모바일 앱 보안 확보 불가능
HTTPS 프로토콜은 모바일 앱의 보안을 확보할 수 없다는 한계가 있습니다. 브라우저에서는 웹사이트 연결이 암호화를 확인할 수 있지만, 모바일 앱에서는 중요 데이터의 전송 여부와 암호화 여부를 파악하기 힘들며 해킹 가능성이 얼마나 높은지도 알 수 없습니다.
특히 일부 모바일 앱은 인증서 고정 등의 보안 조치를 취하고 있지만 기본적인 보안 조치도 취하지 않는 경우가 많기 때문에 다양한 온라인 공격에 노출될 위험이 있습니다. 따라서 모든 앱에서 최상의 보안을 유지하기 위해서는 VPN 서비스로 모든 인터넷 트래픽을 암호화해야 합니다.
종합 보안 솔루션, NordVPN
최상의 보안을 위해서는 무료 VPN 서비스 대신 프리미엄 VPN 서비스를 이용할 것을 추천합니다. 무료 VPN 서비스는 광고가 표시되거나, 유료 플랜 업그레이드를 유도하거나, 서버 수, 연결 속도, 데이터 사용량 등에 제한이 있는 경우가 많습니다. 특히 일부 무료 VPN 서비스는 사용자의 데이터를 수집하거나 제삼자에게 판매하기도 합니다.
반면 프리미엄 VPN 서비스는 여러 국가의 서버를 제공하며 연결 속도도 빠릅니다. 또한 무제한 데이터 및 대역폭을 지원하기에 매우 쾌적하게 서비스를 이용할 수 있습니다. 특히 NordVPN은 정기 독립 감사를 통해 투명성을 최대한 보장하고 있으며, 모든 VPN 서비스의 품질 표준을 확립하는 것을 목표로 하는 VPN Trust Initiative의 설립 멤버이기도 합니다.
NordVPN에서는 기술 지식이 없어도 클릭 한 번으로 프라이버시를 지킬 수 있습니다. 또한 NordVPN은 30일 환불 보장 정책을 통해 누구나 위험 부담 없이 제품을 테스트해 볼 수 있도록 하고 있습니다.
현재 보안성이 취약한 와이파이 핫스팟, 암호화되지 않은 앱 등 다양한 보안 위협이 존재합니다. 오늘 NordVPN의 암호화 서버에 연결해 HTTPS 프로토콜로 방지할 수 없는 모든 온라인 위협을 방지하고 안전하게 인터넷을 이용해 보세요.