[LG U+ 유레카 3기]HTTP와 HTTPS의 모든 것

🧩 HTTP 프로토콜 완벽 이해

---

❶ HTTP란?

HTTP (HyperText Transfer Protocol)은 인터넷에서 클라이언트(보내는 쪽)과 서버(받는 쪽)이 데이터를 주고받기 위해 사용하는 애플리케이션 계층 프로토콜이다.

즉, 웹 브라우저와 서버가 서로 대화할 때 사용하는 언어(약속)인 셈이다.

---

❷ TCP/IP 위에서 동작한다는 뜻

HTTP 자체는 데이터를 직접 전송하지 않는다. 대신 TCP/IP가 ‘데이터 전송’을 담당하고, HTTP는 ‘무엇을 주고받을지’를 정의한다.

계층	역할	예시
Application	무엇을 주고받을지	HTTP, FTP
Transport	데이터를 어떻게 전송할지	TCP, UDP
Internet	어디로 보낼지	IP
Network Access	물리적 연결	Ethernet, Wi-Fi

즉, IP는 주소(어디로), TCP는 신뢰성 있게 전송(어떻게), HTTP는 무엇을 보낼지(무슨 내용)을 담당한다.

---

❸ Stateless (비상태성)

HTTP의 중요한 특징은 Stateless, 즉 무상태성이다. 이는 서버가 클라이언트의 이전 요청 상태를 기억하지 않는다는 뜻이다.

따라서 사용자가 로그인 후 다른 요청을 보낼 때마다 서버는 그 사람이 이전에 로그인했던 사람인지 모른다.

그래서 이 문제를 해결하기 위해 쿠키(Cookie)와 세션(Session)을 사용한다.

장점: 단순하고 확장성 높음.
단점: 매번 상태정보를 새로 보내야 하므로 비효율적.

---

❹ 1990년대의 CS Programming과 HTTP의 관계

1990년대 초반엔 웹이 대중화되기 전이라, HTTP 대신 TCP/UDP/FTP 등 저수준 통신으로 직접 데이터를 주고받았다.

이런 방식이 바로 Client–Server Programming이었고, 대부분 사내망(Intranet)에서 사용되었다.

각 회사마다 자체 프로토콜을 만들어 쓰던 시절에서, HTTP는 모든 웹 통신을 표준화시킨 결정적인 기술이었다.

---

❺ 요청(Request)과 응답(Response)의 구조

🔹 요청(Request)

GET /index.html HTTP/1.1
Host: www.example.com
Authorization: Bearer API_KEY
Content-Type: application/json

{ "username": "jinwoo", "password": "1234" }

• Start Line — Method + URL + Version
• Header — 요청 메타데이터 (API키, 브라우저정보 등)
• Body — POST, PUT 요청 시 실제 전송할 데이터

🔹 응답(Response)

HTTP/1.1 200 OK
Content-Type: text/html
Date: Wed, 29 Oct 2025 10:00:00 GMT

<html>Hello, World!</html>

• Status Line — HTTP 버전, 상태 코드, 메시지
• Header — 서버 정보, 데이터 타입 등
• Body — 실제 데이터 (HTML, JSON 등)

---

❻ 주요 상태 코드(Status Code)

코드	의미	설명
200	OK	요청이 성공적으로 처리됨
201	Created	새로운 리소스가 생성됨
400	Bad Request	요청 문법 오류
401	Unauthorized	인증 필요
403	Forbidden	접근 권한 없음
404	Not Found	요청한 리소스 없음
500	Internal Server Error	서버 내부 오류
503	Service Unavailable	서버 과부하/점검 중

---

❼ HTTP vs HTTPS (보안 계층)

🔒 HTTPS란?

HTTP는 데이터를 평문으로 주고받는 반면, HTTPS는 SSL/TLS 암호화 계층을 추가하여 보안을 강화한 버전이다.

즉, HTTP + SSL/TLS = HTTPS

구분	HTTP	HTTPS
보안성	암호화 없음	SSL/TLS로 암호화
포트 번호	80	443
속도	빠름	약간 느림(암호화 연산)
데이터 보호	취약	안전 (암호화 + 무결성 검증)
사용 예시	내부 테스트 환경	로그인, 결제, API 서버 등

HTTPS의 핵심 3요소

• 암호화 (Encryption) — 제3자가 내용을 읽지 못하도록 보호
• 인증 (Authentication) — 서버의 신원을 증명 (CA 인증서)
• 무결성 (Integrity) — 데이터가 변조되지 않았음을 보장

SSL 인증서

서버가 자신이 진짜임을 증명하기 위해 CA(Certificate Authority) 기관에서 발급받은 인증서를 사용한다. 브라우저가 인증서를 검증하고 유효할 때만 🔒 아이콘이 표시된다.

HTTPS 통신 과정 (핸드셰이크 요약)

클라이언트 → 서버 : 사용할 암호화 방식 제안
서버 → 클라이언트 : 인증서 전달
클라이언트 → 서버 : 공개키로 비밀키 암호화하여 전송
서버 → 클라이언트 : 세션키 교환 완료 → 이후 통신 암호화

이 과정을 TLS Handshake라고 한다.

HTTPS 도입 이점

• 데이터 도청 및 변조 방지 (MITM 공격 차단)
• 로그인, 결제 정보 보호
• Google SEO 가중치 상승
• 브라우저 경고 제거 ("이 사이트는 안전하지 않음" 방지)
• API 서버 보안 강화 (JWT, OAuth 등과 함께 사용)

---

❼ TCP Handshake & TLS Handshake (핵심 네트워크 원리)

HTTP와 HTTPS가 제대로 동작하려면, 그 아래에서 데이터를 안전하게 주고받을 수 있는 TCP 통신이 먼저 연결되어야 한다. 이때 사용하는 과정이 바로 TCP 3-Way Handshake다.

---

🔹 TCP 3-Way Handshake (연결 수립 과정)

TCP는 신뢰성 있는 연결형 프로토콜이다. 즉, 데이터를 주고받기 전에 서로 준비됐는지 확인하고, 순서와 무결성을 보장하기 위해 ‘악수(Handshake)’를 나눈다.

[1] 클라이언트 → 서버 : SYN
[2] 서버 → 클라이언트 : SYN + ACK
[3] 클라이언트 → 서버 : ACK

단계	동작	설명
① SYN	연결 요청	클라이언트가 “연결하고 싶다”는 신호를 보냄 (SYN=1, seq=x)
② SYN+ACK	요청 수락	서버가 요청을 수락하며 응답 (SYN=1, ACK=1, seq=y, ack=x+1)
③ ACK	연결 확인	클라이언트가 서버의 응답을 확인하고 최종 승인 (ACK=1, seq=x+1, ack=y+1)

이 과정을 거치면 클라이언트와 서버는 서로의 존재를 확인하고, 양방향 통신이 가능한 상태로 전환된다.

---

🔹 TCP 4-Way Handshake (연결 종료 과정)

[1] 클라이언트 → 서버 : FIN
[2] 서버 → 클라이언트 : ACK
[3] 서버 → 클라이언트 : FIN
[4] 클라이언트 → 서버 : ACK

연결 종료 시에는 송신과 수신을 각각 끊어야 하므로 총 4번의 신호가 필요하다.

---

TLS Handshake (HTTPS의 암호화 연결 수립)

TCP로 연결된 후, HTTPS는 TLS(Transport Layer Security)를 통해 암호화된 세션을 설정한다. 즉, TCP가 “문을 여는 과정”이라면, TLS는 “그 문에 자물쇠를 거는 과정”이다.

[1] ClientHello → 지원 가능한 암호화 방식, TLS 버전 제안  
[2] ServerHello → 암호화 방식 선택 + 인증서 전달  
[3] 클라이언트 → 인증서 검증 후 공개키로 세션키 암호화하여 전송  
[4] 서버 → 세션키 복호화 후 Finished 메시지 전송  
[5] 이후부터 세션키로 암호화된 대칭키 통신 진행

즉, TCP Handshake는 신뢰성 있는 연결을 만들고, TLS Handshake는 그 연결에 보안을 더한다.

---

Handshake 요약 비교

종류	단계	목적	핵심 신호
TCP 3-Way Handshake	3단계	연결 수립	SYN / ACK
TCP 4-Way Handshake	4단계	연결 종료	FIN / ACK
TLS Handshake	5단계 이상	보안 세션 수립	인증서 / 세션키

---

❽ 핵심 요약

• HTTP는 TCP/IP 위에서 동작하는 애플리케이션 계층 프로토콜로, 요청(Request)과 응답(Response)으로 구성된다.
• Stateless 특성 때문에 서버는 클라이언트의 이전 상태를 기억하지 않는다.
• 요청: Method + URL + Header + Body
• 응답: Status Code + Header + Body
• HTTPS는 HTTP에 SSL/TLS 보안 계층을 추가한 버전으로, 암호화·인증·무결성을 보장한다.
• TCP Handshake는 연결을 수립하고, TLS Handshake는 그 연결을 안전하게 만든다.
• HTTP는 포트 80, HTTPS는 포트 443을 사용하며, 현대 웹의 기본 통신은 대부분 HTTPS로 이루어진다.

---

용어 정리

용어	설명
HTTP	웹에서 데이터를 전송하기 위한 프로토콜
HTTPS	HTTP에 SSL/TLS를 더한 암호화된 통신 방식
TCP/IP	인터넷 통신의 기본 규약 구조
SYN (Synchronize)	TCP 연결 시작 요청 신호
ACK (Acknowledge)	요청을 수락하고 수신을 확인하는 신호
FIN (Finish)	TCP 연결 종료 요청 신호
Stateless	서버가 이전 요청의 상태를 저장하지 않음
TLS Handshake	HTTPS 통신에서 보안 세션을 수립하는 절차
Header	요청 또는 응답의 부가정보
Body	전송되는 실제 데이터
Status Code	요청 처리 결과를 숫자로 표현한 것
Method	요청의 종류(GET, POST, PUT, DELETE 등)
SSL/TLS	데이터 암호화, 인증, 무결성을 담당하는 보안 프로토콜
CA (Certificate Authority)	서버 인증서를 발급하는 공인 기관

---

마무리

TCP Handshake는 "문을 여는 과정", TLS Handshake는 "그 문에 자물쇠를 거는 과정"이다.
HTTP는 데이터를 주고받는 언어이며, HTTPS는 그 언어를 안전하게 주고받는 방법이다.
오늘날 웹의 신뢰는 바로 이 작은 SYN과 ACK, 그리고 TLS 암호화의 악수에서 시작된다.