HTTP(Hypertext Transfer Protocol)는 데이터를 평문으로 전송합니다 — 네트워크의 누구나 읽을 수 있습니다. HTTPS(HTTP Secure)는 TLS 암호화를 추가합니다 — 브라우저와 서버 사이에서 데이터가 종단간 암호화됩니다.
2026년 현재 86.9%의 웹사이트가 HTTPS를 사용합니다. Chrome은 2026년 10월에 HTTPS-First를 기본으로 적용하여 HTTP 사이트에 전체 페이지 경고를 표시할 예정입니다.
나란히 비교
| HTTP | HTTPS | |
|---|---|---|
| URL 접두사 | http:// | https:// |
| 암호화 | 없음 — 평문 | TLS 암호화 (AES-256) |
| 기본 포트 | 80 | 443 |
| 인증서 필요 | 아니오 | 예 (Let’s Encrypt에서 무료) |
| 브라우저 표시 | ”안전하지 않음” 경고 | 자물쇠 아이콘 |
| 데이터 노출 대상 | 네트워크의 누구나 (ISP, Wi-Fi, 프록시) | 발신자와 수신자만 |
| 데이터 무결성 | 없음 — 전송 중 변조 가능 | 있음 — 변조 감지 |
| 인증 | 없음 — 신원 증명 없음 | 인증서가 서버 신원 증명 |
| 속도 | HTTP/1.1만 | HTTP/2 활성화 (더 빠름) |
| SEO | 부정적 신호 (2014년부터) | 긍정적 신호 |
| 최신 웹 API | 대부분 차단 | 모두 사용 가능 |
| 비용 | 무료 | 무료 (Let’s Encrypt) |
| Chrome 2026년 10월 | 전체 페이지 경고 | 정상 |
HTTP에서 일어나는 일 (위험)
암호화되지 않은 HTTP 연결에서 네트워크 관찰자는 모든 것을 볼 수 있습니다:
GET /login HTTP/1.1
Host: example.com
Cookie: session=abc123xyz
username=admin&password=MySecret123여기에는 방문하는 URL, 폼 데이터(사용자 이름, 비밀번호, 신용카드), 쿠키(세션 토큰), 페이지 콘텐츠, API 응답이 포함됩니다. 같은 Wi-Fi에 있는 누구나, 사이와 서버 사이의 라우터, ISP가 모든 것을 읽을 수 있습니다.
HTTPS에서는 같은 관찰자가 보는 것:
[암호화된 데이터 — 임의 바이트와 구분 불가]목적지 IP와 도메인 이름(SNI)은 볼 수 있지만, URL 경로, 헤더, 본문, 쿠키는 볼 수 없습니다.
HTTP 사이트가 할 수 없는 것
브라우저는 최신 API를 HTTPS 전용(“보안 컨텍스트”)으로 제한합니다:
- Service Workers — 오프라인 지원, 푸시 알림
- Geolocation API — GPS 접근
- 카메라/마이크 —
getUserMedia() - Clipboard API — 클립보드 읽기/쓰기
- Payment Request API — 네이티브 결제 시트
- Web Bluetooth, Web USB — 하드웨어 접근
- HTTP/2 — 다중화, 헤더 압축 (브라우저가 HTTPS 요구)
사이트가 이 중 하나라도 사용한다면 HTTPS는 의무이지 선택이 아닙니다.
SEO 차이
Google은 2014년에 HTTPS를 순위 신호로 확인했습니다. 직접적인 신호는 “가벼운”(동점 결정 수준)이지만, 간접적인 효과가 상당합니다:
- “안전하지 않음” 경고 → 높은 이탈률 → 낮은 참여 → 낮은 순위
- HTTP/2 없음 → 느린 페이지 로드 → 나쁜 Core Web Vitals → 낮은 순위
- Chrome HTTPS-First (2026년 10월) → 전체 페이지 경고 → 대규모 트래픽 손실
”HTTPS가 더 느리다” — 오해
HTTPS는 TLS 핸드셰이크에 하나의 왕복을 추가합니다(TLS 1.3에서 10-40ms). 하지만 HTTPS는 HTTP/2를 활성화하여 다음을 통해 페이지를 더 빠르게 로드합니다:
- 다중화 — 하나의 연결에서 여러 요청 (HTTP/1.1: 한 번에 하나)
- 헤더 압축 — 오버헤드 감소
- 세션 재개 — 재방문자는 핸드셰이크 건너뜀 (TLS 1.3에서 0-RTT)
결과: HTTPS + HTTP/2 사이트는 일반적으로 HTTP/1.1 사이트보다 빠르게 로드됩니다.
HTTP에서 HTTPS로 전환하는 방법
- 무료 인증서 발급 — GetHTTPS (5분, 설치 없음)
- 서버에 설치 — Nginx | Apache | cPanel | WordPress
- 301 리다이렉트 설정 — 리다이렉트 가이드
- 혼합 콘텐츠 수정 — 혼합 콘텐츠 가이드
- 외부 서비스 업데이트 — Google Search Console, Analytics, 소셜 프로필
자주 묻는 질문
HTTP에 머물러야 할 이유가 있나요?
없습니다. HTTPS는 무료(Let’s Encrypt)이고, 설정에 5분이 걸리며, 사이트를 더 빠르게 만들고(HTTP/2), “안전하지 않음” 경고를 방지합니다. HTTP에 머무는 것에 대한 이점은 전혀 없습니다.
HTTPS가 사이트를 완전히 안전하게 만드나요?
HTTPS는 연결을 보호합니다 — 도청, 변조, 사칭을 방지합니다. 하지만 다음으로부터 보호하지 않습니다: 애플리케이션 취약점(XSS, SQL 인젝션), 서버 측 침해, 피싱(암호화 ≠ 신뢰할 수 있음), 사용자 기기의 멀웨어.
무료와 유료 인증서가 동일한 HTTPS를 제공하나요?
네. 암호화는 동일합니다. Let’s Encrypt의 무료 DV 인증서와 $500 EV 인증서는 동일한 TLS 프로토콜, 암호화 스위트, 키 교환을 사용합니다. 자물쇠 아이콘도 동일합니다.
HTTPS로 전환하면 무언가 깨질 수 있나요?
가능성: 콘텐츠에 하드코딩된 http:// 링크가 혼합 콘텐츠 경고를 유발하고, 일부 서드파티 임베드에 HTTPS URL이 필요할 수 있습니다. 마이그레이션 가이드가 모든 예외 사항을 다룹니다.