HTTPS 통신시 암호화 범위에 대해 알아보자!

HTTPS 통신에서 암호화되는 범위는 어디까지일까?

웹사이트에 접속할 때 주소창에 https://가 보인다면, 해당 통신은 TLS(SSL) 기반으로 암호화되고 있다는 뜻입니다. 그렇다면 HTTPS는 실제로 어떤 정보를 암호화하고, 어떤 정보는 암호화되지 않을까요? 이 글에서 간단히 정리해보겠습니다.

1. HTTPS는 어떻게 동작할까?

HTTPS는 HTTP + TLS 조합으로, TLS(Transport Layer Security) 프로토콜이 중간자 공격이나 패킷 스니핑으로부터 통신을 보호합니다. 이때 HTTP의 내용 전체가 TLS를 통해 암호화되어 전송됩니다.

2. 암호화되는 정보

• HTTP Header: User-Agent, Authorization, Cookie 등 포함
• HTTP Body: POST, PUT 요청의 데이터 내용
• 쿠키: 세션 쿠키, 사용자 인증 쿠키 등

3. 암호화되지 않는 정보

• IP 주소: 통신을 위해 필요하므로 암호화 불가
• 포트 번호: 기본적으로 443번 사용
• 호스트명 (도메인): SNI(Server Name Indication)로 평문 전달됨 (단, ESNI/ECH로 보호 가능)
• DNS 정보: 일반 DNS는 암호화되지 않음 (DoH, DoT는 예외)

4. 암호화 여부 요약

항목	HTTPS 암호화 여부
HTTP Header	✅ 암호화됨
HTTP Body	✅ 암호화됨
쿠키	✅ 암호화됨
도메인 (Host)	❌ 암호화되지 않음 (SNI 사용)
IP 주소 / 포트 번호	❌ 암호화되지 않음
DNS 요청	❌ 암호화되지 않음 (DoH/DoT 사용 시 가능)

5. 결론

HTTPS는 HTTP의 모든 콘텐츠(헤더, 바디, 쿠키 등)를 암호화하지만, 전송 경로(IP, DNS, 호스트명 등)는 암호화되지 않습니다. 따라서 민감한 정보를 안전하게 전달하려면 반드시 HTTPS를 사용해야 하며, 추가적으로 DNS 암호화(DoH/DoT) 등을 고려하는 것이 좋습니다.