포트 80: HTTP

20년 동안, 포트 80은 월드 와이드 웹의 정문이었습니다. URL을 입력하면 브라우저가 포트 80을 두드리며 웹 서버가 HTML과 이미지, 요청한 모든 것을 응답해 주기를 기다렸습니다.

오늘날에도 포트 80은 여전히 응답합니다. 하지만 대부분은 이렇게 말합니다: "잘못된 문입니다. 443으로 가세요."

포트 80이 기본값이 된 이유

1990년대 초, Tim Berners-Lee와 CERN의 동료들이 웹을 구축했을 때, 브라우저와 서버는 어디서 만날지 합의해야 했습니다. 인터넷 할당 번호 관리기관(IANA)이 HTTP 트래픽을 위해 포트 80을 지정했습니다.

마법은 사용자가 타이핑하지 않아도 되는 부분에 있었습니다. "example.com"이 작동한 이유는 브라우저가 자동으로 포트 80을 시도한다는 것을 알았기 때문입니다. 누구도 "example.com:80"을 기억할 필요가 없었습니다. 이 보이지 않는 약속 덕분에 포트가 무엇인지 전혀 몰랐던 사람들에게까지 웹이 퍼져나갈 수 있었습니다.

1990년대와 2000년대 내내, 포트 80은 웹을 실어 날랐습니다. 모든 페이지 로딩, 모든 양식 제출, 모든 이미지—이 모든 것이 HTTP를 통해 포트 80으로 흘러들었습니다. 포트와 프로토콜은 웹 그 자체와 동의어가 되었습니다.

포트 80에서 무슨 일이 일어나는가

HTTP는 브라우저가 무언가를 요청하는 방법과 서버가 응답하는 방법을 정의합니다. 브라우저는 포트 80에 TCP 연결을 열고, 요청을 보내며("/index.html을 주세요"), 서버는 콘텐츠의 종류와 캐시 기간 같은 메타데이터와 함께 내용을 돌려보냅니다.

이 모든 것이 평문으로 이루어집니다. 방문 중인 URL, 브라우저가 보내는 쿠키, 돌아오는 페이지 내용—어느 것도 암호화되지 않습니다. 여러분과 서버 사이의 네트워크 경로에 있는 누구든 모든 바이트를 읽을 수 있습니다. 20년 동안, 여러분이 입력한 모든 URL은 누구나 읽을 수 있는 엽서였습니다.

포트 80 자체는 그냥 주소입니다. 웹 서버가 전통적으로 HTTP 요청을 기다리며 수신 대기하는 곳이죠. 포트 번호는 트래픽을 올바른 애플리케이션으로 라우팅하고, HTTP는 그 이후에 무슨 일이 일어나는지를 처리합니다.

암호화로의 전환

인터넷이 성장하면서 HTTP의 투명성은 취약점이 되었습니다. 학술 논문과 취미 페이지에는 잘 작동했던 것이 사람들이 비밀번호와 신용카드 번호를 입력하기 시작하면서 위험해졌습니다.

HTTPS가 해결책으로 등장했습니다—TLS 암호화로 감싼 HTTP입니다. 처음에는 로그인 페이지와 결제 화면에서만 사용했습니다. 나머지 웹은 HTTP에 머물렀는데, HTTPS를 사용하려면 인증서를 구매하고, 서버를 구성하고, 약간의 성능 저하를 감수해야 했기 때문입니다.

그러다 압박이 거세졌습니다. 대규모 보안 사고들. 개인정보 보호 운동. 2014년 Google이 HTTPS가 검색 순위를 높인다고 발표한 것. 브라우저 업체들이 HTTP 사이트를 "안전하지 않음"으로 표시하기 시작한 것. 2016년 Let's Encrypt가 출시되어 인증서를 무료로 제공한 것.

그 결과: 2025년까지 약 88%의 웹사이트가 기본적으로 HTTPS를 사용하며, Chrome 사용자는 브라우징 시간의 93% 이상을 암호화된 페이지에서 보냅니다¹. 포트 80은 사라지지 않았습니다. 그 역할이 바뀌었을 뿐입니다.

포트 80의 새로운 역할: 다른 곳을 가리키기

오늘날, 포트 80은 주로 리디렉션을 위해 존재합니다. 웹 서버는 포트 80과 포트 443 모두에서 수신 대기하지만, 포트 80의 역할은 단 하나입니다: "http://"를 입력했거나 프로토콜을 아예 입력하지 않은 사용자를 잡아서 HTTPS로 보내는 것.

리디렉션은 HTTP 상태 코드 301(영구 이동) 또는 308(영구 리디렉션)을 사용합니다. 응답에는 HTTPS URL을 가리키는 Location 헤더가 포함됩니다. 브라우저가 자동으로 따라갑니다. "example.com"을 입력하면, 잠깐 포트 80에 닿았다가 리디렉션을 받아 포트 443에 도달합니다. 이 우회는 밀리초 단위로 이루어집니다.

일부 사이트는 HSTS(HTTP Strict Transport Security)로 한 발 더 나아갑니다. 브라우저가 어떤 도메인에서 HSTS 헤더를 받으면 이를 기억합니다. 이후 방문 시에는 포트 80을 완전히 건너뛰게 됩니다—브라우저가 네트워크 요청을 하기 전에 내부적으로 "http://"를 "https://"로 업그레이드합니다. 포트 80은 리디렉션 요청조차 받지 못하게 됩니다. 사정을 아는 브라우저에게는, 그 문이 아예 보이지 않게 된 것입니다.

포트 80이 여전히 살아있는 곳

공개 인터넷에서 HTTPS가 지배적임에도 불구하고, HTTP와 포트 80은 특정 환경에서 계속 존재합니다.

내부 네트워크. 기업 인트라넷은 종종 HTTP를 통해 내부 도구를 운영합니다. 트래픽이 신뢰할 수 있는 네트워크를 벗어나지 않을 때, 암호화는 부담처럼 느껴질 수 있습니다. 문서 위키, 모니터링 대시보드, 관리자 인터페이스—상당수가 여전히 포트 80에서 응답합니다.

개발 환경. 로컬 개발 서버는 기본적으로 HTTP를 사용합니다. "localhost"를 위해 TLS를 구성하면 이미 번거로운 워크플로에 마찰이 더해지기 때문입니다. 포트 8080(HTTP의 흔한 대안 포트)은 개발 환경에서 많이 쓰입니다.

IoT 및 임베디드 장치. 라우터, 카메라, 센서의 설정 인터페이스는 종종 HTTP를 사용합니다. 특히 TLS 처리 부담이 큰 구형 또는 리소스 제한 하드웨어에서 그렇습니다. 이 관행은 점점 더 권장되지 않지만 여전히 흔합니다.

로드 밸런서 후단에서. 일부 아키텍처에서는 로드 밸런서가 TLS 종료를 처리합니다. 사용자는 HTTPS를 통해 연결하지만, 로드 밸런서는 내부 사설 네트워크에서 HTTP를 통해 백엔드 서버와 통신합니다. 포트 80 트래픽이 존재하지만, 외부에서는 보이지 않는 곳에서만입니다.

평문의 위험성

HTTP의 암호화 부재는 구체적인 취약점을 만들어냅니다.

도청. 여러분과 서버 사이의 네트워크 경로에 있는 누구든 HTTP 트래픽을 읽을 수 있습니다. 공용 WiFi에서는 커피숍의 다른 손님들—그리고 네트워크를 침해한 누구든 포함됩니다. 여러분의 브라우징 기록, 양식 제출 내용, 세션 쿠키—모두 그대로 노출됩니다.

중간자 공격. 브라우저와 서버 사이에 위치한 공격자는 전송 중인 HTTP 트래픽을 수정할 수 있습니다. 스크립트를 삽입하거나, 다운로드를 악성 소프트웨어로 교체하거나, 여러분이 모르는 사이에 보이는 내용을 바꿔버립니다.

현대 브라우저는 이러한 위험을 외면하기 어렵게 만듭니다. Chrome, Firefox, Safari, Edge 모두 HTTP 사이트에 "안전하지 않음" 경고를 표시합니다. 비밀번호나 신용카드 입력 필드가 있는 페이지에서는 경고가 더욱 강하게 표시됩니다.

사이트 운영자에게 HTTP는 낮은 검색 순위, 브라우저 경고, 잠재적 법적 책임을 의미합니다. 사용자에게 HTTP를 통해 민감한 정보를 제출하는 것은 피해야 할 위험입니다.

포트 80에 대한 자주 묻는 질문

모두가 HTTPS를 사용하는데 포트 80은 왜 여전히 존재하나요?

포트 80은 명시적으로 "https://"를 입력하지 않은 사용자를 위한 안전망 역할을 합니다. 포트 80이 없다면, 프로토콜 없이 "example.com"을 입력하는 사람은 보안 사이트로 매끄럽게 이동되는 대신 연결 오류를 보게 될 것입니다. 포트 80은 HTTPS로의 전환을 사용자에게 보이지 않게 만드는 안전망입니다.

방화벽에서 포트 80을 차단할 수 있나요?

아웃바운드 트래픽의 경우, 포트 80을 차단하면 URL에 "https://"가 없는 사이트에 대한 초기 연결 시도가 실패합니다. 웹 서버의 인바운드 트래픽의 경우, 포트 80을 차단하면 HTTP를 시도하는 사용자가 리디렉션 대신 연결 실패를 경험합니다. 대부분의 구성은 포트 80을 열어 두되 모든 요청을 443으로 리디렉션합니다.

민감한 데이터에 HTTP를 사용해도 괜찮은가요?

아닙니다. "신뢰할 수 있는" 내부 네트워크에서도 HTTP는 네트워크 접근 권한이 있는 누구에게나 데이터를 노출시킵니다. HTTPS의 비용은 Let's Encrypt 덕분에 0으로 떨어졌으며, 현대 하드웨어에서 성능 저하는 무시할 수 있는 수준입니다. HTTP를 통해 비밀번호, 개인 정보, 기밀 내용을 전송할 이유는 없습니다.

포트 80과 포트 8080의 차이점은 무엇인가요?

포트 80은 HTTP의 공식 표준 포트입니다. 포트 8080은 개발 서버, 프록시 서버, 또는 포트 80이 이미 사용 중일 때 흔히 쓰이는 대안 포트입니다. 기능적으로는 동일하게 작동합니다—차이는 관례와 브라우저가 포트 번호를 지정하지 않고 자동으로 연결할 수 있는지 여부입니다.

출처