쇼핑몰 보안을 위한 설정 중 HSTS를 활용해 보안과 속도 그리고 SEO까지 유리해지는 방법에 대해서 살펴 봅니다.
[쇼핑몰 보안] HSTS로 보안과 속도 그리고 SEO까지 세마리 토끼를 잡자
쇼핑몰 구축기를 연재하는 이유
최근 지인이 워드프레스를 이용해 쇼핑몰 구축을 시도하면서 배웠던 배웠던 다양한 경험들을 해당 쇼핑몰 블로그에 연재해 왔는데요.
쇼핑몰이 상품만 파는 것이 아니라 쇼핑몰을 방문하는 고객들에게 열가지 유용한 정보를 제공하는 블로그의 효용성이 높다는 점을 십분 활용하고, 처음 시작하는 쇼핑몰의 신뢰성을 주기 위해 비록 삽질이지만 삽질기를 낱낱히 공개하기로 했다고 하네요.
그 쇼핑몰의 주소는 https://puripia.com로 아직도 공사중이기는 합니다.)
쇼핑몰 구축 시 도와주었던 인연으로 그 쇼핑몰을 알리고 쇼핑몰 구축 경험담을 보다 널리 알리기 위해서 여기 happist.com에도 같이 공유합니다. 조금 사심이 있기는 합니다.
[쇼핑몰 보안] HSTS로 보안과 속도 그리고 SEO까지 세마리 토끼를 잡자
요 며칠 사이에 구축하고 있는 쇼핑몰 보안에 대해서 고민하고 있는데요. 오늘은 HSTS에 대한 이야기를 풀어 보도록 하겠습니다.
인터넷이 커지고 특히 이커머스가 커지면서 인터넷 상에서 돈이 될 수 있는 꺼리가 늘었습니다. 그만큼 사기를 치거나 사이트를 공략해 이익을 얻을 수 있는 여지가 커졌습니다.
이러한 가능성은 직설적으로 그만큼 해킹에 대한 유혹이 커졌다고 할 수 있죠.
그렇기에 사이트 또는 쇼핑몰 보안이라는 것이 더욱 더 중요해졌습니다. 잠재적인 해킹 위협에 대응해 다양한 대응 장치를 마련하는 것은 매우 중요합니다.
그런데 이러한 보안 장치는 대부분 시스템 자원을 많이 사용하기에 속도가 느려지고 편리함을 줄이는 경우가 많죠. 느리고 불편하게 만드는 것이 보안의 정석이기는 합니다.
그런데 HSTS라는 녀석은 보안을 강화하면서도 속도를 빠르게 할 수 있고 더욱기 구글과 같은 검색업체의 랭킹을 높여줄 수 있다고하니 엄청 반가운 녀석이라 하지 않을 수 없습니다.
1. HSTS가 무엇인고? 왜 좋다고 하는 것인지?
그러면 HSTS가 무엇인지 간단히 살펴보죠.
HSTS는 HTTP Strict Transport Security의 준말로 브라우저에게 이 사이트는 오직 HTTPS만을 이용해 접속할 수 있다고 알려주는 반응 헤더(response header)라고 합니다.
이게 왜 여러가지로 도움이 되느냐면 가장 높은 점유율을 가지고 있는 크롬은 특정 사이트, 예를 들어 MyDomain.com이 상시적으로 HTTS로만 접속할 수 있다는 것이 보장되면 이를 리스트에 올려 이를 MyDomain.com에 접속할 때는 사용자가 http로 접속하든 https로 접속하든 무조건 https로 연결해 줍니다.
아러한 과정에서 불필요한 과정들이 생략되므로 반응 속도가 높아지고, 이는 상대적으로 빠른 사이트로 인식이 되면서 구글 검색에서의 랭킹이 올라 갈 수 있다고 합니다.
확실하게 HTTPS로 접속하니 보안이 좋아지고, 불필요한 단계를 건너 뛰어 속도가 빨라지고 덩달아 검색 순위도 올라가니 세마리 토끼를 잡을 수 있다고 표현하는 것이죠.
물론 여기에서 얻어지는 속도나 SEO 랭킹이 획기적으로 좋아지지는 않습니다. 그런 마법은 없죠. 다만 미세하지만 보안과 속도 그리고 SEO애 긍정적인 영향을 미친다고 볼 수 있는 방안이라고 할 수 있습니다.
더우기 최근에는 구글 크롬 뿐만이 아니라 파이어폭스 등 다른 주요 브라우저에서도 이런 기능을 적용하고 있습니다.
2. HSTS 조건
그러면 HSTS로 구글에 등록할 수 있는조건은 어떤 것일까요?
구글을 아래와 같은 조건을 내걸고 있습니다.
- 유효한 인증
- HTTP에서 HTTPS로 리다이렉트가 같은 호스트에서 이루어 질것
- 서브 도메인도 모두 HTTPS로 작동해야 함
- 기본 도메인에 HSTS 헤더를 적용해야 함
아래는 구글 문서 부분을 그대로 캡춰해 공유해 봅니다.
서버에서 HSTS헤더를 적용하는 명령은 아래와 같습니다.
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Code language: PHP (php)
3. HSTS 등록하기
위와 같은 조건이 완료되었다면 구글에 HSTS 등록을 합니다.
여기서 도메일을 입력 후 아래에 있는 check HSTS preload status and eligibility 버튼을 누르면 됩니다.
아직 등록되지 않는 도메인이라면 접수가 되었다는 메세지가 나옵니다.
만약 이미 등록이 되어 있다면 이미 등록도 도메인이라는 메세지가 나오고죠.
마케팅케이스 스터디 관련 글을 주로 올려주는 happist.com의 경우는 아래처럼 나오는군요.
4. 마치며
오늘날에는 파이어폭스, 사파리, 오페라, 마이크로소프트 엣지와 같은 다른 회사의 브라우져들도 구글 크롬이 수집한 preload HSTS 리스트를 활용한다고 합니다.
그러므로 HSTS를 적용하고 preload 리스트에 등록하는 것은 보안을 높이면서도 속도를 빠르게하고 검색에 유리하도록 검색 등급이 올라갈 수 있는 가능성을 높이는 것이므로 적극 적용할 필요가 있습니다.