전 세계 홈페이지 절반이 'https', 한국은?
[IT동아 강일용 기자] 전 세계 상용 홈페이지의 절반이 'https'로 암호화된 것으로 조사됐다. 인터넷 보안 인증 발급기관 '렛츠인크립트(https://letsencrypt.org)'는 모질라 파이어폭스 텔레메트리의 조사 결과를 인용해 2월 1일 기준 전 세계 홈페이지의 50.3%가 자사 홈페이지에 https를 적용했다고 밝혔다. 지난 해 1월 전 세계 홈페이지의 39%가 암호화되었던 점을 감안하면 불과 1년 사이에 11%나 늘어난 수치다.
(파이어폭스 텔레메트리란 전 세계 파이어폭스 사용자 가운데 자신의 인터넷 브라우징 정보를 제공하기로 동의한 사용자의 데이터를 취합해 전 세계 인터넷 사용 현황을 알려주는 애널리틱스 서비스다.)
쇼핑몰, 인터넷 서비스 등 보안이 필수적인 홈페이지에만 적용되었던 https가 일반 홈페이지로 점점 확대되고 있다는 증거다. 이미 구글은 자사 검색 서비스 전체에 https를 적용한 상태다.
https란 인터넷 보안 표준인 TLS(Transport Layer Security) 통신 기술을 활용해 AES 128 또는 256 비트 수준으로 암호화된 홈페이지를 의미한다. 홈페이지에 https를 적용하면 악의를 가진 제 3자(=해커)가 서버(홈페이지)와 클라이언트(사용자) 간에 통신을 중간에서 훔쳐보는 것이 매우 어렵게 된다. 개인 해커 수준에서는 통신을 훔쳐보는 것이 불가능하기 때문에 홈페이지의 보안 수준이 급격히 올라간다고 평가받고 있다.
https를 적용하면 홈페이지와 사용자 간에 주고 받는 통신을 중간에서 위변조하는 것도 불가능해진다. 때문에 불법 유해 홈페이지 차단(warning.or.kr)도 https를 적용한 홈페이지에는 적용되지 않는다.
또한 https를 적용하려면 코모도어 그룹, 베리사인, 구글트러스트서비스 등 제 3자 인터넷 보안 인증 기관에게 자사의 홈페이지가 맞음을 인증받아야 한다. 때문에 파밍(Pharming: 가짜 홈페이지를 활용해 사용자의 금융 정보를 빼돌리는 기법)을 방지하는데에도 큰 효과가 있다.
이러한 장점 덕분에 구글, 마이크로소프트, 모질라 등 많은 인터넷 관련 기업들이 로그인 기능을 갖춘 홈페이지는 반드시 https를 적용할 것을 권고하고 있다. 심지어 구글의 경우 홈페이지에 로그인 기능이 있음에도 https를 적용하지 않을 경우 검색 결과에서 하단으로 내리는 등의 패널티를 주고 있고, 최신 버전의 구글 크롬과 모질라 파이어폭스는 https가 없는 홈페이지에서 로그인하려 할 경우 아이디와 비밀번호 데이터가 외부로 유출될 수도 있다는 보안 경고창을 띄우기로 결정했다.
이러한 인터넷 기업의 결정이 작년 https의 보급률이 급격히 올라간 이유다. 인터넷 기업들(특히 구글)이 검색, 웹 브라우저 등을 통해 https를 적용하지 않은 홈페이지에 패널티를 부여하기로 결정함에 따라 https 적용을 망설였던 사업자들이 자사의 홈페이지에 https를 적극적으로 도입한 것으로 풀이된다.
물론 https에 장점만 있는 것은 아니다. 통신 데이터를 암호화해서 보내기 때문에 패킷 데이터량이 상승하고 데이터를 주고받는 속도가 느려진다는 문제와 인터넷 보안 인증을 위한 비용이 필요하다는 단점이 있다. 하지만 전 세계 인터넷 통신 속도 수준이 전체적으로 향상되었고, 무엇보다 암호화에 따른 보안으로 사용자가 얻는 혜택이 크기 때문에 이제 데이터량 증가는 문제라고 볼 수 없게 되었다. 보안 인증 비용도 렛츠인크립트 같이 무료로 인증서를 발급해주는 기관이 늘어남에 따라 일반 사용자도 https를 자신의 홈페이지에 부담 없이 적용할 수 있게 되었다.
국내 홈페이지 역시 https를 적용하는 비율이 점점 늘어나고 있다. 개인정보보호협회의 조사 결과에 따르면 현재 국내에 발급된 보안서버(https)의 수는 민간 홈페이지 약 8만 5,000개, 공공 홈페이지 약 1만 7,000개로 총 10만여개의 보안서버가 발급된 상태다. 아직까지는 로그인이 필요한 홈페이지 위주로 https를 이용하고 있지만, 곧 세계적인 추세와 마찬가지로 일반 홈페이지 역시 https를 적용하는 비율이 급격히 늘어날 전망이다.
글 / IT동아 강덕원(campus@itdonga.com)