크롬에선 네이버와 다음이 '안전하지 않은 사이트'?

[IT동아 강일용 기자] 웹 서핑을 즐기던 직장인 권 모씨(34)는 일주일 전 네이버, 다음 등 국내 포털에 접속해보고 깜짝 놀랐다. 이용 중인 구글 크롬 웹 브라우저의 URL창에 '안전하지 않음'이라는 표시가 나타났기 때문. 피싱(Phishing, 가짜 홈페이지 등을 통해 개인 정보를 빼돌리려는 해킹 기법)을 당해 가짜 홈페이지로 연결된 것인가 확인했지만, 아무리 살펴봐도 네이버, 다음이 분명했다. 왜 크롬 웹 브라우저는 네이버, 다음 등을 안전하지 않은 홈페이지라고 표기한 것일까?

크롬에서 '안전하지 않음'이라 뜨는 이유

구글은 지난 1월 "홈페이지에 'https'가 적용되지 않았음에도 불구하고 아이디와 패스워드 등의 개인 정보를 입력하길 원하는 홈페이지는 최신 크롬 웹 브라우저에서 안전하지 않은 홈페이지로 표시될 것이다"고 밝히고, 실제로 크롬 56 버전부터 이 기능을 적용했다. 때문에 https 페이지가 아님에도 불구하고 아이디, 패스워드 등의 개인정보를 요구하는 홈페이지는 URL 창에 '안전하지 않음'이라고 표기된다.

https(안전 페이지, 정부에선 주로 '보안 서버'라는 용어를 이용한다)란 데이터를 주고받는 신호를 암호화하지 않는 http(일반 페이지)와 달리 인터넷 보안 표준인 TLS(Transport Layer Security) 통신 기술을 활용해 AES 128 또는 256 비트 수준으로 암호화된 홈페이지를 의미한다. 홈페이지에 https를 적용하면 '악의를 가진 제 3자(=해커)가 서버(홈페이지)와 클라이언트(사용자) 간의 통신을 중간에서 훔쳐보는 것(패킷 스니핑)'이 매우 어렵게 된다. 개인 해커 수준에서는 통신을 훔쳐보는 것이 불가능하기 때문에 홈페이지의 보안 수준이 급격히 올라간다고 평가받고 있다.

https를 적용하면 홈페이지와 사용자 간에 주고 받는 통신을 중간에서 위변조하는 것도 불가능해진다. 때문에 불법 유해 홈페이지 차단(warning.or.kr)도 https를 적용한 홈페이지에는 적용되지 않는다.

또한 https를 적용하려면 코모도어 그룹, 베리사인, 구글트러스트서비스 등 제 3자 인터넷 보안 인증 기관에게 자사의 홈페이지가 맞음을 인증받아야 한다. 때문에 파밍(Pharming: 가짜 홈페이지를 활용해 사용자의 금융 정보를 빼돌리는 기법)을 방지하는데에도 큰 효과가 있다.

이러한 장점 덕분에 구글, 마이크로소프트, 모질라 등 많은 인터넷 관련 기업들이 로그인 기능을 갖춘 홈페이지는 반드시 https를 적용할 것을 권고하고 있다. 심지어 구글의 경우 홈페이지에 로그인 기능이 있음에도 https를 적용하지 않을 경우 검색 결과에서 하단으로 내리는 등의 패널티를 주고 있다. 이번 크롬 웹 브라우저의 '안전하지 않음' 표기도 이러한 패널티의 일환이다.

https 적용의 세 가지 단계

그렇다면 크롬에서 안전하지 않음이라고 뜨는 네이버, 다음, 네이트, 줌 등 국내 포털 사이트는 정말 보안이 취약한 홈페이지인 것일까? 당연히 그렇지 않다. 국내 포털 사이트는 로그인 페이지에 https를 이용하고 있다. 실제로 문제가 있었으면 난리가 났을 것이다. 대체 왜 이런 해프닝이 벌어졌는지 자세히 알아보자.

홈페이지에 https를 적용하는 것은 크게 세 가지 단계로 나눌 수 있다.

첫 번째 단계는 일반 페이지든 로그인 페이지든 상관없이 모든 페이지에 https를 적용하지 않은 홈페이지다. 이 경우 사용자가 입력한 아이디, 패스워드가 서버로 암호화되어서 전송되지 않기 때문에 제 3자가 중간에서 얼마든지 훔쳐볼 수 있다. 보안이란 개념 자체가 존재하지 않는 한심한 홈페이지다. 사용자들은 이런 홈페이지에 가입하고 로그인해서는 안 된다. 현재 임시로 만들어진 홈페이지, 불법 공유 홈페이지, 음란물 홈페이지 등을 제외하면 찾아보기 힘든 형태다. (반대로 말하자면 불법 공유 홈페이지, 음란물 홈페이지 등은 여전히 https를 이용하지 않는다는 것이다)

두 번째 단계는 일반 페이지는 http를 이용하고, 로그인 페이지는 https를 이용하는 홈페이지다. 사용자가 입력한 정보가 서버에 암호화되어서 전송되기 때문에 대부분의 해킹 시도로부터 안전해진다. 현재 전 세계 거의 대부분의 홈페이지가 이 방식을 이용하고 있다.

세 번째 단계는 일반 페이지부터 로그인 페이지까지 홈페이지 전체에 https를 적용한 홈페이지다. 사용자가 입력한 정보 뿐만 아니라 사용자의 홈페이지 이용 데이터, 광고 등도 모두 암호화되어 있기 때문에 매우 안전한 홈페이지라고 평가할 수 있다.

크롬은 이 세 단계에 맞춰 URL 창에 경고문을 표시한다. 첫 번째 단계에는 '안전하지 않음'이라고 표시한다(http에 로그인 창이 있는 경우). 두 번째 단계에는 아무런 표시를 하지 않거나(http), '안전함(https)'을 병기한다. 세 번째 단계에는 모든 페이지에 '안전함'이라고 표시한다.

안전하지 않음이라 뜨는 원인은 '사용자 환경'

거의 대부분의 국내 홈페이지는 두 번째 단계에 머무르고 있다. 네이버, 다음, 네이트, 줌 등 포털 사이트도 예외는 아니다. 실제로 크롬으로 포털 사이트의 로그인 페이지에 접속하면 안전함이라고 뜨는 것을 확인할 수 있다.

그런데 왜 안전하지 않음이라고 뜨는 경우도 있는 것일까? 원인은 사용자 환경이다. 국내 포털 사이트는 메인 화면에 되도록 많은 정보를 배치한다. 여기에는 조그마한 로그인창도 포함되어 있다. 왼쪽 상단에 있는 바로 그 로그인창 말이다. 사용자가 보다 손쉽게 홈페이지에 로그인할 수 있도록 만든 조그마한 메뉴로, 10년 넘게 이어져온 국내 포털 서비스 특유의 익숙한 사용자환경이다.

바로 여기에 원인이 있다. 포털 사이트 메인 화면은 안전 페이지(https)가 적용되지 않은 일반 페이지(http)인데, 여기에 로그인창이 남아 있는 것이다. 크롬은 이를 감지하고 포털 사이트 메인 화면이 안전하지 않은 사이트라고 사용자에게 표시한 것이다.

크롬이 경고한다고 해서 불안해할 필요는 없다

현재 다음, 네이트, 줌 등의 메인 화면을 크롬 56 버전으로 접속하면 여전히 안전하지 않음이라고 표시된다. 반면 네이버의 메인 화면은 정상이라고 표시된다. 네이버는 10일 오전 메인 화면에서 '네이버 로그인' 버튼을 누르고 안전 페이지로 넘어가야 로그인할 수 있도록 사용자 환경을 변경했다. (다만 크롬을 제외한 다른 웹 브라우저로 접속하면 예전처럼 로그인창이 보인다)

크롬에서 국내 포털 사이트를 안전하지 않음이라고 표기한다고 해서 국내 포털 사이트가 실제로 보안이 취약한 것은 아니다. 보안의 핵심은 https가 아니라 https에 이용되는 암호화 통신 기술인 TLS이기 때문이다. 국내 포털 사이트의 메인 화면 로그인창에 입력된 데이터는 TLS를 활용해 암호화되어 서버로 전달된다. 당연히 해커가 중간에서 훔쳐볼 수 없다. 반면 크롬은 단순히 홈페이지 로그인창에 https가 적용되었는지만 확인하지, TLS 암호화 통신 여부를 감지하지는 않는다. 때문에 국내 포털 사이트의 로그인창이 안전함에도 불구하고 안전하지 않음이라고 표시하는 해프닝이 일어난 것이다.

네이버 관계자는 "네이버 메인 화면이 실제로 보안에 문제가 있는 것은 아니지만, 크롬의 표시 때문에 사용자들이 불안해하는 부분이 있어서 사용자들이 로그인할 때 https가 적용된 안전 페이지로 접속되도록 사용자 환경을 변경했다"고 사용자 환경 변화의 이유를 설명했다.

https 전환은 세계적 추세... 국내 기업도 합류해야

현재 전 세계 홈페이지 절반 이상에 https가 적용된 상태다. 모질라 파이어폭스 텔레메트리의 조사 결과에 따르면 2월 1일 기준 전 세계 홈페이지의 50.3%가 https를 적용했다. 지난 해 1월 전 세계 홈페이지의 39%가 암호화되었던 점을 감안하면 불과 1년 사이에 11%나 늘어난 수치다.

현재 전 세계적으로 홈페이지 보안을 위해 자사 홈페이지 전체에 https를 도입하는 회사와 관공서가 늘어나고 있다. 인터넷 서비스 선진국에선 이미 필수로 평가받고 있다. 구글, 유튜브, 페이스북, 인스타그램, 위키피디아 등 인터넷 서비스 업체부터 포브스, 가디언 등 언론사까지 많은 홈페이지가 자사 홈페이지 전체를 https로 암호화하고 있다.

물론 https는 장점만 있는 것이 아니다. 세 가지 단점이 존재한다. 첫째로 통신 데이터를 암호화해서 보내기 때문에 패킷 데이터량이 상승하고 데이터를 주고받는 속도가 느려지는 문제가 있다. 둘째로 암호화 기능 때문에 보다 많은 서버 자원을 요구한다. 셋째로 인터넷 보안 인증을 위한 인증 비용이 필요하다. 첫 번째는 사용자 입장에서 단점이고, 두 번째와 세 번째는 기업 입장에서 단점이다.

하지만 전 세계 인터넷 통신 속도 수준이 전체적으로 향상되어 사용자가 속도 면에서 별 다른 불편함을 느끼지 않게 되었고(유튜브, 페이스북이 느리던가?), 무엇보다 암호화에 따른 보안 향상으로 사용자가 얻는 혜택이 크기 때문에 기업 입장에서도 https 전환을 투자의 개념으로 받아들이게 되었다. 보안 인증 비용도 '렛츠인크립트' 같이 무료로 인증서를 발급해주는 기관이 늘어남에 따라 일반 사용자도 https를 자신의 홈페이지에 부담 없이 적용할 수 있게 되었다.

상황이 이러한데 국내 홈페이지의 https 도입은 지지부진하기만 하다. 현재 국내 트래픽 탑20 홈페이지(시밀러웹 기준) 가운데 홈페이지 전체에 https를 도입한 곳은 '나무위키'가 유일하다. 그 외 홈페이지는 대부분 http(일반 페이지)와 https(로그인 페이지)를 혼용하고 있다. 심지어 '일간베스트'와 '인스티즈'처럼 로그인과 가입 페이지조차 http를 이용하는 황당한 사례도 섞여 있다. 로그인 페이지에 https를 적용하지 않으면 해커의 사용자 데이터 탈취에 무방비로 노출될 수밖에 없다. 보안에 관한 국내 업체들의 인식이 얼마나 낮은지 그대로 보여주는 사례다.

그나마 다행인 점은 국내 인터넷 기업 가운데 선두인 네이버가 전체 홈페이지 https 전환을 위해 앞장서고 있다는 것이다. 네이버는 개인 정보 보호를 위해 정보통신망법으로 규정된 부분 뿐만 아니라 '검색 결과' 등 다른 회사가 신경쓰지 않는 부분까지 https를 적용했다. 또한 메인 화면의 https 전환을 준비 중이며, 곧 적용할 계획이다. 다른 인터넷 업체들이 법이 규정한 최소한의 부분에만 https를 적용한 것과 대조되는 적극적인 행보다. 구글, 네이버 등 인터넷 서비스 선두 기업이 전체 홈페이지의 https 전환을 위한 적극적인 행보를 보여주고 있는 만큼 2017년은 국내 홈페이지 https 도입의 원년이 될 전망이다.

글 / IT동아 강일용(zero@itdonga.com)