구글 "https가 없으면 인터넷 보안도 없다"

[IT동아 강일용 기자] 구글이 https(안전 페이지, 정부에선 주로 '보안 서버'라는 용어를 이용한다) 확산을 위해 총대를 멨다. 지난해 12월 블로그를 통해 구글 크롬 최신 버전으로 https를 적용하지 않은 홈페이지에 접속하면 '안전하지 않음(Not Secure)'이라는 표시를 띄워 사용자들에게 경고하기로 결정한 것.

실제로 구글은 올해 1월 크롬을 56 버전으로 업데이트하고, http 페이지에서 아이디, 패스워드, 금융정보 등 개인정보를 입력받는 홈페이지에 접속할 경우 안전하지 않음이라는 경고를 띄우기 시작했다. 네이버, 다음 등 국내 포털 사이트를 크롬으로 접속하면 안전하지 않음이라는 경고가 뜬 이유가 바로 이 것이다.

참고기사: 크롬에선 네이버와 다음이 '안전하지 않은 사이트'? - http://it.donga.com/25911/

이는 시작에 불과하다. 지금은 개인정보 입력을 해야 할 경우에만 경고창을 띄우지만, 향후에는 https를 적용하지 않은 모든 홈페이지에서 경고창을 띄울 계획이다. 구글 크롬뿐만 아니라 모질라 파이어폭스도 구글에 이러한 정책에 동조하고, 동일한 기능을 추가할 예정이다.

https란?

https란 데이터를 주고받는 신호를 암호화하지 않는 http(일반 페이지)와 달리 인터넷 보안 표준인 TLS(Transport Layer Security) 통신 기술을 활용해 AES 128 또는 256 비트 수준으로 암호화된 홈페이지를 의미한다. 홈페이지에 https를 적용하면 '악의를 가진 제 3자(=해커)가 서버(홈페이지)와 클라이언트(사용자) 간의 통신을 중간에서 훔쳐보는 것(패킷 스니핑)'이 매우 어렵게 된다. 개인 해커 수준에서는 통신을 훔쳐보는 것이 불가능하기 때문에 홈페이지의 보안 수준이 급격히 올라간다고 평가받고 있다.

https를 적용하면 홈페이지와 사용자 간에 주고 받는 통신을 중간에서 위변조하는 것도 불가능해진다. 때문에 불법 유해 홈페이지 차단(warning.or.kr)도 https를 적용한 홈페이지에는 적용되지 않는다.

또한 https를 적용하려면 코모도어 그룹, 베리사인, 구글트러스트서비스 등 제 3자 인터넷 보안 인증 기관에게 자사의 홈페이지가 맞음을 인증받아야 한다. 때문에 파밍(Pharming: 가짜 홈페이지를 활용해 사용자의 금융 정보를 빼돌리는 기법)을 방지하는데에도 큰 효과가 있다.

이러한 장점 덕분에 구글, 모질라 등 많은 인터넷 관련 기업들이 로그인 기능을 갖춘 홈페이지는 반드시 https를 적용할 것을 권고하고 있다. 심지어 구글의 경우 홈페이지에 로그인 기능이 있음에도 https를 적용하지 않을 경우 검색 결과에서 하단으로 내리는 등의 패널티를 주고 있다. 이번 크롬 웹 브라우저의 '안전하지 않음' 표기도 이러한 패널티의 일환이다.

구글이 https 보급을 서두르는 이유? 안전한 인터넷 환경

구글은 왜 https 보급을 서두르는 것일까? 13일 역삼동 구글코리아 사무실에서 진행된 '인터넷과 보안' 포럼에서 구글의 정보 보호 담당자 '보안 공주(Security Princess, 직함의 이름이 실제로 이렇다)' 파리사 타브리즈(Parisa Tabriz)가 구글이 https 보급을 위해 앞장서는 이유를 들려줬다. 타브리즈 이사는 구글에 고용된 해커로, 약 10년 동안 구글의 정보 보안 업무를 담당하고 있다. 백악관의 디지털 컨설턴트로 활동하며 미국 정부 보안 개선 프로젝트에 참여하기도 했다.

(다음 기사의 내용 가운데 ""로 표시된 것은 타브리즈 이사의 발언이고, ()로 표시된 것은 기자의 사견이다.)

"웹을 이용하다보면 안전하다는 착각에 빠지기 쉽다. 하지만 실제로는 그렇지 않다. 인터넷은 수 많은 접속점으로 이루어져 있고, 이 중간 단계에서 누구나 패킷 데이터(사용자와 서버가 주고받는 데이터)를 훔쳐볼 수 있다(이른바 패킷 스니핑). 사용자의 아이디, 패스워드, 신용카드 정보 등이 고스란히 무방비로 노출되어 있는 것이다."

"실제로 중간에서 사용자의 데이터를 훔쳐보는 일이 자주 일어난다. 미국의 경우 거대 케이블 업체인 컴캐스트가 고객의 데이터를 중간에 가로챈 경우가 있었다. 케이블 업체뿐만 아니라 인터넷 제공업체(ISP)도 사용자의 인터넷 데이터를 추출해 이를 바탕으로 다양한 마케팅을 진행하기도 했다."

(국내의 경우 불법 홈페이지 차단 서비스(warning.or.kr)가 이러한 원리를 이용해 사용자들의 불법 홈페이지 접속을 차단하고 있다.)

"패킷 스니핑을 활용해 이란의 해커가 지메일 사용자의 데이터를 해킹한 사례도 있다. 무선 네트워크(와이파이)를 통해 사용자의 정보를 탈취하는 사례도 종종 발견되고 있다."

"이러한 해킹을 방지할 수 있는 가장 효율적인 방식이 바로 https다. 더 정확히 말하자면 'TLS 기반의 https(https over TLS)'가 패킷 스니핑을 방지할 수 있는 가장 효율적인 수단이다."

"https란 프로토콜(신호규격)이 개발된지 벌써 20년이 흘렀다. 하지만 보급은 지지부진하기만 하다. (파이어폭스 텔레메트리의 조사 결과에 따르면 전 세계 홈페이지의 50%만이 https를 이용하고 있다) 이를 해결하기 위해 구글은 웹 개발자를 대상으로 다양한 https 보급활동을 벌였다. 하지만 이것만으론 부족함을 느끼고 구글 크롬 웹 브라우저를 활용해 업체들에게 경각심을 주기로 결정했다."

"https 보급은 단계적으로 실행된다. 현재는 http 페이지에서 개인정보를 수집하는 경우에만 안전하지 않음이라는 표시를 띄우고 있지만, 향후에는 http를 사용하는 모든 페이지에 안전하지 않음이라는 표시를 띄울 것이다. 이를 통해 http 페이지를 https 페이지로 전환하도록 유도할 계획이다."

"현재 한국 홈페이지 트래픽 상위 20개 가운데 전체 페이지에 https를 적용한 곳은 얼마되지 않는다. 트래픽 1, 2위인 네이버, 다음도 메인 화면에 https를 지원하지 않는 상태다. 물론 한국만이 이러는 것은 아니다. https 보급이 지지부진한 것은 전 세계적인 경향이다."

(IT동아의 조사결과 현재 한국 홈페이지 트래픽 상위 20개 가운데 전체 페이지에 https를 적용한 곳은 '나무위키'가 유일하다. 다른 홈페이지는 개인정보 입력시에만 https를 이용하고 일반 페이지는 http를 이용하거나, 모든 페이지에 http를 이용하는 것으로 나타났다. 한편, 네이버는 개인정보, 검색메뉴 등에 https를 적용한 상태이고, 가까운 시일 내로 메인 화면에도 https를 적용할 계획이다.)

"물론 네이버가 서브 도메인(개인정보 입력 페이지)에 https를 적용한 것은 매우 바람직한 일이다. 하지만 전체 페이지가 https로 전환되지 않은 점은 아쉽다. https는 언제나 해커들의 공격에 노출되어 있다. http에 입력되는 사소한 데이터도 쌓이고 쌓이면 사용자의 신상을 낱낱이 확인할 수 있는 개인정보가 될 수 있다. 때문에 모든 페이지가 https로 암호화 되어야 한다."

"https는 다섯 가지 도시전설(괴담)에 시달리고 있다. 첫 번째는 우리가 은행도 아닌데 https 암호화가 필요하냐는 것이다. 당연히 필요하다. 그 어떤 홈페이지도 https 없이는 보안성을 갖출 수 없다. 두 번째는 https 인증서 발급을 위한 인증비용이 많이 든다는 것이다. 소규모 홈페이지 또는 중견 홈페이지를 위한 무료 인증 기관이 시중에 많다. 그들을 통해 얼마든지 인증서를 발급받을 수 있다. 세 번째는 https를 적용하면 홈페이지 속도가 느려진다는 것이다. 단도직입적으로 말해 느려지지 않는다. 구글이 이를 해결하기 위해 https를 적용하면서 홈페이지 속도를 유지할 수 있는 다양한 개발도구를 제공하고 있다. 네 번째는 구글만 유독 https를 강조한다는 음모론이다. 그렇지 않다. 모질라 등 다른 인터넷 기업도 구글 못지 않게 https 도입을 강조하고 있다. 다섯 번째는 https는 그다지 쓸모가 없다는 주장이다. 어불성설이다. 웹 상에서 종단간 암호화를 제공하는 프로토콜 가운데 https가 최선의 선택이다. https는 글로벌 표준 통신규격이다. TLS도 마찬가지다."

"현재 크롬은 제 3자 인증(EV SSL)과 일반 인증(SSL)을 구분하지 않고 모두 안전한 페이지로 인식하고 있다. 파이어폭스와 달리 인증서를 구분할 계획은 없다(파이어폭스는 제 3자 인증과 일반 인증을 구분해서 표시하고 있다). 인증서 보기 기능이 사라졌다는 의견이 있는데, 이는 일반 사용자가 이용할 일이 드물어 크롬 웹 브라우저의 개발자 기능 속 시큐리티 페이지로 옮겨두었다."

(현재 구글의 모든 서비스는 https로 제공되나, 인증 기관은 제 3자가 아닌 구글 자신이다. 구글이 직접 '구글 트러스트 서비스'라는 인증 기관을 세우고 일반 인증서를 발급해서 서비스를 제공하고 있다. 마이크로소프트, 아마존 등도 구글과 마찬가지로 제 3자 인증 대신 자회사를 통한 일반 인증을 받아서 서비스를 제공하고 있다. 인증서 발급에 들어가는 비용을 절약하기 위함으로 풀이된다.)

"구글이 https 보급을 강조하는 이유는 딱 하나다. 사용자에게 투명한 정보를 제공하기 위해서다. 현재 접속한 홈페이지가 안전한지 안전하지 않은지 사용자가 한 눈에 파악할 수 있도록 URL창을 통해 알려주고 있는 것이다. 이를 통해 사용자는 이 홈페이지에 자신의 개인정보를 입력해도 되는지 정확히 판단할 수 있게 될 것이다.

글 / IT동아 강일용(zero@itdonga.com)