[생활보안] 주소창 앞에 붙은 자물쇠의 비밀은?
상태바
[생활보안] 주소창 앞에 붙은 자물쇠의 비밀은?
  • 전유진 기자
  • 승인 2021.01.20 11:03
  • 댓글 0
이 기사를 공유합니다

아는 만큼 보이는 HTTP와 HTTPS

 

 

웹사이트를 이용하다 보면 주소창 앞에 자물쇠 아이콘이 자리하고 있는 것을 볼 수 있다. 아이콘을 눌러보면 ‘이 사이트는 보안 연결(HTTPS)이 사용되었습니다’라는 창이 뜬다. 다만 항상 자물쇠 표시를 볼 수 있는 건 아니다. 경고 아이콘과 함께 주의 요함이라는 메시지가 가끔 그 자리를 차지하기도 한다. 마찬가지로 아이콘을 눌러보면 아까와는 달리 이 사이트는 보안 연결(HTTPS)이 사용되지 않았습니다’라는 창이 뜬다. 자물쇠와 경고 아이콘 어떻게 다른 걸까? 

 


전화번호가 010으로 시작하듯, 인터넷 주소창 속 주소는 늘 HTTP(Hyper-Text Transfer Protocol) 혹은 HTTPS(Hyper-Text Transfer Protocol over Secure Socket Layer)로 시작된다. 여기서 HTTP란 웹 서버와 클라이언트 간의 통신을 위한 규칙을 의미한다. 예컨대 클라이언트는 특정 웹페이지로 이동할 때 링크가 걸려 있는 텍스트를 클릭하거나 직접 주소창에 인터넷 주소를 검색한다. 일단, 클릭 또는 검색하게 되면 해당 웹페이지의 웹 서버는 이를 ‘요청’으로 받아들이고, 웹 서버는 클라이언트에게 웹페이지를 보여줌으로써 ‘응답’한다. 이렇듯 클라이언트와 서버 사이의 요청-응답 규칙을 바로 HTTP라고 한다.

그러나 HTTP 환경에서는 주고받는 데이터가 평문 그대로 전송된다는 문제점이 있다. 쉽게 말해 HTTP는 누구나 볼 수 있는 형태로 정보를 전달하기 때문에 HTTP 내에서 주고받는 데이터 중 금융 정보, 계정 정보와 같은 사용자의 민감 정보를 누군가가 중간에서 가로채 악용될 가능성이 있다. 

그렇다면 HTTPS 기반 환경에서는 어떨까? HTTPS에서 S는 Secure를 의미한다. HTTP의 보안 취약성을 보완하기 위해 고안된 HTTPS 환경에서는 서버상 주고받는 데이터가 암호화되어 전송된다. 암호화된 데이터로 계정 정보를 쉽게 파악할 수 없고, 데이터 전송 도중 변조될 위험성도 적다. 또한, HTTPS는 통신 상대를 인증·확인하고 데이터 무결성을 제공해 보안을 유지하게 된다.

 

구글 정책에 따라 바뀐 크롬 (출처: Chromium Blog)

 

구글은 일찍이 사용자의 보안을 위해 HTTPS를 기본 사이트로 인식하게 하려고 노력해왔다. 2014년, HTTP에 기반을 둔 사이트들을 ‘안전하지 못한 사이트’로 표시하겠다고 밝히면서, HTTPS 사이트 방문 시 브라우저 주소창에 붙이던 ‘보안 연결(Secure)’ 문구를 없애고 HTTP 사이트에는 빨간색 불안전 표시로 대체하는 등 조치에 나섰다. 모든 웹 환경에 암호화 트래픽을 적용하겠다는 구글의 방침이다. 이에 따라 HTTPS를 제공하는 웹사이트는 더 이상 브라우저 주소창의 별도 문구로 '특별 대우' 받지 않게 됐고, 지금과 같이 ‘자물쇠’ 모양 아이콘으로 안전함을 표현하게 됐다.

한편, 우리나라에서도 HTTP 기반 홈페이지 운영에 대한 우려의 목소리가 커지고 있다. 실제로 작년 국정감사에서 공공기관 웹사이트의 취약한 보안이 화두에 오른 바 있다. 문제를 제기한 한 의원은 공공기관 웹사이트 1280개 중 583개가 HTTP로 연결되는 사이트라고 밝히며, 보안 위험성을 경고했다. 정부는 이에 대한 조치로 전체 공공 웹사이트에 대한 보안성 점검에 나서겠다고 밝혔다. 보안이 미약한 HTTP 웹사이트의 경우 개인정보 유무 등 필요성에 따라 HTTPS 도입을 추진할 예정이다. 

전문가들은 HTTP 보안 논란에 대해 “보안이 안전한 HTTPS 기반 사이트를 이용하는 것이 가장 바람직하다. 다만, HTTP 기반 사이트 이용 시 업무용·개인용 아이디 및 비밀번호 분리, 2단계 인증 기능 사용 등 이용자의 경각심이 필요하다”고 전했다.

 



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.