청와대 메인페이지도 ‘http’ 크롬에서 빨간 경고등 예약

[CCTV뉴스=최진영 기자] “이 사이트는 안전하지 않습니다.” 청와대 홈페이지에 대한 구글 웹 브라우저 크롬의 진단이다.

또한 “공격자에 의해 도난당할 수 있으므로 이 사이트에 비밀번호나 신용카드 등 민감한 정보를 입력해서는 안 됩니다.”라는 설명도 덧붙이고 있다.

4월 7일 현재 이 경고문은 청와대 도메인 옆에 검정색으로 표시된다. 하지만 파리사 타브리즈(Parisa Tabriz) 구글 보안 담당 디렉터에 따르면 구글은 앞으로 크롬에서 ‘https’를 적용하지 않은 사이트에 대해서 해당 경고 표시를 붉은색으로 변경할 계획이다.

이는 개인정보가 오고가는 웹페이지가 아니더라도 SSL이 적용되지 않았다면 사이트의 진위여부를 정확하게 파악하기 어렵고 ‘피싱사이트’로 인한 피해가 발생할 수 있다는 우려에서다.

보안업계 전문가들 또한 이런 점에서 보안서버구축을 위한 기초가 되는 웹페이지의 전 구간 SSL 도입에 동의하고 있다. 

□구글 ‘https’ 표준화 노력...국내법 강제력은 최소

파리사 타브리즈 디렉터는 2월 13일 열린 구글코리아 기자간담회 자리에서 “https는 세계 웹 보안 표준이다. 그런데 한국 최고 포털업체인 네이버와 다음이 https를 적용하지 않는 점은 이해가 되질 않는다”며 “구글은 앞으로 크롬 웹 브라우저에서 https를 적용하지 않은 사이트에 대한 경고 표시를 더욱 강화하겠다”라고 설명한 바 있다.

때문에 붉은색 경고 표시를 피하려면 홈페이지 전 구간에 SSL을 적용해야 할 것으로 보인다. 현행 국내법에 따르면 보안서버구축을 이유로 SSL(Secure Socket Layer), TLS(Transport layer Security) 등을 적용해 전송 데이터 암호화를 강제하고 있다.

여러 법령에서 이를 규정하고 있고 특히 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제28조에서 “정보통신서비스 제공자 등이 개인정보를 취급할 때에는 개인정보의 분실·도난·누출·변조 또는 훼손을 방지하기 위해 대통령령으로 정하는 기준에 따라 다음 각 호의 기술적·관리적 조치를 의무화”하고 있다. 

적용대상은 회원가입·로그인·결제·게시판 등의 이용과정에서 이름, 주민등록번호, 연락처 등을 취급하는 웹사이트다.

청와대 홈페이지의 경우 법령에 따라 ‘청와대 관람신청’ 페이지는 https로 구성돼 도메인 옆에 ‘안전함’ 초록색 자물쇠를 가지고 있다.

하지만 차기 대통령은 크롬에서 청와대 메인페이지를 비롯해 https가 아닌 국내 모든 웹페이지에 빨간딱지 붙는 것을 예방하려면 대통령령을 통해 관련법령부터 변경해야 할 것으로 보인다.

□세상은 넓고 무료 SSL은 많다

이와 관련해 자체 데이터센터를 운영 중인 ‘스마일서브’는 고객들을 대상으로 흥미로운 무료서비스를 시작했다. 

국내외를 향한 구글의 ‘붉은 경고’를 우려할 수밖에 없는 스마일서브 서버이용 고객들에게 무료로 SSL인증서 보급에 나선 것이다. 

스마일서브가 무료 SSL 보안서버 원클릭 설치를 내놓은 이유는 간단하다. 김기중 스마일서브 본부장은 “SSL 인증서 시장은 구글과 아마존 등이 개방과 확산을 주도하고 있다”며 “이에 따른 인증서 사설 발행기관의 독점이 쉽지 않아 보인다”라고 설명했다.

즉 SSL의 경우 다수의 브라우저에 대해 뛰어난 호환성을 가진 오픈소스가 있고 이를 구글(크롬), 모질라(파이어폭스) 등이 신뢰하는 인증서로 인정해 주고 있기 때문에 수익모델을 구성하기 어렵다는 판단이다.

게다가 스마일서브는 자체 데이터센터를 가지고 있어 SSL 인증서 적용에 따른 서버부하 여부를 정확히 알 수 있었고, SSL 인증서를 도입으로 발생하는 패킷이 서버이용자에게 부과할 만큼이 아니라고 판단했다. 

김찬석 스마일서브 과장은 “단순히 산술적으로 봤을 때 SSL 적용이 속도저하에 영향을 줄 가능성은 있다. 그러나 SSL 도입으로 추가 발생하는 패킷은 매우 미미하다”라고 표현했다.

스마일서브가 제공하는 SSL은 모질라, 아카마이, 시스코, 크롬 등을 스폰서로 둔 ‘Let’s Encrypt’다. 스마일서브는 ‘OpenSSL’은 취약점이나 제약이 많다고 판단해 Let’s Encrypt를 사용했으며, 3개월에 한 번씩 갱신해야 하는 수고도 스마일서브가 대행해준다.

https가 아닌 웹페이지에 빨간딱지를 붙이겠다는 구글의 정책에 대해서는 찬성의 뜻을 밝혔다. 다만 국내 웹 환경을 고려해야 한다는 단서를 붙였다.

김 본부장은 “http로 표시되는 모든 웹페이지에 SSL 도입을 해야 한다고 본다. 무료로 제공해 줄 수 있다면 더 확산시켜야 한다는 점도 동의한다”며 “그러나 법으로 강제하는 등 정부가 나서서 할 수 있는 부분은 한계가 명확하다. 보안책임을 정부 정책에 전부 떠넘겨서는 안 된다”라고 말했다.

SSL 도입을 정부가 나서서 인증형태로 가져가게 되면, 겨우 기본적인 웹 보안 하나로 시장에 있는 이들에게 면책수단이 되고 신규 진입자에게는 장벽이 된다는 설명이다.

□안전한 인터넷사용 측면에선 당연하지만 시장 상황 고려돼야

정책적인 측면에서 국내 모든 웹페이지에 SSL을 도입하는 것에 대한 반감이 있는 것은 아니다.

인터넷진흥원 신대규 단장은 SSL을 모든 웹페이지 대상으로 확산하려는 국내외적 추세에 대해서 “SSL을 사용하면 통신하는 쪽과 서버가 암호화된 통신을 하게 돼 피싱사이트 등을 인증서를 통해 회피할 수 있어 보안 강화 측면에서 큰 장점이 있다”며 “하지만 정책으로 강제하는 것은 영세한 서비스 운영업체들에게는 부담으로 다가갈 수 있다는 점도 고려돼야 한다”고 밝혔다.

실제로 웹페이지를 구축한 기업이나 개인 중 서버 이용료가 불과 월 몇 만 원을 지불하는 경우가 적지 않다. 스마일서브와 같은 사례처럼 SSL 적용을 적극 나서서 무료로 돕는 사례가 아니라면 비용부담은 필연적이다.

부담은 한 가지 더 늘어난다. 예를 들어 ‘CCTV뉴스 홈페이지’에 SSL을 도입해 암호화된 통신을 할 경우 해당 서버에 가해지는 해커들의 공격 양상이나 가능성들을 인지하기 힘든 부분이 있다.

이와 관련 네트워크 가시성을 높이는 솔루션이 시장에 존재하지만 이 또한 비용부담으로 이어진다.

신 단장은 “시장에 일괄적으로 반영하기는 어려운 부분이 적지 않다”며 “웹페이지 이용자들의 안전한 인터넷 사용을 위해 SSL을 모든 웹페이지에 도입해야 한다는 점에서는 동의한다”고 설명했다.