한국 정부는 대국민 보안 강화 차원에서 공공기관의 웹사이트에 HTTPS 암호화통신 환경 구축을 유도하고 있다. 하지만 공공 사이트 중 방문자의 다양한 기기 환경을 보장하는 '멀티브라우저' 대응 수준은 낙제점인 것으로 파악됐다.
최근 확인 결과 공공 사이트들은 대체로 HTTPS 환경을 구축해 놨지만 운영체제(OS)와 브라우저 종류에 따라 보안경고를 띄우는 곳이 대다수였다. 윈도 데스크톱, 그중에도 일부 브라우저만 통하는 '반쪽 HTTPS 지원' 사이트가 많았다.
애플 맥과 리눅스 데스크톱, 모바일 OS 시장을 양분한 애플 iOS와 구글 안드로이드 기반 스마트폰 및 태블릿에선 HTTPS 환경으로 이용할 수 없는 공공 웹사이트가 대부분이었다.
공공기관이 방문자에게 HTTPS 환경을 제공하려면 서버에 SSL인증서를 적용해야 한다. 방문자 브라우저는 웹사이트 서버의 SSL인증서 정보를 읽고 안전한 곳인지 판단한다. SSL인증서 정보에 이상이 있거나, 멀쩡한 인증서를 썼지만 그 서버의 환경설정에 문제가 있을 경우, 브라우저는 해당 웹사이트를 '안전하지 않은 곳'으로 판단한다.
어떤 공공웹사이트가 다양한 OS와 브라우저에 맞게 HTTPS 환경을 구축하지 못했을 경우, 해당 OS나 브라우저 사용자에게 안전하지 않은 곳으로 분류될 수밖에 없다. 브라우저가 보안경고를 띄우는 이유다. 중앙정부부처 및 행정기관의 웹사이트 대다수가 이렇다. 정부의 '정책브리핑' 사이트 행정부처로 등재된 정부부처, 청, 위원회 홈페이지 61곳을 대상으로 진행한 HTTPS 접속 실험을 한 결과다.
■정부부처·청·위원회 홈페이지, 멀티브라우저 HTTPS 지원 비중 10분의 1 미만
정책브리핑 사이트에는 26개 정부부처, 16개 청, 19개 위원회 등 총 61개 홈페이지의 링크를 제공하고 있다. 실험은 각 홈페이지에 HTTPS 방식으로 접속해 브라우저마다 표시되는 결과를 기록하는 형태로 진행됐다. 윈도10 및 윈도7용 인터넷익스플로러(IE), 파이어폭스, 네이버 웨일, 3가지 브라우저를 썼다. 모든 브라우저가 HTTPS 방식으로 홈페이지를 표시할 경우 멀티브라우저에 대응한다고 판단했다.
이런 기준으로 보면 61개 홈페이지 가운데 국세청, 청년위원회, 규제개혁위원회, 금융위원회, 국가인권위원회 5곳만이 멀티브라우저 대응을 하고 있었다.
26개 정부부처 중 멀티브라우저 대응 홈페이지는 전혀 없었다. 16개 청 가운데선 국세청 한 곳만이 대응했다. 19개 위원회 가운데 청년위, 규개위, 금융위, 인권위, 4곳이 대응했다. 다만 청년위는 정책브리핑 사이트에 제시된 옛주소 대신 www로 시작하는 새주소를 써야 했다.
멀티브라우저에 대응하지 못한 56개 정부부처, 청, 위원회 홈페이지 가운데 20개는 일부 환경의 HTTPS 접속만 지원했다. 12개 정부부처, 5개 청, 3개 위원회가 이에 해당했다. 이 사례는 IE 또는 네이버 웨일 브라우저에서 접속이 가능했지만 모질라 파이어폭스로는 접속이 안 되는 식이었다. 해당 홈페이지는 애플의 맥과 iOS, 구글의 안드로이드, 리눅스 환경에서 어떤 브라우저로든 HTTPS 접속이 안 될 거라 추론할 수 있다.
HTTPS 접속이 안 된 36개 정부부처, 청, 위원회 홈페이지 가운데 12개는, HTTPS 접속을 시도하자 암호화통신을 지원하지 않는 HTTP 접속 주소로 자동전환됐다. 이는 HTTPS 암호화통신을 해당 공공웹사이트의 게시판, 자료실, 로그인창 등 하위 경로에만 적용하고, 홈페이지 메인 화면 전체에는 적용하지 않은 사례라 볼 수 있다. 여러 OS와 브라우저를 지원할 수도 있지만, 그 보안성은 온전한 HTTPS 환경과 차이가 있다.
나머지 24개 정부부처, 청, 위원회 홈페이지는 이도저도 안 됐다. HTTPS 접속을 시도하자 멀티브라우저 지원, 일부 브라우저 지원, HTTP 접속 자동전환 등의 동작을 하지않았다. 대신 홈페이지가 아예 띄우 주지 않았다. 브라우저가 다양한 오류 메시지를 띄웠다. 서버가 HTTPS 접속에 응답을 안 하는 '대기 시간 초과'가 가장 많았다. 일부는 아예 응답을 거부한 '연결실패' 또는 '보안연결 실패'를 보여줬다.
■운영 열악한 전국 행정기관·지자체 웹사이트, 멀티브라우저 지원 가능성 '더 희박'
실험 결과로 알 수 있듯, 정책브리핑 사이트가 제시하는 61개 정부부처 사이트 가운데 여러 브라우저, OS 사용자가 HTTPS 암호화통신으로 접속할 수 있는 곳은 1할이 채 되지 않는다. 대국민 서비스를 표방하는 공공웹사이트지만, 방문자의 사용 기기와 소프트웨어에 차별없이 보안성을 갖추진 못한 곳이 상당수다.
전체 공공웹사이트 가운데 정책브리핑 사이트에 직접 소개되지 않은 나머지의 멀티브라우저 HTTPS 대응 현황은 어떨까. 지난달 지디넷코리아가 입수한 정부 조사 결과에 따르면, 지난해 상반기까지 정부가 파악한 공공웹사이트는 약 1만5천곳에 달한다. 61개 정부부처 사이트의 멀티브라우저 HTTPS 대응 비중을 근거로 추정하면, 1천500곳이 안 되는 사이트만이 멀티브라우저 HTTPS 접속을 지원할 것이다.
[☞관련기사: "공공웹사이트 3분의 2에 암호화 통신 적용"]
그나마 정부부처, 청, 위원회는 전국민을 대상으로 운영되는 웹사이트라, 멀티브라우저 HTTPS 대응이나 보완 여지라도 있을 것으로 짐작된다. 실제 문제는 현재 전국에 분포한 각급 행정 조직, 산하기관, 지방자치단체다. 이 조직엔 자체 웹사이트의 HTTPS 대응과 같은 문제를 전담할 인력도 자원도 사실상 없다. 행자부 산하기관인 '한국지역정보개발원' 소속의 정규직 직원 1~2명이 이 문제에 대응하고 있는 실정이다.
행자부 소속 담당자 한두명이 전국 1만3천500곳 이상의 공공웹사이트에 HTTPS 접속이 가능한지, SSL 인증서 정보와 서버 설정이 정상적인지, 멀티브라우저 대응이 가능하게 돼 있는지를 파악할 수 있다고 기대하긴 어렵다. 이들은 각 기관이나 지자체에서 문의를 받고 기본적인 HTTPS 구성을 위한 기본 가이드와 기술지원을 제공하는 것만으로도 바쁘다. 그나마 기술지원은 행자부가 발급하는 G-SSL인증서 중심이다.
G-SSL인증서만 적용한 공공웹사이트는 멀티브라우저 지원이 안 된다. G-SSL인증서로 정상적인 HTTPS 환경이 제공되려면, 행자부가 G-SSL인증서의 신뢰성을 주요 OS 및 브라우저 개발업체에 확인받고, 그 정보를 해당 개발업체가 자기네 소프트웨어 제품에 탑재해 줘야 한다.
관련기사
- 구글, 최상위 인증기관(Root CA) 운영한다2017.02.02
- 크롬-파이어폭스, HTTPS 아니면 경고 표시2017.02.02
- HTTPS 불편한 공공 사이트…언제 해결되나2017.02.02
- 미국 "새 공공웹사이트, HTTPS기반 서비스 의무화"2017.02.02
[☞관련기사: HTTPS 불편한 공공 사이트…언제 해결되나]
마이크로소프트(MS)가 이 조치를 해준 덕에 윈도용 일부 브라우저에서 G-SSL기반 공공웹에 오류가 안 뜬다. 구글, 애플, 모질라는 그렇게 해 주지 않았다. 정부 측은 관련 협의가 진행 중이며 곧 멀티브라우저 대응이 될 것이라 주장하고 있지만, 해당 사업자들이 언제 그런 조치를 해 줄 것인지는 밝히지 못하고 있다.