웹사이트나 웹서비스를 이전 보다 빠른 속도로 사용하면서도 보안성을 높일 수 있는 방법은 없을까.
안정적인 인터넷 서비스를 가능케 하는 '콘텐츠딜리버리네트워크(CDN)' 업체 아카마이가 대안으로 'HTTP/2'와 '렛츠 인크립트(Let's Encrypt)'에 주목하기 시작했다.
HTTP/2는 현재 사용 중인 HTTP1.1 프로토콜이 16년이 지난 기술이라는 점을 고려하면 거의 20여년만에 큰 변화다. 렛츠 인크립트는 HTTP/2를 지원하는 환경에서 최소한 보안 기능을 무료로 쓸 수 있게 돕는다는 점에서 의미가 크다.
이미 국제인터넷표준화기구(IETF) 내 HTTP 워킹 그룹에서는 HTTP/2 프로토콜을 정의하고 있으며, 실제로 마이크로소프트 엣지, 크롬, 사파리, 파이어폭스, 오페라 등 웬만한 최신 버전 웹브라우저들이 HTTP/2 프로토콜을 기본 지원하는 중이다.
HTTP, HTTPS만 알던 시절과는 전혀 다른 시대가 오게 되는 것이다.
최근 방한한 아카마이 웹 경험 사업부 총괄책임자인 애쉬 쿨카니 부사장은 각종 웹사이트, 애플리케이션들을 보다 빠르게 서비스하면서도 보안성을 높이기 위한 해법들 중 하나로 HTTP/2를 꼽았다. 이와 함께 렛츠 인크립트도 지원한다고 덧붙였다. 웹에서 쓸 수 있는 최신 기술들을 지원해 더 나은 웹 사용 경험을 제공토록 하겠다는 것이다.
쿨카니 부사장은 HTTP/2를 두고 "많은 엔드유저들이 모바일 기기를 사용하고 있고, 여러 애플리케이션이나 웹서비스들이 3G, 와이파이 등 네트워크를 통해 복잡하게 얽혀 정체현상이 일어나고 있다"며 "HTTP/2가 이러한 문제를 개선시켜줄 것"이라고 강조했다.
그의 설명에 따르면 아카마이는 현재 50여개 고객사에 서비스 중인 CDN이 HTTP/2 프로토콜을 지원할 수 있도록 했다. 효과는 좋은 편이다. 그는 "다른 150여개 고객사들을 대상으로 1년 간 베타테스트를 진행해 본 결과, HTTP와 비교해 최소 15%에서 많게는 55%까지 속도가 개선되는 효과를 거둘 수 있었다"고 밝혔다.
특히 HTTP/2에 주목하고 있는 곳은 게임개발사나 애플리케이션회사다. 네트워크 속도가 곧 게임이나 앱의 품질을 평가하는 중요한 경쟁력인만큼 HTTP/2를 도입하기 위해 적극적인 움직임을 보이고 있다는 평가다.
개발사는 직접 이 프로토콜을 도입할 수 있는 것과 달리 최신 웹브라우저들이 이러한 기능을 지원한다고 하더라도 웹사이트가 별다른 조치를 취하지 않는다면 무용지물이다.
그는 "웹서버가 HTTP/2 프로토콜을 지원하느냐 마느냐가 (보급율을 높이기 위해) 중요한 문제"라며 "아카마이의 경우 고객사들이 원래 웹서버를 변경하지 않고서도 자체 구축한 CDN을 통해 이러한 프로토콜을 활용할 수 있도록 지원한다"고 밝혔다. HTTP/2는 HTTP 헤더 데이터 압축, 서버 푸시기술, TCP 연결 하나로 여러 요청을 다중화 처리하는 등 기능을 적용해 웹페이지 로딩 속도를 빠르게 한다.
HTTP/2는 기존 HTTP와는 달리 암호화 통신을 통해서만 사용자가 쓰는 웹브라우저와 웹사이트(웹서버) 사이에 데이터를 송수신할 수 있도록 했다. 때문에 HTTP/2를 쓴다는 말은 HTTPS를 써야한다는 것과 같은 말이 된다. 문제는 대부분 HTTPS를 구현하기 위해 필요한 인증서가 시만텍, 코모도와 같은 사설인증기관을 통해서 유료로 서비스되고 있다는 점이다. 더구나 암호화 통신을 실제로 구현하는데도 여러가지 복잡한 절차들이 필요하다.
이러한 어려움을 해결하기 위한 방법 중 하나로 등장한 것이 웹브라우저-웹사이트 간 암호화 통신을 지원하는 렛츠 인크립트 프로젝트다. 미국 캘리포니아 소재 공익법인인 '인터넷시큐리티리서치그룹(ISRG)'가 주도하고, 구글, 페이스북, 모질라 재단, 리눅스 재단, 시스코 시스템즈 등과 함께 아카마이도 창립멤버이자 이사회 회원사로 주도적으로 참여하는 중이다.
관련기사
- 커지는 암호화의 힘...메일·웹사이트로 확산2016.05.03
- 구글 크롬, 5월 15일부터 SPDY 지원 중단2016.05.03
- 인터넷뱅킹에도 쓰는 암호화 기술 보안 '우려'2016.05.03
- 웹표준 인터넷뱅킹 보안 부실…개선 필요2016.05.03
쿨카니 부사장은 "시만텍 등이 제공하는 EV인증서, OV인증서와 같은 유료 인증서 서비스를 사용하기는 부담스럽지만 마땅한 방법이 없는 고객사들에게 DV인증서를 무료로 사용할 수 있도록 지원하는 것이 프로젝트의 역할"이라고 설명했다.
이미 최신 웹브라우저 개발사들과 주요 네트워크 회사들이 지원하고 있는 HTTP/2와 렛츠 인크립트 프로젝트에 대해 아직까지 국내서는 논의를 시작하는 단계에 그치고 있는 모양새다.