미국에서 새로 만들어지는 공공웹사이트에 HTTPS 암호화 통신이 의무 적용된다. 정부의 신규 사이트 도메인을 브라우저 업체들에게 전달해, 해당 도메인 기반의 공공웹사이트 운영시 강제로 HTTPS 접속만 제공하도록 만들겠다는 구상이다.
미국 연방 조달청(GSA)은 19일(현지시간) 정부 최고정보책임자(CIO) 블로그를 통해 이런 계획을 발표했다. 앞서 GSA는 공공정보화부문 산하기관 '18F'를 통해 2016년 연방정부 웹사이트의 HTTPS 확산 추세 분석 통계를 공개하기도 했다.
[☞참조링크: Automatic HTTPS Enforcement for New executive Branch .gov Domains]
[☞관련기사: 미국 연방 공공웹사이트 10중 7곳 HTTPS 도입]
GSA 계획은 공공웹사이트의 모든 내용을 HTTPS 암호화 통신 기반으로 제공해 최신 브라우저에서 보안 경고를 띄우지 않도록 하겠다는 것으로 요약된다. 최근 주요 브라우저 업체들이 HTTPS 확산에 나서 그에 대비하려는 움직임으로 보인다.
[☞관련기사: 구글-애플, 'HTTPS' 확산 나섰다]
GSA 측은 "새로 등록되는 모든 정부(executive branch)의 .gov 도메인과 그 하위도메인은 최신 브라우저에서 자동으로 강제 HTTPS 통신을 수행케 하겠다"며 "이로써 연방 웹서비스가 더 안전한 통신을 기본으로 삼도록 만들 계획"이라고 밝혔다.
미국은 '닷거브닷거브(dotgov.gov)'라는 사이트를 통해 정부 조직의 도메인 등록을 받고 있다. 여기에 새로 등록된 도메인은 브라우저 '선탑재(preloading)' 대상으로 신청된다. 브라우저는 이 선탑재된 신규등록 도메인과 그 하위도메인이 HTTPS 통신으로만 접속하게끔 동작한다.
신규 도메인 기반의 공공웹사이트를 HTTPS 통신 방식으로 지원하지 않으면 어떻게 될까? 그 공공웹사이트에서 제공되는 웹서비스가 뭐든지간에, 최신 브라우저 사용자들이 접속할 수 없게 된다. HTTPS 통신을 위한 인증서 경고창을 우회한다든지 할 수도 없게 된다.
민간 웹사이트는 HTTPS 통신을 지원하지 않더라도 HTTP로 접속하면 그만이다. 어쩌다 인증서 구성을 잘못했더라도, 방문자가 관련 오류나 인증서 보안 경고창을 접한 다음 우회해 들어갈 수 있다. 그런데 GSA는 적어도 새로 만들어지는 공공웹사이트부턴 이를 불허하려는 분위기다.
GSA 측은 정부 조직이 이런 HTTPS 확산 정책에 보폭을 맞출 수 있도록 가이드를 제공한다. 브라우저 업체들이 선탑재 대상 도메인을 받아들이기까지 최장 3개월이 소요될 수 있으며, 신규등록이 아닌 기존 및 갱신 도메인은 이 정책의 영향을 받지 않을 것이라고 덧붙였다.
이 정책에 따라 향후 신규 미국 연방정부 공공웹사이트는 방문자와 HTTPS 통신을 수행하기 위해 웹서버에 반드시 SSL 인증서를 적용해야 한다. SSL 인증서를 적용하려면 '인증기관(CA)'이라는 자격을 갖춘 민간 인터넷사업자를 통해 SSL인증서를 구매 또는 무료발급 받아야 한다.
관련기사
- 같은 듯 다른 한국-미국 정부 SSL 확산정책2017.01.20
- "공공웹사이트 3분의 2에 암호화 통신 적용"2017.01.20
- 미국 연방 공공웹사이트 10중 7곳 HTTPS 도입2017.01.20
- 구글-애플, 'HTTPS' 확산 나섰다2017.01.20
상업적인 SSL 인증서를 적용하려면 각 기관에 예상치 못한 비용이 들 수도 있는데, GSA 측은 굳이 큰 예산을 들일 필요는 없다고 강조했다.
GSA 측은 ".gov 도메인 관리자들이 널리 신뢰받는 저가 또는 무료 인증서를 발급받길 권한다"며 "인증서가 더 비싸다고 더 보안성이 높은 건 아니고, 자동 배포되는 무료 인증서도 서비스 관리자의 보안 인식을 명확히 끌어올릴 수 있다"고 덧붙였다.