HTTPS 불편한 공공 사이트…언제 해결되나

"보안문제" 경고…행자부 "OS업체 등과 협의중"

컴퓨팅입력 :2017/01/20 14:25    수정: 2017/01/20 14:29

구글, 애플같은 세계 주요 브라우저 개발 회사가 인터넷에서 https 접속을 우선시한다는 방침을 내걸었지만 한국에서 다수 공공웹사이트가 이를 지원하지 못하는 실정이다. https 접속용 보안서버를 구축한 공공웹사이트 일부는 오히려 스마트폰이나 일부 PC 브라우저를 쓰는 방문자에게 '안전하지 않은 인증서를 쓴다'는 경고마저 띄운다. 이에 방문자는 일반 http 접속 환경보다 과연 안전한가 싶은 의문을 품게 된다.

한국 정부가 https 접속 위주 환경으로 바뀌는 인터넷 환경에 역행하려는 건 아니다. 정부에도 나름대로 사연이 있다. 전자정부 주무부처 행정자치부의 최근 움직임을 살피면 이해가 된다.

행자부는 지난 2015년부터 전자정부 웹사이트와 관련해 앞서 언급한 유형의 경고 문구에 따른 '국민 불만 해소' 의지를 내비쳤다. 행자부 측은 지난해말 이 계획 실현을 점쳤지만, 이런저런 이유로 해를 넘기며 늦어지는 분위기다.

사이버보안. SSL인증서. 보안서버. 전송계층보안. 암호화통신. HTTPS. [사진=Pixabay]

■보안접속 하려니 경고 띄우는 공공웹사이트의 공통점

https는 http 통신을 SSL 프로토콜 기반으로 암호화한 환경이라는 뜻이다. 이 환경에서 브라우저와 웹서버가 주고받는 정보가 암호화된다. 이 암호화 통신을 수행하기 전에, 브라우저가 웹서버를 믿을만한 곳인지 판단하는 단계가 있다. 이 때 SSL 인증서가 필요하다.

SSL 인증서는 통신을 주고받는 브라우저나 웹서버 운영자가 아닌 '제3자'의 정보를 담고 있다. 브라우저는 그 제3자가 믿을만한 곳이면, 그 정보를 담은 SSL 인증서가 적용된 웹서버도 믿을만하다고 간주한다. 온라인에서 이 '믿을만한 제3자' 역할을 인증기관(CA)이 맡는다. https 접속 환경을 구축하려는 사이트 운영자는 CA의 SSL 인증서를 발급받으면 된다. 대다수 CA는 인증서를 '판매'하는 민간사업자다. 인증서를 무료로 발급하는 곳이 더러 있다.

국내 공공웹사이트의 https 접속 환경은 좀 다르다. 여러 정부부처, 산하기관, 지방자치단체가 'G-SSL 인증서'를 적용한 보안서버로 https 접속 환경을 제공 중이다. G-SSL 인증서는 행자부가 국내 공공웹사이트 '보안서버'용으로 무료 발급해 주고 있다. 민간사업자 CA 대신 행자부가 공공웹사이트와 방문자 브라우저의 암호화 통신 과정에서 믿을만한 제3자 역할을 수행한다는 뜻이다.

윈도10 환경에서 브라우저 사용자가 https 암호화통신을 제대로 지원하지 않는 웹사이트에 접속시 접할 수 있는 경고문. 왼쪽 위부터 시계방향으로 파이어폭스, 인터넷익스플로러, 네이버 웨일, 마이크로소프트 엣지.

[☞관련기사: "공공웹사이트 3분의 2에 암호화 통신 적용"]

그런데 바로 이 G-SSL 인증서 때문에 특정 브라우저나 모바일 기기에서 공공웹사이트에 접속했을 때 인증서 경고 문구가 나온다. 브라우저나 운영체제(OS)마다 표현의 차이는 있지만, 경고의 핵심 의미는 동일하다. 브라우저나 OS 개발업체 판단에, 방문자가 https 접속을 시도한 공공웹사이트의 G-SSL 인증서 정보만 갖고는 거기가 안전하다고 보장을 못하겠다는 것. 보안상 문제가 있을지 모르니 조심하라는 뜻이다. 방문자에겐 상당히 찜찜한 얘기다.

행자부가 이런 인증서 경고문에 따른 국민 불만을 해소하려면 브라우저 또는 OS 개발업체들로부터 CA자격을 공인받아야 한다. 행자부는 실제로 2015년부터 CA자격을 공인받기위해 노력해 왔다. 그 중간 단계 성과로 2015년 10월 웹트러스트(WebTrust) 인증 취득 사실을 발표했다. 당시 발표를 통해 G-SSL 인증서가 국제표준 규격의 보안정책에 적합하다는 공인을 받은 거라 설명하기도 했다. 다만 이걸로 문제가 해결된 건 아니었다.

[☞참조링크: 전자정부 웹서비스 인증서, 국제표준에 맞게 재정비

[☞참조링크: 전자정부 웹서비스 인증서, 국제 신뢰성 마크 획득

이후 행자부는 자신이 웹트러스트 인증을 받았으니 이를 브라우저 및 OS 제품마다 반영해 달라고, 마이크로소프트(MS), 구글, 모질라, 애플 등 각 개발업체에 요구했다. 실제 사용자들이 쓰는 브라우저와 OS에 들어가는 '믿을만한 제3자'의 인증서 목록에 행자부의 G-SSL 인증서도 포함시켜 달라는 뜻이었다. 이 요구가 온전히 받아들여지면 비로소 어떤 OS나 브라우저에서든 G-SSL 기반 공공웹사이트에서 보안경고가 사라지게 된다.

■행자부 행정전자서명 신뢰기관 등록, MS는 수용…구글·애플·모질라는 '검토중'

정부는 국제표준에 맞게 발급한 행자부 보안 인증서를 외국 민간회사들이 '안전하다, 믿을만하다'고 판단하고 제품에 반영해주길 기다려야 하는 상황. MS의 제품 반영은 비교적 빨랐다. 구글, 애플, 모질라는 그렇지 않았다. 결국 이게 현재 G-SSL 인증서 기반 공공웹사이트 방문자가 자신이 쓰는 OS와 브라우저에 따라 경고문을 보기도 하고 안 보기도 하는 현상의 원인이다.

웹브라우저가 방문한 웹사이트 서버와 HTTPS 암호화 통신을 수행하고 있을 때 주소창에 이런 자물통 아이콘이 표시된다. 서버에 적용된 SSL인증서의 신뢰성이 확인돼야 한다. [사진

데스크톱에선 윈도가 주류 OS인만큼 IE와 일부 브라우저 환경에선 방문자가 G-SSL 인증서를 적용한 공공웹사이트에 경고문 없이 들를 수 있다. 문제는 모바일 세계를 양분한 안드로이드와 iOS, 그리고 파이어폭스 브라우저 환경이다. 구글, 애플, 모질라가 MS처럼 웹트러스트 인증을 획득한 행자부의 G-SSL 인증서를 신뢰 대상으로 받아줘야, 행자부의 목표가 제대로 달성된다. 그런 시기는 언제 올까.

올초 관련 문의에 행자부 정보기반보호정책과 담당자는 "웹트러스트 인증 취득후 산업표준단체 'CA브라우저(CA/Browser)포럼'에 이를 알렸다"며 "포럼에서 (행자부를) 신뢰기관으로 등록하는 절차를 밟고 있다"고 설명했다. 그는 "연말까지는 마칠 것으로 봤는데, 등록 심사 절차가 길게는 1년반~2년까지 될 수도 있다"고 언급했다. 해를 넘겼지만 여전히 해결 시점을 단언하기 어려운 상황이란 얘기다.

사실 1년전쯤 G-SSL 발급업무를 맡고 있는 행자부 행정전자서명 인증관리센터는 '2016년 중' 목표 달성을 점쳤다. 지난해 2월 G-SSL 발급 관련 공지를 통해, 연내 "G-SSL 웹트러스트 인증에 iOS와 안드로이드 등의 모바일브라우저를 포함한 '멀티브라우저' 지원"이 될거라 예고한 것이다. 여전히 구글, 애플, 모질라 등의 제품에 행자부 보안 인증서 정보가 반영되지 않은 만큼, 정부 기대에 섣부른 측면이 있었다.

[☞참조링크: 전자정부 웹서비스 인증서(G-SSL) 발급 관련 공지]

올해는 어떨까. 행자부 산하기관 '한국지역정보개발원'은 행자부의 위탁을 받은 '행정전자서명시스템 등 운영 및 유지관리' 사업을 2016년 10월 발주했다. 제안요청서에 '국제 인증(Webtrust) 갱신 및 국제기구 활동협력'이라는 요구사항(MAR-010)을 넣었다. 여기에 "행정전자서명인증 G-SSL 서비스 멀티브라우저 및 코드사인 인증지원을 위한 국제 인증(Webtrust) 갱신 관리"라는 과업이 포함돼 있다.

관련기사

[☞참조링크: e-발주시스템 제안요청서

사업 수행기간이 원래 올해 1월1일부터 12월31일까지인데, 실제로는 올초까지 진행되지 않고 있었다. 수주업체가 확정되지 않아서다. 사업은 조달청 나라장터에 지난해 11월말 공고돼 12월 29일 유찰됐고, 같은날 재공고돼 올해 1월 10일 또 유찰됐다. 매번 입찰 기업이 1곳뿐이었기 때문이다. 단독 응찰 업체가 수의계약을 통해 사업을 수주할 것으로 짐작된다. 연내 원활한 공공웹사이트 https 접속이 가능해질지 지켜볼 일이다.