크롬 브라우저가 지난달부터 네이버 홈페이지에 들른 사용자들에게 '안전하지 않다'고 경고를 보내고 있다. 네이버 웹사이트 전체에 'HTTPS' 방식 암호화 통신을 적용하지 않았다는 이유에서다.
HTTPS 암호화 통신이 도대체 뭘까? 또 구글은 왜 이걸 적용하지 않은 웹사이트는 왜 위험하다는 걸까? 크롬 브라우저를 만드는 구글 개발팀 소속 보안 전문가가 그 이유를 설명했다.
구글코리아는 13일 서울 역삼동 사무실에서 미디어 대상으로 '인터넷과 보안'이라는 주제강연을 진행했다. 구글의 파리사 타브리즈 엔지니어링 디렉터가 강연자로 나섰다. 그는 자신을 "구글 제품의 보안성을 갖추기 위해 일하는 엔지니어 600명 가운데 1명"이라 소개했다. 그는 크롬이나 다른 브라우저를 쓰는 사용자들에게 기존 HTTP기반 인터넷 환경이 안전하지 않다고 지적했다.
"사람들은 접속한 웹사이트와 직접 통신하고 있다고 생각하기 쉽지만 실은 그렇지 않다. 웹과 웹트래픽은 기본적으로 평문 텍스트로 전송된다. 브라우저와 웹서버 사이 여러 중간 지점이 서로 연결돼 있고, 그 지점마다 제3자가 텍스트로 오간 통신 내용을 엿볼 수 있다. 그게 URL정보든, 비밀번호든, 신용카드번호든. 제3자가 이런 정보를 엿보기 위해 웹 트래픽의 중간 지점을 파고드는 걸 '중간자공격'이라 부른다."
타브리즈 디렉터는 HTTP기반 웹사이트 이용자의 안전과 프라이버시가 이런 중간자공격에 취약하다며 몇 가지 사례를 제시했다. 미국 인터넷서비스업체(ISP) '컴캐스트'가 가입자 요청 트래픽에 사업자의 콘텐츠를 삽입해 제공한 사례, 통신사가 사용자 정보를 수집해 수익화를 위해 일부 데이터를 추출하고 활용하는 사례, 이란 해커들이 첩보 활동 일환으로 G메일을 쓰는 반체제 인사를 겨냥해 공격한 사례 등이 언급됐다.
"(HTTP기반) 인터넷은 추가 보호장치 없이 중간자 공격을 완전히 막을 수 없다. TLS 표준 암호화 방식으로 HTTP 접속을 수행하는 'HTTPS'가 해법이다. HTTPS가 모든 보안문제를 해결해주진 않지만, 그렇게 나아가기 위한 필수 기반이다. 현재 인터넷 구조에서 HTTPS 없이 보안이나 프라이버시 보호가 보장될 수 없다. 그런데 HTTPS는 20년 넘게 존재했지만 대다수 웹사이트는 HTTPS 기반이 아니다. 이게 문제다."
타브리즈 디렉터는 구글이 발간하는 'HTTPS 투명성 보고서' 내용을 일부 소개했다. 보고서는 HTTPS로 제공되는 웹페이지 비중의 증가 추세와, 세계 트래픽 상위 100위권에 드는 웹사이트 목록을 포함했다. 그는 "한국만 이런 건 아니다"면서도, 네이버와 다음 등 방문자 트래픽이 높은 사이트에 HTTPS가 지원되지 않고 있는 상황은 "문제가 있다"고 지적했다.
구글은 HTTPS가 사용자 보안과 프라이버시 보호의 출발선이라는 인식을 자사가 개발하는 크롬 브라우저에 직접 투영하기 시작했다. 지난달 크롬56 정식판을 배포하면서다. 크롬56 정식판은 웹페이지에 사용자 계정과 비밀번호, 또는 신용카드번호 등 민감한 정보 입력창이 포함돼 있는데 HTTPS 기반으로 제공되지 않을 때 주소창에 '안전하지 않음' 경고를 나타낸다. 네이버 홈페이지가 딱 이런 사례다.
[☞관련기사: 구글 크롬, HTTPS 아닌 웹사이트에 경고 띄운다]
[☞관련기사: 크롬-파이어폭스, HTTPS 아니면 경고 표시]
[☞관련기사: 크롬 ‘안전하지 않은 사이트’ 경고…왜?]
네이버 홈페이지는 HTTP 기반으로 제공된다. 페이지에 포함된 로그인 정보 입력창은 예외로 HTTPS 방식으로 정보를 주고받는다. 여기에 입력된 아이디와 패스워드는 HTTPS 방식으로 보호된다. 아이디와 패스워드를 평문으로 전달받는 것보다는 분명히 보안상 안전하다. 하지만 웹사이트 전체를 HTTPS 방식으로 접속케 하는 것만큼은 아니라고, 타브리즈 디렉터는 꼬집었다.
"네이버도 검색페이지(search.naver.com)나 다른 하위 도메인에 HTTPS를 적용했다. 이는 바람직하다. 그런데 어째서 네이버 메인화면(www.naver.com)에는 HTTPS를 전체 적용하지 않고 HTTP 기반으로 제공하는 건지, 이유를 모르겠다. HTTP 기반 사이트는 입력받은 정보를 중간자 공격으로 탈취, 수집당할 수 있다. 전체 웹사이트를 HTTPS 기반으로 제공해야 한다."
그는 크롬 브라우저가 지금처럼 특정 유형의 정보를 입력받는 HTTP 기반 사이트를 안전하지 않다고 경고하는 것만으로 충분하지 않다고 보고 있다. 지금은 모든 사이트 관리자가 갑자기 바꿀 수는 없으니, 단계적으로 전환할 수 있도록 유도할 계획이라고 언급했다. 이상적 목표는 모든 웹사이트가 HTTP에서 HTTPS 환경으로 넘어가야 한다는 뉘앙스다.
"과거 우리는 사용자들에게 솔직하지 못했다. 이전까지는 크롬 브라우저가 HTTP 웹사이트에 중립적인 아이콘만 표시하고 HTTPS 접속에 문제가 있을때만 경고를 했다. 그런데 웹사이트의 HTTPS 접속에 문제가 있는 상태가, HTTP 접속 환경보다 (보안상) 더 나쁜 건 아니다. 사용자들에게 HTTP는 (HTTPS 접속이 온전하지 않을 때처럼) 보안이 갖춰지지 않았음을 알리기 위해 경고를 띄우기로 했다."
구글도 모든 HTTP 웹사이트가 당장 HTTPS 기반으로 바뀔 거라고 기대하진 않는다. 다만 HTTPS 전환을 유도하기 위해, 언젠가 모든 HTTP 페이지에 크롬 브라우저로 '안전하지 않음' 표시를 띄우게 만들 계획이다. 수많은 웹사이트가 온전히 HTTPS 기반으로 바뀌려면 적어도 몇 년은 걸리겠지만, 크롬 사용자들에게 경고를 띄우는 방법으로 HTTPS를 적용하지 않은 웹사이트 관리자들에게 부담을 주겠다는 메시지다.
관련기사
- 크롬 ‘안전하지 않은 사이트’ 경고…왜?2017.02.13
- ‘HTTPS’ 적용 공공사이트, 브라우저 차별 심하다2017.02.13
- 구글, 최상위 인증기관(Root CA) 운영한다2017.02.13
- 크롬-파이어폭스, HTTPS 아니면 경고 표시2017.02.13
이런 구글 정책은 세계 각지 군소 웹사이트 관리자들에게 불만이 생길 수 있다. 네이버를 비롯한 대형 웹사이트 운영업체는 기술적인 복잡성이나 비용과 같은 문제를 극복할 자원을 갖췄다 하더라도, 중소기업이나 일반 개인, 관리 여력이 부족한 공공기관이나 산하단체의 웹사이트 관리 여건은 이런 기준에 맞추기 어려울 수 있다. 이런 항변에, 구글은 HTTPS 적용 부담이 과거만큼 절대적으로 크지 않다고 답했다.
"HTTPS 적용이 부담스럽다는 운영자들이 있다. 은행(인터넷뱅킹)도 아닌데 HTTPS 필요한가, HTTPS 접속용 인증서 발급비용이 비싸다, HTTPS 적용시 성능이 떨어지고 그걸 구축하는 게 복잡하다고. 10년전에는 일부 맞는 얘기가 있었지만 최근 몇년간 흐름을 보면 더 이상 맞지 않는 얘기다. 작은 사이트는 인증서를 무료로 쓸 수 있다. 성능 저하, 복잡성도 그렇지 않다(사용자 보안을 위해 감수해야 할 수준이다)."