행정안전부가 중앙부처, 지방자치단체, 공공기관의 인터넷 사이트에 HTTPS를 적용, 보안을 강화하는 방안을 검토한다.
27일 행정안전부 관계자는 이같은 정책을 검토하고 있다며 "전체 공공기관 웹사이트를 전수조사한 결과를 보고 자세한 방향을 결정할 계획"이라고 밝혔다.
웹사이트 이용자와 웹 서버 간 통신을 주고 받게 해주는 프로토콜로 HTTP가 있다. 그러나 HTTP는 주고 받는 데이터가 암호화돼 있지 않아 보안에 취약하다는 지적이 있어왔다. HTTPS는 이를 보안소켓계층(SSL)을 통해 암호화한 것이다.
행안부는 과거 공공기관 웹사이트의 HTTPS 적용을 지원해왔다. 그러나 정부 발급 SSL(G-SSL) 인증서 기반 공공 웹사이트의 경우 모바일 환경에서 보안 경고 창이 나타나는 등 HTTPS를 원활히 지원하지 못하는 문제가 발생했다. 이에 지난 2018년 8월부터 공공기관 및 공기업 홈페이지 평가 기준에서 HTTPS 적용 여부를 제외한 상태였다.
HTTPS 전환 정책은 지난 7일 행정안전부 국정감사에서 김영배 더불어민주당 의원이 공공기관 웹사이트 1천210개 중 48.2%인 582곳이 HTTPS보다 보안이 취약한 HTTP 사이트라고 지적하면서 검토가 이뤄지게 됐다. 당시 김영배 의원은 실제로 국정감사장에서 HTTP 사이트인 법제처 홈페이지를 계정 정보 없이 로그인하는 과정을 시연하면서 이같이 지적했다.
이에 행안부는 공공기관 웹사이트 HTTPS 전환 계획을 수립, 진영 장관에게 보고했다. HTTPS를 도입했더라도 포털 사이트 등에서 검색해 접속 시 적용이 되지 않는 사이트의 경우 자동 전환되도록 조치하는 내용도 계획에 담겼다.
행안부는 계획 검토를 위해 이달 말까지 중앙·지자체·공공기관 웹사이트 전수조사를 마칠 계획이다. 이번 전수조사는 행정안전부가 전자적 대민 서비스 관련 보안 대책을 수립, 시행하는 지자체와 공공기관 897개 관할 3만여개 웹페이지를 대상으로 한다.
이번 조사는 개인정보 취급 여부, SSL 도입 여부, HTTP로 접속할 경우 HTTPS로 자동 전환 조치 여부, 현재 사용하고 있는 해외 인증서 업체와의 계약기간과 가격 등을 포함한다. 행정안전부는 전수조사 결과를 바탕으로 12월까지 HTTPS 전환 정책을 검토할 예정이다.
그간 행안부가 HTTPS 도입에 소홀했던 것에 대해, 김 의원은 2011년부터 8년 동안 '공공기관 보안서버 확대 보급 계획'에 따라 사기업과 공공기관 모두 고유식별정보 처리제한 및 개인정보의 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 의무화했던 것과도 역행한다고 비판했다.
김 의원은 향후 HTTPS 의무 도입, 정부 인증서 구축과 사용, 정부·지자체·공공기관의 온라인·모바일 페이지에 대한 보안 사항 매년 최신 기술 동향으로 지하는 내용 등을 담은 전자정부법 개정안을 발의할 예정이다.
관련기사
- 공공기관, 보안 허점 방치…책임자가 없다2020.10.14
- 내 웹브라우저에서 DoH 활성화하는 방법2020.02.28
- 정부, 공공사이트 HTTPS '보안경고' 못 없앴다2018.12.27
- 한국전자인증, 정부 사이트에 민간 SSL 인증서 무료 도입해준다2020.09.07
김 의원은 “정부 부처 웹사이트는 국민의 삶에 영향을 미치는 중요한 정보들이 오가기 때문에 기초 보안 조치는 필수”라고 강조했다.
이어 “향후 모든 정부 부처의 홈페이지에 HTTPS를 적용하려면, G-SSL 인증서를 현재 보안 수준에 맞춰 계속 기능을 개선해 사용하는 게 중요하다”며 “지금은 해외 업체의 인증서만 있는데, 정부 웹페이지 성격을 반영한 국제 인증 SSL 인증서 구축 및 도입에 최선을 다해야 한다”고 덧붙였다.
