'HTTP' 웹사이트 방문자, 이렇게 계정 털린다

올해 국정감사에서는 공공기관 웹사이트의 취약한 보안이 화두에 올랐습니다.

김영배 더불어민주당 의원이 이같은 문제를 지적했습니다. 당시 김 의원은 공공기관 웹사이트 1천280개 중 583개는 HTTPS가 아닌 HTTP로 연결되는 사이트라며, 보안 위협이 있을 수 있다고 지적했죠.

실제로 HTTP 사이트인 대법원 사이트에 사용자가 입력한 계정 정보를 해킹으로 알아내는 모습을 보여주기도 했습니다.

사용자 입장에선 이런 해킹의 피해자가 되진 않을지 우려할 수 있습니다. 공공뿐만 아니라 민간 웹사이트도 종종 HTTP로 연결되는 것을 볼 수 있기 때문이죠. HTTP 웹사이트를 이용하는 것만으로 내 계정 정보가 털리는 건지, 이미 털린 건 아닌지 두려움과 걱정이 생기는 이유입니다.

HTTP와 HTTPS의 차이점이 무엇이고, 이같은 해킹이 어떻게 가능한지, 사용자가 주의해야 할 점은 무엇인지에 대해 해킹 과정을 따라하면서 알아봤습니다.

■옆자리 PC에서 입력한 계정 정보, 패킷 훔쳤더니 다 보였다

HTTP는 웹사이트를 호스팅하는 웹 서버와 사용자 간 통신을 지원하는 프로토콜입니다. 보안이 취약하다는 지적을 듣는 이유는, 통신 과정에서 주고 받는 데이터가 암호화되지 않기 때문입니다. 그리고 이런 문제를 개선하고자 통신 데이터를 암호화해주는 프로토콜이 HTTPS인거죠.

김 의원이 보여준 해킹은 HTTP 웹사이트와 오가는 데이터 패킷을 빼돌리고, 이 중 로그인에 필요한 계정 정보를 검출한 사례입니다.

이같은 해킹이 가능하려면 해커와 피해자가 '허브' 환경에 있어야 합니다. 허브 환경은 허브를 통해 연결된 PC들에게 신호를 전달하는 것으로, 허브가 들어오는 신호의 송신지와 수신지를 구별하지 못합니다. 허브 환경보다는 "각 포트에 연결돼 있는 PC의 고유 식별자인 MAC주소가 기록돼 있고, 신호를 해당되는 PC에만 전달하는 '스위치' 환경이 일반적"이라는 게 김건엽 SK인포섹 수석의 설명입니다.

스위치 환경이라면 해커는 'ARP 스푸핑'이라는 공격을 통해 데이터 패킷을 가로챌 수 있습니다. 이 공격을 통해 공격자는 피해자 PC에서 스위치로 전달되는 신호와, 스위치에서 피해자 컴퓨터로 전달되는 신호를 자신의 PC로 우회하도록 조작합니다. 중간에서 오고 가는 데이터를 열어볼 수 있게 되는 것이죠.