정부, 'HTTP' 공공 웹사이트 보안 강화 추진

정부가 전체 공공 웹사이트에 대한 보안성 조치 점검을 추진한다. 보안이 미약한 HTTP 웹사이트의 경우 개인정보 유무 등 필요성에 따라 HTTPS 도입을 추진할 예정이다.

HTTPS는 웹사이트 이용자와 웹 서버 간 통신을 주고 받게 해주는 프로토콜이다. 기존 HTTP를 보안소켓계층(SSL)을 통해 암호화한 버전이다.

정부는 일찍이 공공 웹사이트에 HTTPS 도입을 추진해왔으나, 일부 사이트에선 이용자가 접근하는 브라우저에 따라 HTTPS가 적용되지 않는 등 보안이 미비해지는 문제가 나타난 바 있다. 이 문제를 해결하기 위해, 전체 웹사이트를 점검하고 SSL 인증서 발급 시스템도 개선할 계획이다.

개인정보보호위원회는 관계부처와 합동으로 이같은 내용을 포함한 공공기관 개인정보 실태 점검 계획을 추진한다고 14일 밝혔다.

이번 점검 계획은 국민의 민감한 개인정보를 대규모로 처리하는 공공기관의 개인정보 유출‧오남용으로 인한 피해를 사전 방지하고, 공공부문 전반의 개인정보 보호 수준을 높이기 위함이다.

개인정보위는 개인정보 처리 규모, 민감도 및 파급력 등을 고려해 ▲주요 공공기관 홈페이지 보안(20개) ▲지방자치단체(20개) ▲의료‧복지(10개) ▲고용(10개) ▲부동산(1개) 등 5대 분야를 선정했다.

주요 공공기관 홈페이지 보안에 대해서는 홈페이지 HTTPS 적용 여부, 패스워드 힌트 찾기 기능의 보안 미비점, 홈페이지 개인정보 노출 여부 등을 점검한다.

관계부처인 행정안전부는 작년 10월말 공공기관 웹사이트 전수 조사를 거쳐 구체적인 HTTPS 전환 계획을 수립하겠다고 밝힌 바 있다. 현 시점에서는 공공 웹사이트에 대한 HTTPS 전면 도입에 대해 긍정적으로 검토하는 단계라고 답했다. 다만 비용 및 공공 시스템과의 조화 등 여러 변수를 고려해 합리적인 HTTPS 전환 계획을 수립할 예정이라고 덧붙였다.

행안부 관계자는 "전체 공공 웹사이트 2만여개에 대해 1분기 중 전수조사를 하는 것이 목표"라며 "이 중 개인정보 취급 사이트의 경우 DB, 데이터 전송 과정 등에 대한 암호화가 법적으로 규정돼 있는 만큼 HTTPS 도입이 필요하고, 그렇지 않은 사이트의 경우 HTTPS 도입 필요성을 검토해 판단할 예정"이라고 말했다.

이어 "같은 목적에서 정부 SSL(G-SSL) 인증서 발급 시스템을 전면 재구축하는 정보화전략계획(ISP)도 발표할 예정"이라고 첨언했다. 정부는 과거 G-SSL 발급 시스템에 대해 MS를 제외한 구글, 모질라, 애플 등 브라우저 운영사로부터 보안성 검증을 받는 데 실패한 바 있다. 이 때문에 일부 브라우저에서 HTTPS 접속이 지원되지 않는 문제가 발생했다. 이 문제를 해결하겠다는 것이다.

보안 장비와의 호환성도 문제다. 이 관계자는 "암호화된 데이터가 서버로 전송될 때 침입방지시스템(IPS), 침입탐지시스템(IDS) 등 그 앞단에 위치한 보안 장비들이 제 역할을 못하게 되는 문제가 발생할 수 있다"며 "공공 웹사이트 HTTPS 확대 도입 문제는 이런 요인들을 고려해 종합적인 검토가 필요한 사안"이라고 설명했다.