[뉴스토마토 정문경기자] 구글이 웹 프로토콜 'HTTP'를 암호화시킨 'HTTPS'가 웹사이트 보안을 한 층 더 높여줄 수 있는 해결책으로 보고 정보통신(IT)업계가 HTTPS를 적용하도록 장려하려 정책을 펼치고 있다. 구글은 이 과정에서 국내 트래픽이 몰리는 상위 사이트 중 네이버와 다음이 HTTP를 사용하는 대표적인 웹사이트라고 명시하기도 했다.
13일 서울 강남 구글코리아에서 '인터넷과 보안'을 주제로 열린 구글 포럼에서 파리사 타브리즈 구글 엔지니어링 디렉터는 "어떤 웹사이트도 HTTPS 없이는 보안을 담보할 수 없다"며 "궁극적으로 HTTPS를 적용하지 않은 모든 페이지에는 '안전하지 않다'라는 메시지를 표시할 것"이라고 말했다.
13일 서울 강남구 구글 코리아에서 열린 '인터넷과 보안' 포럼에서 구글 보안 전문가 파리사 타브리즈가 발표하고 있다. 사진/구글
HTTPS는 일반 웹페이지 통신 방식인 HTTP보다 보안성을 강화한 프로토콜이다. 웹 서버와 브라우저가 주고받는 정보를 암호화한다. 이 때문에 암호화하지 않은 정보를 주고받는 HTTP보다 정보 유출의 위험이 적은 것으로 평가받는다. 이러한 암호화된 정보는 도청과 가로채기 등 개인정보를 탈취하려는 도용자로부터 사용자 정보를 보호 할 수 있다.
구글은 HTTPS가 정보 송신자와 수신자 사이에서 이들이 주고받는 정보를 빼돌리는 '중간자(man in the middle) 공격'으로 부터 방어할 수 있는 해법이라고 설명했다. 이런 공격은 해커뿐만 아니라 인터넷 서비스 업체, 통신사, 정보기관 등도 시도하는 하기도 한다. 통신사의 경우 개인정보 보호 정책을 일부 수정해서 고객 데이터를 추출해 수익화 기반으로 사용하는 사례도 있다.
타브리즈는 "HTTPS가 모든 보안 문제를 해결할 수 없지만, 문제를 해결하기 위한 필수 기반"이라며 "아직 대다수 웹페이지가 HTTPS를 적용하지 않아 단계별로 점진적으로 전환할 수 있도록 지원하고자 한다"고 밝혔다.
사이트 보안에 대한 요구가 커지면서 구글의 웹브라우저 크롬은 지난달 말부터 계정 비밀번호와 신용정보 등이 필료한 일부 HTTP 웹사이트의 주소창 앞에 '안전하지 않다'는 의미의 느낌표 아이콘을 띄우고 있다. 구글은 국가별 트래픽이 높은 사이트 순으로 HTTPS를 적용하지 않는 사이트를 공개하기도 했다. 그 사이트에 국내 대표 포털 사이트 네이버와 다음이 포함된다.
이와 관련해 네이버와 카카오는 "이미 공개된 정보만 있는 메인화면에 한해 HTTPS를 적용하지 않고 있다"고 해명하고 있다. 양사는 개인 계정페이지로 넘어가면 HTTPS를 적용하고 있다.
이에 대해 타브리즈는 "트래픽이 가장 많이 몰리는 사이트들은 중간자공격의 가장 먼저 노출돼 있기 때문에 명시를 한 것"이라며 "개인 검색이나 개인 페이지 등에 HTTPS를 적용은 바람직하지만 메인화면과 서비스페이지와 같은 HTTP 페이지는 여전히 중간자 공격에 노출돼 있는 셈"이라고 말했다.
이어 "개인정보가 입력되지 않는 데이터라 하더라도 검색과 같은 정보들이 여러 주 동안 누적되면 식별 가능한 정보가 된다"고 지적했다. 검색을 통해 모아지는 정보도 개인에 따라 민감하게 여길 부분일 수 있고 이런 정보가 누적되다 보면 개인 정보로 식별될 수 있다는 것이다.
HTTPS를 적용하면 접속 속도가 느려지고, 추가 비용이 들어간다는 지적에 대해서는 "다양한 지원 수단이 있다"며 "사용자의 보안을 생각한다면 전체 페이지에 HTTPS를 적용할 필요가 있다"고 재차 강조했다.
정문경 기자 hm0829@etomato.com