구글이 “모든 웹페이지에 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer) 접속 방식을 확대 적용해야 한다”고 주장하며 이를 위해 “앞으로 HTTPS를 적용하지 않은 모든 페이지에 ‘안전하지 않다(Not Secure)’는 메시지를 띄우겠다”고 선언했다.
13일 서울 강남구 구글 코리아에서 ‘인터넷과 보안’을 주제로 열린 구글 특별 포럼에서 강연에 나선 파리사 타브리즈 구글 엔지니어링 디렉터는 “어떤 웹사이트도 HTTPS 없이는 보안을 담보할 수 없다”며 이같이 밝혔다.
HTTPS는 브라우저나 앱이 웹사이트에 연결하기 위해 사용하는 기술적이 수단인 HTTP(Hyoertext Transfer Protocol)를 암호화한 것으로 사용자가 브라우저나 앱에 HTTP보다 안전하게 연결할 수 있도록 도와준다. 연결을 안전하게 유지하기 위해 암호화하기 때문에 암호화하지 않은 정보를 주고받는 HTTP보다 도청이나 가로채기 공격 등에 대한 정보 유출 위험이 적은 것으로 평가받는다.
타브리즈는 이날 포럼에서 “HTTPS가 정보 송신자와 수신자 사이에서 이들이 주고받는 정보를 빼돌리는 ‘중간자(man in the middle) 공격’의 해법”이라고 강조했다. 중간자 공격을 방지하기 위해 사이트 보안에 대한 요구가 커지면서 구글의 웹브라우저 크롬은 지난달 말부터 로그인을 요구하는 웹사이트가 HTTPS 접속을 지원하지 않는 경우 해당 웹사이트 주소창 앞에 ‘안전하지 않다’는 의미의 느낌표 아이콘을 띄우고 있다. 동시에 가장 많은 이용자가 몰리는 국내 대표 포털 사이트인 네이버(국내 웹사이트 접속자수 1위,similarweb 기준)와 다음(접속자수 4위)도 메인 화면에는 HTTPS를 적용하지 않고 로그인과 검색 등 정보를 입력하는 단계부터 HTTPS를 적용하고 있어 크롬에서 느낌표 아이콘이 뜬다.
이에 대해 타브리즈는 “네이버의 트래픽이 가장 몰리는 화면이 메인 화면인데 HTTPS를 적용하지 않으면 중간자 공격에 노출될 수 있다”며 “개인정보가 입력되지 않는 데이터라 하더라도 여러 주 동안 누적되면 식별 가능한 정보가 된다”고 지적했다.
HTTPS를 적용하면 접속 속도가 느려지고, 추가 비용이 들어간다는 지적에 대해서는 “인증 비용이 너무 비싸다고 말하지만, 최근에는 인증기관에서 중견기업이나 중소 사이트에 대해서는 무료로 인증해주는 경우도 늘어나고 있다”며 “사용자의 보안을 생각한다면 전체 페이지에 HTTPS를 적용해야 한다”고 반박했다.
타브리즈는 또 안전한 인터넷 사용을 위해 비밀번호를 재사용하거나 공유하지 말고, 공용 컴퓨터에 개인 정보를 입력할 때 각별히 주의해야 한다고 당부했다.
아울러 인증 단계를 추가한 2단계 인증을 사용하고, 소프트웨어나 앱은 신중하게 설치하며 최신 버전의 브라우저를 사용하는 것도 해킹 위험을 줄이는 방법으로 제시했다.
이날 발표자로 나선 타브리즈는 ‘보안 공주’(Security Princess)라는 독특한 직함을 가진 보안 전문가다. 구글 보안팀의 ‘고용된 해커’인 소프트웨어 엔지니어로 시작해 약 10년간 구글에서 정보 보안 업무를 담당하고 있다. 백악관의 디지털 컨설턴트로 활동하며 정부 보안 개선 과제에 참여하기도 했다.
/양사록기자 sarok@sedaily.com
< 저작권자 ⓒ 서울경제, 무단 전재 및 재배포 금지 >