구글의 HTTP 보안 경고 정책이 네이버·다음 등 국내 웹사이트 전반에 파장을 일으킬 전망이다. 13일 ‘보안 공주(Security Princess)’인 파리사 타브리즈 구글 엔지니어링 디렉터는 서울 역삼동 구글코리아에서 진행된 구글 포럼을 통해 이같이 말하며 네이버와 다음 등 국내 웹페이지의 보안정책에 경고를 던졌다.

이달부터 구글은 웹브라우저 크롬을 통해 HTTP 페이지에 접속할 경우 도메인명 옆에 ‘안전하지 않음’이라는 메시지를 표기하고 있다. 암호화된 HTTP 연결인 HTTPS를 적용한 웹사이트만이 보안상 안전하다는 판단이다.

구글은 민감한 통신을 처리하지 않아도 HTTPS로 웹사이트를 보호해야 한다고 밝혔다. HTTPS는 웹사이트 무결성 및 사용자의 개인정보와 보안을 지켜주는 기본조치라는 것이다. HTTPS는 연결을 안전하게 유지하는 SSL 또는 TLS 암호화를 사용하는데, 이는 도청과 가로채기 공격, 신뢰할 수 있는 웹사이트에 대한 스푸핑 시도로부터 이용자를 보호한다.

이에 구글은 모든 제품과 서비스에서 100% 암호화 달성을 목표로 잡았다. 궁극적으로 HTTP를 사용하는 모든 웹페이지에 대해 안전하지 않다는 문구를 표시하겠다는 방침이다. 국내 웹사이트도 예외대상은 아니다.

타브리즈 디렉터는 “과거에 우리는 사용자에게 솔직하지 못했다는 생각에서 출발, HTTP 보안에 대한 경고할 필요가 있다고 봤다”며 “대다수 웹페이지들이 HTTP 기반에 있는데, 단계별로 점진적으로 HTTPS로 전환하도록 도움을 드리겠다”고 말했다.

기존 HTTP 기반 웹사이트는 중간자 공격 등을 통한 계정 및 정보를 탈취하기 용이하다는 설명이다. 이를 해결할 수 있는 방안이 웹상에서 종단 간 암호화를 지원하는 유일한 글로벌 표준인 HTTPS라는 것.

이러한 구글의 보안정책에 국내업체들은 당황하는 기색이다. 로그인을 하지 않은 첫 화면에서까지 HTTPS를 적용하라는 것은 인증 구매 비용 증가와 웹 서버 부하 문제 등 효율성 측면에서 부적절하다는 의견이다. 네이버는 첫 화면을 제외한 다른 페이지들에서 HTTPS를 적용하고 있다.

또, 일각에서는 암호화를 비롯해 네트워크 보안까지 여러 보안솔루션을 사용하고 있음에도 HTTPS를 도입하지 않았다는 이유로 사용자들에게 불신을 줄까봐 우려하고 있다.

이 같은 지적에 대해 구글은 물러섬이 없는 태도로 일관하며 “10년 전이었으면 받아들였을 주장이지만, 이제는 아니다”라고 선을 그었다.

이날 타브리즈 디렉터는 기업들이 HTTPS 도입을 꺼리는 이유로 ▲은행도 아닌데 필요 없다 ▲너무 비싸다 ▲웹사이트를 느리게 만든다 ▲적용하기 어렵다는 말을 한다고 했다. 그러나 그 어떤 웹사이트도 HTTPS 없이 보안성을 갖추기 어렵다고 이 모든 의견을 전면 부인했다.

타브리즈 디렉터 “인증기관에서 중견규모 웹사이트에 대해 무료로 인증해주는 비중이 더욱 늘어나고 있으며, 성능과 복잡성 부분에서는 도움을 받을 수 있는 툴을 제공하고 있다”며 “사용자 보안을 생각한다면 최소 수준으로 가져가야 하는 부분이 HTTPS”라고 강조했다.

또한, HTTPS를 적용하지 않은 비로그인된 첫 화면에서 활동하는 기록 자체도 다른 정보와 결합했을 때 개인정보에 가까워진다고 지적했다. 작은 정보들이 모이면 결국 식별 가능한 정보가 될 수 있기 때문에 보안성을 높여야만 한다는 것.

타브리즈 디렉터는 “검색 정보 하나만으로 개인을 식별할 수는 없지만, 대량으로 누적됐을 때 한 개인의 트래픽 정보를 종합하면 누구인지 식별 가능하다”며 “사람들의 생각보다 정보의 조각들이 쌓였을 때 식별할 수 있는 가능성이 높아진다는 조사결과도 있었다”고 부연했다.

<최민지 기자>cmj@ddaily.co.kr