기자칼럼

[취재수첩] 구글의 HTTPS, 보안 지키는 만병통치약 아니다

최민지

[디지털데일리 최민지기자] 최근 구글이 웹 브라우저 ‘크롬’에 적용한 보안정책을 두고 말들이 많다. HTTPS를 적용하지 않은 모든 웹사이트에 대해 안전하지 않다고 표기하겠다는 것이다.

궁극적으로 데이터를 암호화 전송하는 HTTPS의 방향성에 보안업계도 동의를 표하고 있다. 통신구간을 암호화하고 웹사이트 진위여부 확인에 필요한 방식이기 때문이다. 하지만, 결론적으로 HTTPS 보안정책에 대한 구글의 태도에 국내 상당수 웹사이트들은 불만을 나타내고 있다.

구글은 공식적인 간담회를 통해 HTTP 기반 사이트는 중간자가 데이터를 탈취·조작할 수 있는 위험에 놓여있어 모든 웹페이지가 HTTPS를 적용해야 한다고 주장했다. 사용자 보안을 생각했을 때 최소 수준이 HTTPS이기 때문에 HTTP 웹사이트에 대해 적극 경고하겠다는 방침이다.

HTTPS가 정말 웹사이트 보안의 만병통치약인지 보안업계 전문가들에게 물었다. 대답은 “아니다”였다. 구글이 밝힌 중간자 공격에서 HTTPS도 자유로울 수 없다. 실제 HTTPS 취약점을 악용한 중간자 공격 사례도 발견되고 있다. HTTPS를 HTTP로 만들어 데이터를 가로채거나, 또는 HTTPS 자체 보안 취약점을 활용하는 방식이다.

HTTPS는 연결을 안전하게 유지하도록 SSL 또는 TLS 암호화를 사용하는데, 오히려 이 부분이 취약점을 높이게 할 수도 있다는 지적도 제기된다. 공격자들이 악성코드를 숨기거나 SSL 세션을 통해 내부로 진입할 수 있다는 것. 이미 암호화된 상태라 보안장비에서 쉽게 막기도 어렵다.

또, 구글에서 HTTPS를 적용한 웹페이지를 안전하다고 확인했을 때 실제로 정말 안전한지는 그 누구도 장담할 수 없다. 해커들이 신뢰할 수 있는 사이트에 악성코드를 심는 일은 다반사다. 일단, 악성코드에 감염되면 HTTPS가 그 부분까지 막아줄 수 없다. 무용지물인 셈이다.

HTTPS가 기존보다 보안적으로 개선된 방향인 것은 사실이다. 하지만, 구글이 강조하는 바처럼 보안의 만병통치약이 아니다. 구글의 마케팅 방식이 오히려 보안의 구멍을 낼 수 있다는 우려를 지울 수 없는 부분이다.

일각에서는 구글이 HTTPS 암호화 통신에 쓰는 SSL 인증시장에 본격 진입하기 위한 술수가 아니냐는 의혹도 내비친다. 이렇게까지 HTTPS를 강조하고 나설 이유가 없다는 것이다. 아직은 지켜봐야 할 수준으로 생각된다. 웹 브라우저부터 운영체제 등 인터넷 기반을 장악하고 있는 구글이 인증시장까지 뛰어들게 되면 공정성 문제는 수면 위에 오를 수밖에 없다.

구글의 속내가 새로운 먹거리 창출이든, 고객의 정보보호 실현이든 “이것만 있으면 당신의 정보는 안전하다”는 식의 마케팅 방식은 위험하다. 100% 안전한 보안은 없다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널