[디지털데일리 이종현기자] 김영배 의원(더불어민주당)은 행정안전부는 오는 10월 말까지 모든 정부부처와 지방자치단체, 공공기관 홈페이지 3만여개를 전수조사해 HTTPS 도입을 골자로 하는 정부 발급 인증서 구축 계획(HTTPS-ONLY)을 26일 밝혔다.

HTTPS는 최소한의 보안조치로 불린다. 웹서버와 브라우저 간 암호화가 이뤄져 암호화가 풀지 않는 이상 열람이 불가능하다. HTTPS를 적용하지 않으면 컴퓨터와 서버간 통신을 실시간 도청·탈취하거나 조작하는 중간자 공격이 가능하다

이는 지난 7일 행정안전부 국정감사에서 김 의원이 공공기관의 HTTPS 미적용을 꼬집은 데 따른 조치다. 당시 김 의원은 국정감사장에서 법제처 홈페이지 해킹을 시연하며 공공기관 1210여개 홈페이지 중 절반에 달하는 583곳에 대한 보안 조치가 되지 않았다고 지적했다.

이를 위해 행안부는 공공기관 웹사이트 암호화(HTTPS) 계획을 진행한다. 또 HTTPS를 도입했으나 포털사이트 등에서 검색했을 때 적용이 안되는 사이트도 자동전환하도록 조치에 나설 예정이다.

행안부는 오는 10월 말까지 중앙·지자체·공공기관 웹사이트 전수조사를 마치겠다는 입장이다. 짖자치 및 공공기관 897개 관할 3만여개 웹페이지가 대상이다.

또 전수조사 때 ▲개인정보 취급 여부 ▲보안소켓계층(SSL) 도입 여부 ▲HTTP로 접속시 HTTPS로 자동 전환 여부 ▲해외 인증서 업체와의 계약기간 및 가격 등을 살피고 이를 바탕으로 오는 12월까지 HTTPS-ONLY 정책을 검토한다는 계획이다.

김 의원은 “정부부처의 웹페이지는 국민의 삶에 영향을 미치는 중요한 정보들이 오가기 때문에 기초 보안 조치는 필수”라고 말했다.

이어서 그는 “향후 모든 정부부처의 홈페이지에 HTTPS를 적용하는 HTTPS-ONLY를 실현하려면 우리 정부가 개발한 인증서를 현재 보안 수준에 맞춰 기능을 개선해 사용하는 것이 중요하다”며 “지금은 해외 업체의 인증서만 있는데, 정부 웹페이지 성격을 반영한 국제 인증 SSL인증서 구축 및 도입에 최선을 다해야 한다”고 전했다.

한편 행안부는 2011년부터 2018년까지 보안서버 구축을 위해 정부 개발 웹서비스 인증서(G-ssl) 2454여개를 발급하며 의무적용을 권고했다. 하지만 모바일에서 정부개발 인증서 오류가 나타난다는 이유로 G-ssl발급을 중단한 이후 공공기관의 보안조치에 대한 여부를 관리하지 않았다.

<이종현 기자>bell@ddaily.co.kr