세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
보안성 내세운 구글의 HTTPS 도입 요구, 어떻게 봐야 하나
  |  입력 : 2017-09-13 11:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글의 요구, 보안성 강화 위해 필요 vs. 국내 상황 무시한 일방적 태도 논란

[보안뉴스 김경애 기자] 웹 통신 프로토콜인 HTTPS는 기존 HTTP 방식보다 보안이 한층 강화된 버전으로 통신에서 일반 텍스트를 이용하는 대신, SSL이나 TLS 프로토콜을 통해 세션 데이터를 암호화한다. 이를 통해 데이터의 적절한 보호를 보장할 수 있어 전 세계적으로 HTTPS를 도입하는 추세다. 하지만 한국, 중국, 일본, 이란 등은 HTTPS 도입율이 낮은 편이다.

[이미지=iclickart]


구글은 이러한 글로벌 추세를 반영해 크롬 브라우저를 통해 접속하는 웹사이트는 암호화(SSL) 적용을 요구하고 있으며, 인터넷 주소창의 자물쇠 모양으로 안전한 사이트인지 아닌지로 구분해 표시하고 있다.

이러한 가운데 포털사이트 ‘다음’이 로그인 부분만 적용하던 암호화(SSL)를 전체구간에 적용했다. 국내 1위 포털사인 네이버가 먼저 사이트 전체 구간에 암호화를 적용했고, 로그인 부분만 암호화하던 다음이 그 뒤를 이은 셈이다. 현재 크롬 브라우저 점유율이 50%를 넘어가는 상황에서 국내 포털사 입장에서는 구글의 이러한 조치가 신경 쓰일 수밖에 없다는 얘기다.

이를 두고 보안전문가들 사이에서도 이견이 분분하다. 구글이 브라우저 크롬의 주소창에 암호화 적용 기준으로만 전 세계 사이트의 안전성을 평가한다는 건 문제가 있다는 의견과 안전성을 위해 국제적 흐름에 따른 조치라는 의견으로 엇갈리고 있다.

먼저 안정성 확보를 위한 국제적 흐름에 따른 조치라는 의견을 제시한 한 보안전문가는 “HTTPS가 한국, 중국, 일본, 이란 이렇게 네 나라만 도입률이 낮다”며 “포털사이트 순위를 정하는 알렉사 닷컴에 따르면 88%의 글로벌 포털사가 HTTPS를 도입하고 있다”고 말했다.

그러면서 그는 “국내 시각에서만 볼 게 아니라 한국, 중국, 일본, 이란 4개국이 HTTPS를 도입한다면 구글 입장에서는 보안성 확장 측면에서 보안 불균형이 해소되어 전 세계적으로 보안수준이 상향 평준화될 것으로 보인다”고 말했다. 애플의 경우에도 원래 올해 1월초에 HTTPS를 추진하려다 개발자들의 준비가 아직 미흡해 연기된 바 있다며 이미 글로벌 트렌드는 HTTPS를 완벽하게 도입하고 싶어하는 것 같다는 게 해당 보안전문가의 의견이다.

시큐리티플러스 박형근 대표 역시 보안성 측면에서 “구글과 포털사의 서비스와 SW 문제인 만큼 여러 이견이 많겠지만, 보안 강화를 위한 노력 측면에서는 높이 평가해야 할 것”이라고 말했다.

그러나 안전성을 명목으로 한 구글의 갑질 횡포라는 지적도 있다. 한 보안전문가는 “구글의 크롬 브라우저로 접속했을 때 전체 페이지에 SSL을 적용했을 때만 ‘안전함’이라고 표시하고 나머진 ‘안전하지 않음’이라고 나타내고 있다”며 이는 “구글의 일방적인 정책”이라고 지적했다.

해당 보안전문가는 “안전성을 추구한 구글의 취지는 좋으나 문제는 그 안전성을 지속적으로 유지하기 위해 많은 비용이 발생한다는 점”이라며 “SSL 인증서 비용도 있지만 SSL 처리에 따른 서버 부하를 방지하기 위해 서버도 고도화해야 하고, 서버 운영 비용도 증가하게 된다”고 말했다. 덧붙여 그는 “페이지 일부분을 평문으로 전송한다고 안전하지 않다는 보장도 없다”며 효율성 문제를 지적했다. 즉, 보안 강화를 위한 SSL 적용에는 적극 찬성하지만, 비용 발생에 대한 고려도 필요하다는 것이다.

기업의 한 CISO 역시 보안을 볼모로 한 무조건적인 구글의 태도를 지적했다. 그는 “크롬으로 접속한 사이트 전체에 SSL이 적용되지 않았을 때, ‘안전하지 않은 사이트’라고 주소창에 보여주는 것은 다소 문제가 있다”며 “일반 이용자들은 ‘안전하지 않은 사이트’가 구체적으로 무엇을 의미하는지 모르기 때문에 무조건적인 불신으로 이어질 수 있고, 신뢰성 저하라는 비물질적 피해가 해당 사이트(기업)에 발생한다”고 우려했다.

이어 그는 “우리나라 정보통신망법에서는 인증 및 개인정보 전송구간에만 SSL 처리를 하게 되면 위법하지 않다는 내용으로 기술적 조치를 명문화했다”며 “이를 바탕으로 로그인 창에만 SSL을 적용한 기업을 구글이 졸지에 보안에 무신경한 기업으로 만드는 태도는 타국의 법률을 무시한 것으로 볼 수 있다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)