보안 전문가 타브리즈 "미적용 웹페이지엔 경고 표시"

구글은 암호화 접속 방식인 HTTPS 없이 사이트 보안을 담보하기 힘들다며 "모든 웹페이지에 HTTPS 접속을 적용해야 한다"고 주장했다.

구글의 보안 전문가 파리사 타브리즈는 13일 서울 강남구 구글 코리아에서 '인터넷과 보안'을 주제로 열린 구글 특별 포럼에서 "어떤 웹사이트도 HTTPS 없이는 보안을 담보할 수 없다"며 "궁극적으로 HTTPS를 적용하지 않은 모든 페이지에는 '안전하지 않다(Not Secure)'는 메시지를 표시할 것"이라고 말했다.

HTTPS는 일반 웹페이지 통신 방식인 HTTP보다 보안성을 강화한 프로토콜로, 웹 서버와 브라우저가 주고받는 정보를 암호화한다.

이 때문에 암호화하지 않은 정보를 주고받는 HTTP보다 정보 유출의 위험이 적은 것으로 평가받는다.

구글은 HTTPS가 정보 송신자와 수신자 사이에서 이들이 주고받는 정보를 빼돌리는 '중간자(man in the middle) 공격'의 해법이 될 수 있다고 주장한다.

이런 공격은 해커뿐만 아니라 인터넷 서비스 업체, 통신사, 심지어 정보기관도 시도한다는 게 구글의 설명이다.

통신사의 경우 개인정보 보호 정책을 일부 수정해서 고객 데이터를 추출해 수익화 기반으로 사용하는 사례도 있다.

이런 공격을 방지하기 위해 사이트 보안에 대한 요구가 커지면서 구글의 웹브라우저 크롬은 지난달 말부터 일부 웹사이트의 주소창 앞에 '안전하지 않다'는 의미의 느낌표 아이콘을 띄우고 있다.

로그인을 요구하는 웹사이트가 HTTPS 접속을 지원하지 않는 경우다.

타브리즈는 "경고 메시지는 과거에 우리가 사용자에게 솔직하지 못했다는 점에서 출발했다"며 "경고 메시지를 통해 사용자에게 사이트의 보안 위험에 대해 솔직하게 알리고자 한 것"이라고 설명했다.

그는 "HTTPS가 모든 보안 문제를 해결할 수 없지만, 문제를 해결하기 위한 필수 기반"이라며 "아직 대다수 웹페이지가 HTTPS를 적용하지 않아 단계별로 점진적으로 전환할 수 있도록 지원하고자 한다"고 밝혔다.

하지만 국내 대표 포털 사이트인 네이버와 다음도 메인 화면에는 HTTPS를 적용하지 않고 있다.

이미 공개된 정보만 있는 웹페이지이기 때문에 적용하지 않았다는 게 해당 사이트 측의 해명이다.

네이버와 다음은 로그인과 검색 등 정보를 입력하는 단계부터 HTTPS를 적용하고 있다.

이에 대해 타브리즈는 "네이버의 트래픽이 가장 몰리는 화면이 메인 화면인데 HTTPS를 적용하지 않으면 중간자 공격에 노출될 수 있다"며 "개인정보가 입력되지 않는 데이터라 하더라도 여러 주 동안 누적되면 식별 가능한 정보가 된다"고 지적했다.

HTTPS를 적용하면 접속 속도가 느려지고, 추가 비용이 들어간다는 지적에 대해서는 "다양한 지원 수단이 있다"며 "사용자의 보안을 생각한다면 전체 페이지에 HTTPS를 적용할 필요가 있다"고 재차 강조했다.

구글은 이밖에 안전한 인터넷 사용을 위해 비밀번호를 재사용하거나 공유하지 말고, 공용 컴퓨터에 되도록 로그인을 피해야 한다고 조언했다.

아울러 인증 단계를 추가한 2단계 인증을 사용하고, 소프트웨어나 앱은 신중하게 설치하며 최신 버전의 브라우저를 사용하는 것도 해킹 위험을 줄이는 방법으로 제시했다.

이날 발표자로 나선 타브리즈는 '보안 공주'(Security Princess)라는 독특한 직함을 가진 보안 전문가다.

구글 보안팀의 '고용된 해커'인 소프트웨어 엔지니어로 시작해 약 10년간 구글에서 정보 보안 업무를 담당하고 있다.

백악관의 디지털 컨설턴트로 활동하며 정부 보안 개선 과제에 참여하기도 했다.

(서울연합뉴스) 고현실 기자 okko@yna.co.kr