실시간 뉴스



구글 보안 논란 , HTTPS 만능인가


암호화 통신에 숨겨진 악성코드 공격·내부정보 유출 등 문제

[아이뉴스24 성지은기자] 최근 구글의 웹브라우저 '크롬'이 HTTPS를 적용하지 않은 웹사이트에 '안전하지 않음' 표시를 띄워 논란이 되고 있다.

구글 크롬은 브라우저와 웹 서버 사이 통신 방식을 기존 'HTTP'보다 안전한 것으로 평가되는 'HTTPS'로 바꿨다. HTTPS는 브라우저와 웹 서버가 주고 받는 데이터를 암호화하는 반면 HTTP는 이를 암호화 하지 않기 때문이다.

이 탓에 HTTPS를 적용하지 않은 네이버나 다음 메인 홈, 정부기관 웹페이지 등의 이용에 대한 불안감도 커지는 형국이다. 이용자들이 실제와 관계없이 보안에 문제가 있다고 생각할 수 있기 때문이다.

구글 측은 인터넷 구조상 HTTPS 없이 보안을 담보할 수 없다는 입장이고, 이를 적용하지 않은 기업이나 기관들은 구글 조치가 과도하다고 맞서고 있다.

더욱이 보안 업계 일각에서는 HTTPS 역시 악성코드 공격이나 정부 유출 등으로부터 완벽한 보안을 담보하지 못한다는 지적도 있어 논란이 이어질 조짐이다.

18일 보안 업계에 따르면 최근 논란이 되고 있는 HTTPS 역시 보안 취약점에 주의해야 한다는 지적이나오고 있다.

HTTPS는 HTTP와 달리 데이터를 주고받는 신호를 암호화하고 보안을 강화하는 것이 핵심. 암호화 통신(SSL/TLS)을 사용해 사용자 웹브라우저와 웹서버 사이 통신을 안전하게 송·수신하며, 해커가 중간에서 데이터를 탈취해도 내용을 알기 어렵다.

◆HTTPS는 안전할까

그러나 보안 전문가들은 이 같은 HTTPS 적용이 보안에 있어 '만병통치약'은 아니라고 지적하고 있다. HTTPS 적용에 따른 보안 취약점 역시 발생하기 때문이다.

가령 해커는 바이러스 등 악성코드를 암호화 통신에 숨겨 배포하고, 이에 감염된 PC에 SSL 세션(활성화 접속)을 맺어 기업 내부에 침투할 수 있다.

가트너에 따르면 올해 기업 네트워크에 대한 공격 중 이처럼 보안을 우회하는 SSL을 사용하는 형태가 전체의 50%를 웃돌 것으로 전망했다.

실제로 해커는 악성코드를 통해 기업 내부직원의 PC에 침투한 뒤 중요정보를 암호화 통신을 이용해 빼돌릴 수 있다. 기업 내부직원도 HTTPS를 사용하는 웹메일, 소셜미디어(SNS) 등을 통해 개인정보나 기밀문서를 대량 전송·유출할 수 있는 것.

또 암호화 트래픽 처리가 불가능한 기존 내부정보유출방지(DLP) 솔루션은 내부에서 외부로 어떤 정보가 나가는지 알 수 없어 정보 유출을 사전에 차단할 수 없다. 사후 파악도 불가능하다.

이에 따라 보안 업계 내에서는 '암호화 트래픽 복호화·가시화 솔루션'이 필요하다고 강조하고 있다.

이 솔루션은 암호화 트래픽을 복호화(암호 해제)해서 외부에서 내부로 들어오는 숨겨진 위협을 분석·차단하고, 개인정보나 기밀문서와 같은 내부 중요정보의 유출 가능성을 차단한다.

보안 업계 관계자는 "HTTPS 도입은 새로운 보안 위협이 될 수도 있다"며 "내부정보 유출을 방지하기 위해 전용 솔루션을 구축하는 노력, 사내 직원에 대한 보안 교육 등이 필요하다"고 말했다.

◆향후 최상위 인증 'EV SSL'에 관심 증가

이에 더해 향후 HTTPS 적용 웹사이트가 확산되면, 가장 높은 등급의 SSL 인증서인 EV SSL 인증서도 높은 관심을 받을 것으로 기대된다.

SSL 인증서는 웹사이트의 위·변조 여부를 확인해 실제 공식 웹사이트가 맞다고 확인해주는 역할을 한다. 웹사이트 접속 시 브라우저 상단 주소창에 자물쇠 모양이 나타나면, SSL 인증서로 인증받은 웹사이트라는 의미다.

SSL 인증서는 크게 ▲DV(Domain Validation) ▲OV(Organization Validation) ▲EV(Extend Validation)로 구분된다.

DV SSL 인증서나 OV SSL 인증서는 EV SSL 인증서보다 저렴하고 손쉽게 도입할 수 있다. 이 때문에 즐겨 사용되지만, 육안으로 피싱이나 파밍을 구분하기 어렵다.

반면 EV SSL은 브라우저 주소창을 녹색창으로 변경하기 때문에 가시적으로 '믿을 만한 사이트'임을 증명한다. 일반 인증서와 달리 도메인, 사업자, 담당자, 사업 기간, 재무상태 등을 종합적으로 심사해 EV SSL을 발급하기 때문에 웹사이트의 신뢰도가 높다.

EV SSL 인증서의 국내 총판업체인 한국정보인증 관계자는 "현재 금융기업, 포털 등에서 EV SSL 인증서를 사용하고 있다"며 "앞으로 최상위 인증서인 EV SSL의 수요가 늘어날 것으로 전망된다"고 말했다.

성지은기자 buildcastle@inews24.com






alert

댓글 쓰기 제목 구글 보안 논란 , HTTPS 만능인가

댓글-

첫 번째 댓글을 작성해 보세요.

로딩중
포토뉴스