“https는 전 세계 웹 보안 표준입니다. 구글은 https 적용을 웹 보안의 기본으로 보고 적극적으로 지원하고 있습니다. 그런데 한국 최고 포털업체인 네이버와 다음이 https를 적용하지 않는 점이 이해되지 않는군요.”
파리사 타브리즈(Parisa Tabriz) 구글 보안 담당 디렉터는 13일 오전 서울 역삼동 구글코리아 사무실에서 열린 기자간담회에서 “구글은 앞으로 크롬 웹 브라우저에서 https를 적용하지 않은 사이트에 대한 경고 표시를 더욱 강화하겠다”고 밝혔다.
https는 웹 프로토콜인 http에 보안소켓레이어(SSL)나 전송계층보안(TLS)을 적용해 전송 데이터를 암호화했다는 것을 뜻한다. 사용자가 입력하는 내용을 암호로 바꿔 서버에 전달하기 때문에 해커가 개인정보 데이터를 탈취하더라도 해독이 거의 불가능하다.
구글은 앞으로 크롬브라우저에 https를 적용하지 않은 사이트에 대해서는 붉은색 경고 아이콘(표시)을 띄울 예정이다.
파리사 타브리즈 디렉터는 “사용자들은 자신의 컴퓨터와 해당 사이트 서버 간 직접 연결이 됐다고 생각하지만, 사실 두 지점 사이에는 상당히 많은 연결 지점이 있다”면서 “사용자의 비밀번호나 신용카드 정보, URL 정보 등이 각 지점을 그대로 통과하기 때문에 보안 담당자들이 ‘중간자(Man in the Middle)’라고 부르는 악의적인 사업자, 해커들이 암호화되지 않은 정보들을 가로챌 수 있다”고 설명했다.
구글은 https가 웹 보안을 위한 기초라고 보고 모든 제품과 서비스에서 암호화를 지원하고 있다. 또 구글은 국가별로 https가 적용되지 않은 사이트 정보를 투명성 보고서를 통해 제공하고 있다. 또 개발자들이나 사이트를 운영하는 기업과 공공기관 등이 https를 적용할 수 있도록 지원한다.
파리사 타브리즈는 “https 프로토콜은 세상에 나온 지 20년이 됐지만 아시아의 대다수 웹사이트는 적용하고 있지 않다”며 “한국에서 사용자가 많은 네이버와 다음의 메인페이지도 https가 지원지 않는데, 메인페이지에는 사용자가 많이 모이는 곳이어서 정보가 노출될 가능성이 있다”고 말했다.
파리사 타브리즈는 또 “https 적용을 하는 데 비용이 발생하는 점, 사이트 성능이 떨어지는 점, 이전 작업의 복잡성 등을 우려하는 업체나 개발자가 많지만 https를 적용하지 않으면 제대로 된 보안성을 갖추기 힘들다”며 “최근에는 다양한 인증기관에서 중견, 중소 규모 사이트에 대해서는 무료로 인증하는 비율도 늘어나고 있어 도움을 받을 수 있다”고 말했다.
이에 대해 네이버 관계자는 “메인페이지 상에는 개인정보가 들어가 있지 않고 공개된 정보가 대부분으로, 로그인 창과 검색창에는 https를 적용하고 있다”며 “메인페이지 전체에도 https를 적용하는 방안을 검토중이다”라고 말했다.
또 다른 인터넷 업계 한 관계자는 “최근에는 공유기를 해킹하는 방식도 등장해 https가 ‘만능 보안’이라고 할 수 없다”면서 “다만, 구글은 https를 웹 보안의 기초라고 보고 확산을 지원하는 것”이라고 말했다.
이날 포럼에서 파리사 타브리즈는 이용자가 안전하게 인터넷을 사용하도록 하기 위한 유의점도 설명했다.
사용자는 ▲중요 계정마다 각기 다른 비밀번호 사용하고 ▲공용 컴퓨터 로그인을 피해야하며 ▲PC·스마트폰 소프트웨어와 애플리케이션 설치 유의하고 ▲브라우저 상태를 최신단계로 유지하는 게 좋다.
파리사 타브리즈는 이를 위해 구글이 제공하는 패스워드 매니저나 유사한 프로그램을 사용해 기기별, 사이트별 비밀번호를 관리하고 구글의 2단계 인증 등을 사용하는 것이 좋다고 권장했다.
파리사 타브리즈 디렉터는 “구글에서는 직원 600명이 보안을 전담하고 있다”며 “앞으로 사용자에게 보안성이 높은 브라우저를 제공하고 인터넷 전반의 안전성이 높아질 수 있도록 지원해 나가겠다”고 말했다.