구글 크롬, HTTP에 보안경고 표시…웹 보안 독점?

- ‘세이프서치(Safe Search)’ 기능 유로화와 웹서핑 표준으로 독점화 우려돼

구글이 오는 7월부터 크롬 브라우저에서 모든 HTTP 웹페이지에 '안전하지 않다(not secure)'는 경고 표시를 적용한다고 밝혔다.​

구글은 최근 자사 블로그를 통해 오는 7월에 발표되는 '크롬 68' 버전부터 모든 HTTP 웹페이지에 대해 '안전하지 않다'는 보안 경고를 표시하고, HTTPS 웹페이지는 '안전함'으로 표시하겠다는 방침이다.​

그간 구글은 모든 웹사이트의 HTTPS 암호화 확산을 강력하게 독려해 왔다. 심지어 지난해 2월에는 네이버 웹페이지에 대해 보안경고를 띄우기도 했다. 

구글은 블로그를 통해 “전 세계 100대 웹사이트 81%가 HTTPS를 적용했지만 언론 미디어를 포함해 일반 웹사이트 대부분이 HTTPS를 사용하지 않는다”라며, "따라서 보안에 안전하지 않은 HTTP 웹페이지를 알려주고, 안전한 HTTPS의 확산을 돕기 위한 조치"라고 설명했다. 

HTTP(Hypertext transfer protocol)와 HTTPS(Hyper Text Transfer Protocol over Secure sockets layter)는 모두 다 사용자 혹은 클라이언트가 어떠한 요청을 웹 브라우저가 웹 서버에 요청할 때 사용하는 프로토콜이다. 이 둘의 차이점을 간략하게 설명하면 HTTPS는 HTTP에서 보안성이 강화되었다고 생각하면 된다. 

HTTP는 모든 데이터들이 암호화가 되어 있지 않은 상태로 데이터를 주고받는 프로토콜이기 때문에 보안 이슈가 많아질 수밖에 없다. 따라서 보안 이슈가 중요한 곳들은 HTTP가 아닌 데이터들을 암호화해 전송하는 HTTPS를 사용한다.

국내에서도 정부가 정보통신망법을 통해 개인정보를 취급하는 웹 사이트에 한해 보안서버가 적용된 HTTPS를 구축하도록 규정하고 있지만, 다수의 공공기관이 HTTP를 사용하고 있다. 또는 HTTPS를 적용한 공공기관도 개인정보를 입력해야 하는 페이지에 한해 HTTPS를 부분 적용한 형태로 사용하고 있다. 

웹사이트 구축 시 보다 안전한 HTTPS를 모두 다 쓰지 않고 보안에 취약한 HTTP를 사용하는 이유로 비용과 시간문제를 꼽는다.

암호화를 복호화하는데 웹 서버가 부하를 많이 받아 시간이 걸리고 이러한 키가 서버의 인증서가 되는데 별도 인증기관(Verisign)의 인증서의 가격이 비싸다. 

한편 보안업계에서는 구글의 이번 조치에 대해 우려의 목소리가 나오고 있다. 국내 보안전문가인 오디터 리(Auditor Lee)는 “구글이 HTTP와 HTTPS의 차별화를 꽤하는 이유가 세이프서치가 표준이 되면 기준이 바뀌어 그에 따른 새로운 정책을 세울 수밖에 없는데, 구글 크롬에서 지원하는 ‘세이프서치(Safe Search)’ 기능의 유로화와 맞닿아 있다. 결국 웹서핑에서 구글이 표준화를 제시하고 독점화할 것”이라고 말했다. 

또 다른 한 보안 전문가는 “이렇게 되면 국내 네트워크에서 차단이나 탐지하는 업체들을 줄도산 할 것이다. 키디크립터를 더 붙이는 순간 가용성은 1/10 수준으로 떨어진다”라며, “특히 HTTPS를 사용하는 악성링크의 경우는 답이 없다. HTTPS 웹서비스에 올려진 악성코드도 마찬가지이며, 유해사이트는 말할 것도 없다. HTTPS는 '온라인에서의 shoulder surfing'(spying) 예방 목적으로 한정하는 것이 옳다”라고 말했다.

결국 기존 보안 업체들은 구글의 정책에 따라 보안 정책을 수립할 수밖에 없다. 이는 구글의 한마디에 보안 패러다임이 바뀌는 문제가 나올 수밖에 없다는 것이다. 국내 보안 산업 지형을 송두리째 흔들수 있는 구글의 독점화는 결코 올바르지 않다. 또한 그렇게 되어서도 안 된다는 점이다.

[김들풀 기자  itnews@itnews.or.kr]